Ekstra eksternt nett inn til server stopper filoverføringer internt

[Mastiff]

Jeg har en Windows Server 2016 som får internett på nettverksporten 192.168.1.4 fra en pfSense brannmur. Den deler det så ut på sitt interne nett, 192.168.0.x.

 

Men jeg vil gjerne skille alle enheter for hjemmeautomasjon ut på eget subnet, 192.168.10.x. Jeg har fire porter ut fra brannmuren, og da skal altså to av disse inn på serveren, men bare den som på serveren blir 192.168.1.4 brukes til internett. Den andre, 192.168.10.4, er sperret fra internett i brannmuren og er ikke oppført i verken Routing and Remote Access, DNS eller DHCP på serveren. Men problemet er at når jeg kobler til denne, så stopper filoverføringer fra serveren til klienter på det indre 192.168.0.x-nettet opp! Jeg fatter ikke hva de har med hverandre å gjøre. Er det noen som kan tenke seg hva som foregår her? Jeg har en heller dårlig tegning (med engelsk tekst, fordi jeg prøvde meg på et rent pfSense forum først, men det virker som om folk der forstår mest av Linux-servere):

 

Endret 11. november 2018 av Mastiff

[Mastiff]

Ingen forslag?

[tingo]

Hvordan ser ruting-tabellen ut på pfSense-boksen og på win-serveren?

[Mastiff]

Takk for svar! Sånn er pfSense-boksen (10.0.0.1 er for et atskilt nett til en utleiedel i huset, så den spiller ikke inn, og det som ser ut som min eksterne IP, er ikke det - det er en adresse til en DNS-server eller noe sånt hos Telenor, som jeg har DSL fra):

IPv4 Routes
Destination	Gateway	          Flags	Use	Mtu	Netif	Expire
default	        10.0.1.1          UGS	67448	1500	re0	
10.0.0.0/24	link#2	          U	61909930	1500	em1	
10.0.0.1	link#2	          UHS	0	16384	lo0	
10.0.1.0/24	link#5	          U	1082857	1500	re0	
10.0.1.4	link#5	          UHS	14	16384	lo0	
127.0.0.1	link#6	          UH	424	16384	lo0	
148.122.16.253	20:cf:30:e6:29:ad UHS	3050	1500	re0	
148.122.164.253	20:cf:30:e6:29:ad UHS	3045	1500	re0	
192.168.1.0/24	link#1	          U	40202511	1500	em0	
192.168.1.1	link#1	          UHS	0	16384	lo0	
192.168.10.0/24	link#3	          U	52	1500	em2	
192.168.10.1	link#3	          UHS	0	16384	lo0	
IPv6 Routes
Destination	Gateway	Flags	Use	Mtu	Netif	Expire
::1	link#6	UH	0	16384	lo0	
fe80::%em0/64	link#1	U	0	1500	em0	
fe80::215:17ff:fed2:3791%em0	link#1	UHS	0	16384	lo0	
fe80::%em1/64	link#2	U	0	1500	em1	
fe80::215:17ff:fed2:3790%em1	link#2	UHS	0	16384	lo0	
fe80::%em2/64	link#3	U	0	1500	em2	
fe80::215:17ff:fed2:3793%em2	link#3	UHS	0	16384	lo0	
fe80::%em3/64	link#4	U	0	1500	em3	
fe80::215:17ff:fed2:3792%em3	link#4	UHS	0	16384	lo0	
fe80::%re0/64	link#5	U	0	1500	re0	
fe80::22cf:30ff:fee6:29ad%re0	link#5	UHS	0	16384	lo0	
fe80::%lo0/64	link#6	U	0	16384	lo0	
fe80::1%lo0	link#6	UHS	0	16384	lo0	

Og her er fra serveren:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.4     25
          0.0.0.0          0.0.0.0     192.168.10.1     192.168.10.4  10255
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      169.254.0.0      255.255.0.0         On-link    169.254.142.81    291
      169.254.0.0      255.255.0.0         On-link    169.254.68.116    291
   169.254.68.116  255.255.255.255         On-link    169.254.68.116    291
   169.254.142.81  255.255.255.255         On-link    169.254.142.81    291
  169.254.255.255  255.255.255.255         On-link    169.254.142.81    291
  169.254.255.255  255.255.255.255         On-link    169.254.68.116    291
      192.168.0.0    255.255.255.0         On-link       192.168.0.1    281
      192.168.0.1  255.255.255.255         On-link       192.168.0.1    281
    192.168.0.176  255.255.255.255         On-link     192.168.0.176    331
    192.168.0.255  255.255.255.255         On-link       192.168.0.1    281
      192.168.1.0    255.255.255.0         On-link       192.168.1.4    281
      192.168.1.4  255.255.255.255         On-link       192.168.1.4    281
    192.168.1.255  255.255.255.255         On-link       192.168.1.4    281
      192.168.2.0    255.255.255.0      192.168.0.2      192.168.0.1     26
     192.168.10.0    255.255.255.0         On-link      192.168.10.4  10255
     192.168.10.4  255.255.255.255         On-link      192.168.10.4  10255
   192.168.10.255  255.255.255.255         On-link      192.168.10.4  10255
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    169.254.142.81    291
        224.0.0.0        240.0.0.0         On-link    169.254.68.116    291
        224.0.0.0        240.0.0.0         On-link       192.168.0.1    281
        224.0.0.0        240.0.0.0         On-link       192.168.1.4    281
        224.0.0.0        240.0.0.0         On-link     192.168.0.176    331
        224.0.0.0        240.0.0.0         On-link      192.168.10.4  10255
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    169.254.142.81    291
  255.255.255.255  255.255.255.255         On-link    169.254.68.116    291
  255.255.255.255  255.255.255.255         On-link       192.168.0.1    281
  255.255.255.255  255.255.255.255         On-link       192.168.1.4    281
  255.255.255.255  255.255.255.255         On-link     192.168.0.176    331
  255.255.255.255  255.255.255.255         On-link      192.168.10.4  10255
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0     192.168.10.1  Default
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    331 ::1/128                  On-link
 20    291 fe80::/64                On-link
  8    291 fe80::/64                On-link
 10    281 fe80::/64                On-link
  2    281 fe80::/64                On-link
 10    281 fe80::2cdd:e191:4a7e:9146/128
                                    On-link
  2    281 fe80::2d80:56a4:90a8:ef58/128
                                    On-link
 20    291 fe80::3040:80bc:fc09:8e51/128
                                    On-link
  8    291 fe80::816d:4335:6602:4474/128
                                    On-link
  1    331 ff00::/8                 On-link
 20    291 ff00::/8                 On-link
  8    291 ff00::/8                 On-link
 10    281 ff00::/8                 On-link
  2    281 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Endret 13. november 2018 av Mastiff

[Mastiff]

Jeg har vært en runde med Wireshark nå, og jeg ser at når jeg setter i gang en filoverføring, så er det 192.168.10.4 den spør, og ikke 192.168.0.1, som det egentlig burde vært, siden det er serverens interne adresse. Jeg fatter bare ikke hvorfor. Jeg har fjernet den fra DNS, jeg har fjernet den fra bruk i DHCP. Men hvordan hindrer jeg klientene til serveren fra å se det nettverkskortet i det hele tatt?

[Mastiff]

Jeg ser at hvis jeg slår av Routing and Remote Access, så forsvinner problemet. Så det virker som om det kommer den veien. Men det hjelper meg vel ikke så mye, for da kommer jeg jo ikke på internett... Jeg har også prøvd å legge til 192.168.10.4-kortet overalt der og så sperre det, men det hjelper heller ikke. Og når jeg slår på igjen RAS, tar det et par minutter før problemet oppstår. Snåle greier, dette her.

[Mastiff]

Der satt den! Jeg hadde alt lagt den til i RAS under IPv4 og general, og jeg hadde lagt inn filter, men jeg hadde glemt å klikke på "enable IP router manager", så den brukte ikke filtrene. Puh... Problem løst, tror jeg...

[NoBo]

Alltid like morsomt med multihomed server ?

 

- Noen forslag, innspill;

 

Har du sjekket den såkalte Interface Metric på serveren? (Ikke samme Metric som du finner med Route Print.) Hvis ikke Interface Metric er lavest for NIC-et mot klientene, endre. Referanse: https://docs.microsoft.com/en-us/windows-server/networking/technologies/network-subsystem/net-sub-interface-metric

 

SMB 3 sin Multichannel-funksjonalitet bør ikke spille inn men du kan jo disable og se (etter at du har endret Interface Metric.) Ref.

https://blogs.technet.microsoft.com/josebda/2012/06/28/the-basics-of-smb-multichannel-a-feature-of-windows-server-2012-and-smb-3-0/

 

 

Hvis du fra klienten kobler deg til serveren på IP-adressen og ikke navnet så fungerer det fremdeles ikke?

 

Ser at du har angitt en default gateway også mot 10-er nettet ditt (riktignok med høyere Metric.) Hva er grunnen til det?

 

Lurte litt på denne:

192.168.2.0 255.255.255.0 192.168.0.2 192.168.0.1

 

Ble litt kjapt her nå, mulig jeg har oversett noe. Husk å restarte klient (for å rense ut evt. gammel navneoppløsning lokalt på klienten) hvis du gjør endringer på server.

[Mastiff]

Du begynte visst å skrive samtidig som jeg skrev at jeg hadde løst det. Men akkurat den default gatewayen er kanskje ikke nødvendig? Jeg må bruke statiske IP-er på denne siden, for den skal være upåvirket av om ruteren på det nettet faller om.