HDSoftware Skrevet 21. oktober 2010 Del Skrevet 21. oktober 2010 Folkens... Jeg ha et eksisterende nettverk, satt opp slik: IP Range: 172.24.4.0-172.24.4.255 / 255.255.255.0 I denne rangen er det avsatt 50 IP adresser til DHCP. Resten er forbeholdt infrastruktur og desverre så har ikek de som sat dette opp gjort de nødvendige settings i DHCP slik at det er umulig å finen ut av med mindre jeg går rundt på absolutt alle enheter og sjekker presatt IP. Videre så synes jeg dette nettet er i smaleste laget og jeg har derfor definert et nytt nett. Ny IP range er 172.16.0.0 - 172.24.255.254 / 255.255.0.0 Dermed har jeg et mye brede spillerom etc. etc. etc Nok om det! Jeg har installert MS ForeFront TMG2010 på en server som jeg vil ha som GateWay. I denne GateWaien har jeg konfigurert VPN og jeg har tillat IPSec og L2TP fra EXTERNAL til LOCALHOST I selve VPN oppsettet i ForeFront har jeg satt at IP skal gies med DHCP og jeg har satt INTERNAL som nettet som tilbyr dette. Alt dette ser greit ut. ForeFront maskinen har full tilgang på maskinen som har DHCP serveren. Alikevel så får ikke VPN klientene IP adresse og blir sittendes med 169.x.x.x nett. Er det noe spesiellt mer jeg må konfigurere i ForeFront for at DHCP serveren skal kunen nås av VPN klientene? Jeg klarer ikke se av loggen at det feiler mot DHCP protokollen så jeg er litt usikker på hvor jeg starter å lete... All hjelp her er hjertelig velkommen Lenke til kommentar
ZeRKoX Skrevet 21. oktober 2010 Del Skrevet 21. oktober 2010 Jeg kan ikke gi deg svaret på ForeFront, da jeg ikke har erfaring med det, men vil bare peke på en feil jeg oppdaget: - 172.16.0.0/255.255.0.0 vil gi rangen 172.16.0.0 - 172.16.255.255 Dersom du vil ha 172.16.0.0 - 172.24.255.254 (trenger du virkelig så mange adresser?) så må du ha en netmask på enten: - 255.240.0.0 som vil gi rangen 172.16.0.0 - 172.32.255.254 - 255.248.0.0 som vil gi rangen 172.16.0.0 - 172.23.255.254 Vil også anbefale og subnette litt, og bruke en router til å segmentere nettverket noe. Lenke til kommentar
CrZy_T Skrevet 21. oktober 2010 Del Skrevet 21. oktober 2010 Vær også klar over at alle enheter som har de gamle ip-adressene med gammel subnet-maske, vil anta at alle ip-adresser utenfor sitt "kjente" nettverk (172.24.4.0/24) skal sendes til default gateway (som dermed også må være på dens "kjente" nettverk). Skal du relay'e DHCP må du vel også aktivere dette på routeren din. Lenke til kommentar
HDSoftware Skrevet 21. oktober 2010 Forfatter Del Skrevet 21. oktober 2010 Jeg kan ikke gi deg svaret på ForeFront, da jeg ikke har erfaring med det, men vil bare peke på en feil jeg oppdaget: - 172.16.0.0/255.255.0.0 vil gi rangen 172.16.0.0 - 172.16.255.255 Dersom du vil ha 172.16.0.0 - 172.24.255.254 (trenger du virkelig så mange adresser?) så må du ha en netmask på enten: - 255.240.0.0 som vil gi rangen 172.16.0.0 - 172.32.255.254 - 255.248.0.0 som vil gi rangen 172.16.0.0 - 172.23.255.254 Vil også anbefale og subnette litt, og bruke en router til å segmentere nettverket noe. ARGH!!! Selvsagt! Du har rett. Jeg som tenkte helt feil her. Jeg skulle endre nettet fra 172.24.4.x til 172.16.x.x og tenkte at /16 ville gi trafikk fra begge, men det gjør den selvsagt ikke. Jeg skal endre på masken og se o det hjelper Lenke til kommentar
HDSoftware Skrevet 21. oktober 2010 Forfatter Del Skrevet 21. oktober 2010 uhm. Dette ble feil. Jeg har selvsagt ikek gjort det slik. Jeg har det gamle nettet 172.24.4.x og det nye nettet på 172.16.x.x. Det jeg derimot har gjort på serverene i det nye nettet er at jeg har gitt IP adresse ril begge nettene. Dermed er nett maskin min riktig alikevel. Derfor må det være noe annet som feiler. Det virker i hvertfall som at VPN klienten ikke når DHCP serveren. Kansje en regel i brannmureen som ikke er riktig her... Må være noe sånt.. Lenke til kommentar
HDSoftware Skrevet 21. oktober 2010 Forfatter Del Skrevet 21. oktober 2010 Og om jeg trenger så mange adreser? Neppe, men jeg har delt opp nettet litt og definert at alle servere skal ligge på 172.16.0.x, VPN på 172.16.11.x og resten av interne LAN klienter ligger på 172.16.10.x. Videre har jeg definert alle VM's på 172.16.1.x dvs: LAN 172.16.10.0/16 VPN 172.16.11.0/16 SRV 172.16.0.x/16 (fast definert) VMs 172.16.1.x/16 (fast definert) Ser du noen umiddelbare ulemper med dette? Lenke til kommentar
CrZy_T Skrevet 21. oktober 2010 Del Skrevet 21. oktober 2010 Jeg ville nå fysiskt adskilt de litt og delt de inn i /24-nett i stedet. Lenke til kommentar
HDSoftware Skrevet 22. oktober 2010 Forfatter Del Skrevet 22. oktober 2010 Litt usikker på hva du mener. Eneste grunnen til at jeg har valgt et så stort IP sprang er kunn av hensyn til struktur og ingen praktisk eller sikkerhets betydning. En Range på 255 IP adresser er egentlig mer en nok, men jeg tenkte bare at hvis jeg bruker et bredere nett så kan jeg dele opp i de nevnte segmenter. Jeg er på ingen måte på leting etter en måte å segmentere nettet i forhold til rettigheter og slikt. ALLE skal se ALLE. Så hvorfor jeg skulle dele opp i fysiske enheter ser jeg ikke, med mindre du vet om noe som jeg ikke vet da, og det kan jo godt hende for mye av IP nett teorien har jeg kunn gjettet meg til ;-) Jeg tror jo det er slik at hvis jeg deler opp i fysiske "enheter" så må jo det bety at jeg router nettet og da vil jo kunn, la oss kalle det avdelingene i nettet se ut, men ikke hverandre uten at det blir komplisert. Jeg vil jo bare gjøre dette veldig enkelt for meg selv. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå