25
Windows Server über Außen-IP nicht ansprechbar
Hallo!
Es gibt mehrere Windows Server (2016, 2019), die über einen zweiten Netzwerkadapter in einem lokalen Netzwerk miteinander verbunden sind. Das Problem ist, dass die Server untereinander ausschließlich über die lokale IP kommunizieren können. Versucht man beispielsweise einen anderen Server über seine Außen-IP anzusprechen ist die Gegenstelle nicht erreichbar. Weiß jemand zufällig, wie sich das Problem beheben lässt?
Danke!
Es gibt mehrere Windows Server (2016, 2019), die über einen zweiten Netzwerkadapter in einem lokalen Netzwerk miteinander verbunden sind. Das Problem ist, dass die Server untereinander ausschließlich über die lokale IP kommunizieren können. Versucht man beispielsweise einen anderen Server über seine Außen-IP anzusprechen ist die Gegenstelle nicht erreichbar. Weiß jemand zufällig, wie sich das Problem beheben lässt?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 487176
Url: https://administrator.de/contentid/487176
Printed on: April 20, 2024 at 01:04 o'clock
25 Comments
Latest comment
Weiß jemand zufällig, wie sich das Problem beheben lässt?
Ja !Du hast einen typischen Anfänger Fehler begangen und vergessen das IPv4 Forwarding (Routing) auf diesen Servern zu aktivieren ! (Registry)
Dieses Tutorial erklärt dir alles dazu was du wissen musst !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
1
Zitat von @uups81:
Versucht man beispielsweise einen anderen Server über seine Außen-IP anzusprechen ist die Gegenstelle nicht erreichbar.
Versucht man beispielsweise einen anderen Server über seine Außen-IP anzusprechen ist die Gegenstelle nicht erreichbar.
Moin,
was ist denn eine "Außen-IP" und wie versuchst du den Server zu erreichen?
/Thomas
Ich bin lansam am verzweifeln, ehrlich gesagt. Habe mehrere Tutorials durchgearbeitet und komme nicht weiter.
Ich versuche hier nochmal das ganze anhand zwei Server beschreiben, vielleich könnte mir jemand mit eine konkrete Lösung geben.
Server #1--------
Ethernet1:
IP: 88.77.66.12 (HauptIP + 6 weitere IPs)
Subnetmaske: 255.255.255.192
Standardgateway: 88.77.66.1
Ethernet2 (lokal):
IP: 169.254.16.81
Subnetmaske: 255.255.0.0
Standardgateway: -
Server #2---------
Ethernet1:
IP: 88.77.66.13 (HauptIP + 6 weitere IPs)
Subnetmaske: 255.255.255.192
Standardgateway: 88.77.66.1
Ethernet2 (lokal):
IP: 169.254.174.125
Subnetmaske: 255.255.0.0
Standardgateway: -
Problem: Die Server sind untereinander nur mit der lokalen IPs zu erreichen. Versuche ich vom Server #1 aus den Server #2 mit 88.77.66.13 anzupingen, ist die Zielhost nicht erreichbar. Genauso umgekehrt.
Bis jetzt wurde auf allen Servern folgende Schritte ausgeführt:
- Routing über Registry aktiviert (mit Reboot)
- Remotezugriff -> Routing unter Server-Manager installiert und gestartet (LAN Routing)
Was mache ich falsch?
Im Voraus vielen Dank!
Ich versuche hier nochmal das ganze anhand zwei Server beschreiben, vielleich könnte mir jemand mit eine konkrete Lösung geben.
Server #1--------
Ethernet1:
IP: 88.77.66.12 (HauptIP + 6 weitere IPs)
Subnetmaske: 255.255.255.192
Standardgateway: 88.77.66.1
Ethernet2 (lokal):
IP: 169.254.16.81
Subnetmaske: 255.255.0.0
Standardgateway: -
Server #2---------
Ethernet1:
IP: 88.77.66.13 (HauptIP + 6 weitere IPs)
Subnetmaske: 255.255.255.192
Standardgateway: 88.77.66.1
Ethernet2 (lokal):
IP: 169.254.174.125
Subnetmaske: 255.255.0.0
Standardgateway: -
Problem: Die Server sind untereinander nur mit der lokalen IPs zu erreichen. Versuche ich vom Server #1 aus den Server #2 mit 88.77.66.13 anzupingen, ist die Zielhost nicht erreichbar. Genauso umgekehrt.
Bis jetzt wurde auf allen Servern folgende Schritte ausgeführt:
- Routing über Registry aktiviert (mit Reboot)
- Remotezugriff -> Routing unter Server-Manager installiert und gestartet (LAN Routing)
Was mache ich falsch?
Im Voraus vielen Dank!
Hi,
du weißt schon dass das Public IP-Adressen sind die du je auf Ethernet 1 hast...
Wie sieht denn der Rest des Netztes aus?
Gruß
du weißt schon dass das Public IP-Adressen sind die du je auf Ethernet 1 hast...
Wie sieht denn der Rest des Netztes aus?
Gruß
Du denkst das dein Windows einfach so jedem auf ping antwortet, tut es aber nicht.
Wenn du in der Firewall ping für öffentliche Netze erlaubst antwortet er dir vermutlich auch.
Was hat das mit den APIPA Adressen auf Ethernet 2 auf sich? Hat es für Adressen aus RFC1918 nicht mehr gereicht?
/Thomas
Ja, das weiß ich.
Der Rest des Netzes sieht genauso unspektakulär aus, wie diese zwei Server, die ich beschrieben habe. Es sind insgesamt 4 Server, die alle eine PublicIP haben und zusätzlich lokal miteinander verbunden sind. Nicht mehr und nicht weniger.
Oder meinen Sie was Anderes mit dem "Rest des Netzes"?
Der Rest des Netzes sieht genauso unspektakulär aus, wie diese zwei Server, die ich beschrieben habe. Es sind insgesamt 4 Server, die alle eine PublicIP haben und zusätzlich lokal miteinander verbunden sind. Nicht mehr und nicht weniger.
Oder meinen Sie was Anderes mit dem "Rest des Netzes"?
Ja, gemeint war, wie der Rest des Netzwerkes aussieht. (Weitere Server, Clients..)
Ein Ping ist vielleicht kein gutes Beispiel. Fakt ist, das die Server untereinander in keiner Weise über public IP kommunizieren können. Und die APIPA Adressen war nicht meine Wahl. Die Server sollten zusätzlich lokal miteinander verbunden werden. Hetzner hat einfach ein 6-Port-Switch geschaltet, was dahinter ist hat mich bis jetzt nicht sonderlich interessiert.
Müssen eventuell irgendwelche Regeln im Firewall manuell freigeschaltet werden oder geschieht das automatisch bei der Installation der Rolle?
Vielleicht erläuterst du uns erstmal was du denn konkret machen möchtest, je mehr Informationen desto besser.
Wenn du auf einen Server zugreifen willst ist es immer sinnvoll zu kontrollieren ob die Firewall dies auch erlaubt.
Wessen Wahl waren denn die APIPA Adressen?
Warum du Routing aktiviert hast erschließt sich mir nicht.
/Thomas
Wenn du auf einen Server zugreifen willst ist es immer sinnvoll zu kontrollieren ob die Firewall dies auch erlaubt.
Wessen Wahl waren denn die APIPA Adressen?
Warum du Routing aktiviert hast erschließt sich mir nicht.
/Thomas
Lieber Thomas,
erstmal vielen Dank für Ihr Beitrag zur Lösung meines Problems!
Und Ja, wie Sie bereits erkennen konnten, bin ich kein Profi im Bereich Netzwerken. Routing habe ich aktiviert, damit ein Server, der Mitglied bei zwei Netzwerken ist, andere Mitglieder der Netzwerke erreichen kann, und zwar unabhängig davon, ob er das über die lokale oder offentliche IP tun möchte. Das dies nun nicht funktioniert ist auch der Grund, weshalb ich diese Frage hier gestellt habe, woruf ich umgehend auf mein Anfängerfehler, das Routing nicht aktiviert zu haben, hingewiesen wurde.
Weshalb der Provider die APIPA-Adressen gewählt hat, kann ich nicht sagen. Was ich aber weis, dass dahinter ein Switch geschaltet ist, mit dem alle 4 Server verbunden sind. Wäre der Verzicht auf APIPA-Adressen in diesem Fall die Lösung meines Problems?
erstmal vielen Dank für Ihr Beitrag zur Lösung meines Problems!
Und Ja, wie Sie bereits erkennen konnten, bin ich kein Profi im Bereich Netzwerken. Routing habe ich aktiviert, damit ein Server, der Mitglied bei zwei Netzwerken ist, andere Mitglieder der Netzwerke erreichen kann, und zwar unabhängig davon, ob er das über die lokale oder offentliche IP tun möchte. Das dies nun nicht funktioniert ist auch der Grund, weshalb ich diese Frage hier gestellt habe, woruf ich umgehend auf mein Anfängerfehler, das Routing nicht aktiviert zu haben, hingewiesen wurde.
Weshalb der Provider die APIPA-Adressen gewählt hat, kann ich nicht sagen. Was ich aber weis, dass dahinter ein Switch geschaltet ist, mit dem alle 4 Server verbunden sind. Wäre der Verzicht auf APIPA-Adressen in diesem Fall die Lösung meines Problems?
Zitat von @uups81:
Routing habe ich aktiviert, damit ein Server, der Mitglied bei zwei Netzwerken ist, andere Mitglieder der Netzwerke erreichen kann, und zwar unabhängig davon, ob er das über die lokale oder offentliche IP tun möchte.
Routing habe ich aktiviert, damit ein Server, der Mitglied bei zwei Netzwerken ist, andere Mitglieder der Netzwerke erreichen kann, und zwar unabhängig davon, ob er das über die lokale oder offentliche IP tun möchte.
Das ist nicht die Funktion von Routing. Ein Computer kann andere Computer in deren Netzwerk er selbst eine IP hat direkt erreichen (und macht das auch). Routing ist nur nötig wenn man keine direkte Verbindung zu dem gewünschten Netz hat.
Weshalb der Provider die APIPA-Adressen gewählt hat, kann ich nicht sagen. Was ich aber weis, dass dahinter ein Switch geschaltet ist, mit dem alle 4 Server verbunden sind. Wäre der Verzicht auf APIPA-Adressen in diesem Fall die Lösung meines Problems?
Der Provider hat hier gar nichts gewählt, APIPA Adressen sind Fallback Adressen die sich das Betriebssystem automatisch gibt wenn nichts anderes verfügbar/konfiguriert ist. Dem Provider ist es erstmal egal welche Adressen du auf den Interfaces konfigurierst.
Aber du hast immer noch nicht gesagt was du eigentlich machen willst, du hast die Server ja sicherlich nicht nur zum rumspielen gemietet?
/Thomas
Der Provider hat hier gar nichts gewählt, APIPA Adressen sind Fallback Adressen die sich das Betriebssystem automatisch gibt wenn nichts anderes verfügbar/konfiguriert ist. Dem Provider ist es erstmal egal welche Adressen du auf den Interfaces konfigurierst.
Das meinte ich ja auch, s. oben. Der Provider schaltete einfach ein 6-Port-Switch ein und verbindete die 4 Server mit dem Switch. Hinter dem Switch ist vermutlich nichts, was für die Vergabe der Adressen zuständig wöre, so dass die Server sich selbst die Adressen vergeben.
Aber du hast immer noch nicht gesagt was du eigentlich machen willst, du hast die Server ja sicherlich nicht nur zum rumspielen gemietet?
Die Server mieten wir schon etwas länger und die haben bis jetzt immer ihren Zweck erfüllt und tun es immer noch. Ich bin nicht befugt, die ganzen Details offen zu legen. Ich kann nur sagen, dass die gegebene Infrastruktur aus einem Datenbank- und zwei Anwendungsserver besteht, die bis jetzt immer über das lokale Netzwerk miteinander kommuniziert haben. Die Kommunikation über public IPs wurde nie ausprobiert, da nicht notwendig.
Der eigentliche Zweck des ganzen hier ist recht banal: es kam gerade ein 4. Server dazu, der unter anderem als Test- und Presäntationsumgebung für die Client-Software dienen soll. Die Client-Software versucht erfolglos, die Verbindung mit dem Anwensungsserver über die öffenliche IP herzustellen.
Keine Arme, keine Kekse. Ohne zu wissen wer von wo wie auf was zugreifen will wird dir niemand helfen können. Es wäre wohl an der Zeit einen Dienstleister zu beauftragen.
/Thomas
Die Client-Software versucht erfolglos, die Verbindung mit dem Anwensungsserver über die öffenliche IP herzustellen.
Wozu soll sie das denn machen? Der vierte Server hat doch auch ein privates Interface das man nutzen könnte?/Thomas
Ohne zu wissen wer von wo wie auf was zugreifen will wird dir niemand helfen können. Es wäre wohl an der Zeit einen Dienstleister zu beauftragen.
Mensch, ein Programm auf einem Server möchte sich mit einem Programm auf dem anderen Server über die öffentliche IP des letzeren zugreifen, was muss man da noch erläutern? Auf dem Anwendungsserver läuft eine Server-Software, mit der sich die Clients verbinden.
Wozu soll sie das denn machen?
Wieso sollte sie das nicht machen? Was spricht dagegen? Ich habe die öffentlich zugängliche Installationsdatei unserer Client-Software heruntergeladen, installiert, ausgeführt und mich gewundert, wieso keine Verbindung mit dem Server möglich ist.
Der vierte Server hat doch auch ein privates Interface das man nutzen könnte?
Das tut er. Mich interessiert aber, wie ich die Server dazu bringe, auch über öffentliche IPs miteinander kommunizieren zu können. Ob ich das jemals brauchen werde ist erst mal dahingestellt.
Na dann viel Spaß beim forschen, für mich ist hier mangels sinnvoller Informationen EoT.
Na dann viel Spaß beim forschen, für mich ist hier mangels sinnvoller Informationen EoT.
Ich habe schon vermutet, das Sie zu dem Thema nichts brauchbares werden sagen können. Trotzdem vielen Dank für Ihr Beitrag!
Hiho,
liegt mit einer ziemlichen Sicherheit an der Firewall, aber das wäre schon wieder so logisch das es diesen Thread sinnlos machen würde. Aber naja ich poste dir mal die Doku, da du Hetzner geschrieben hast:
https://wiki.hetzner.de/index.php/Robot_Firewall
Im Zweifelsfall beim Hetzner Support anrufen, die können dir mit Sicherheit auch explizit weiter helfen.
Grüße
Somebody
liegt mit einer ziemlichen Sicherheit an der Firewall, aber das wäre schon wieder so logisch das es diesen Thread sinnlos machen würde. Aber naja ich poste dir mal die Doku, da du Hetzner geschrieben hast:
https://wiki.hetzner.de/index.php/Robot_Firewall
Im Zweifelsfall beim Hetzner Support anrufen, die können dir mit Sicherheit auch explizit weiter helfen.
Grüße
Somebody
Diese Antwort habe ich vom Hetzner erhalten:
Kann mir jemand anhand des oben beschriebenen Beispiels (Server #1 und Server #2) sagen, wie ich solch eine Hostroute festlege?
Vielen Dank für Ihre Anfrage. Da die Server im gleichen Rack stehen und daraus resultierend am gleichen Switch angeschlossen sind, müssten Sie auf jedem der Server entsprechend eine Hostroute festlegen. Da die Server aufgrund der am Switch vorherrschenden Sicherheitsrichtlinien nicht direkt über den Switch untereinander kommunizieren dürfen, müssten Sie eben mit der erwähnten Hostroute allen Traffic für je die anderen drei Server direkt ans Gateway senden. Diese Route ist äquivalent auf allen vier Servern zu setzen, dann können diese auch wieder untereinander über die öffentlichen IPs sprechen.
Kann mir jemand anhand des oben beschriebenen Beispiels (Server #1 und Server #2) sagen, wie ich solch eine Hostroute festlege?
Auf Server 1 z.B. für den Zugriff auf Server 2
Usw. Oder eben mit Maske für das ganze Subnet oder den Teil mit deinen Adressen ...
Schon ziemlich bedenklich wer da so alles an öffentlichen Servern ohne grundlegende Netzwerk-Kenntnisse rum schraubt ...🧐
route -p add 88.77.66.13 MASK 255.255.255.255 88.77.66.1Schon ziemlich bedenklich wer da so alles an öffentlichen Servern ohne grundlegende Netzwerk-Kenntnisse rum schraubt ...🧐
1
Zitat von @uups81:
Kann mir jemand anhand des oben beschriebenen Beispiels (Server #1 und Server #2) sagen, wie ich solch eine Hostroute festlege?
Gegenfrage, war Dein Beispiel ein frei erfundenes Beispiel, da die Adressen 88.77.66.12/13 laut Ripe zu Vodafone gehören?Kann mir jemand anhand des oben beschriebenen Beispiels (Server #1 und Server #2) sagen, wie ich solch eine Hostroute festlege?
Ist da auf Seiten Hetzner noch ein Router im Spiel?
Generell ist eine persistente Route mit Hostroute gemeint, diese fügst Du nach folgendem Muster hinzu:
route -p add [Ziel] mask [Netzmaske] [Gateway]
Das Ganze auf einer Admin-Kommandozeile (unter Windows).
Aber Vorischt, man kann sich auch mal fix aussperren, wenn man die Daten nicht korrekt eingibt.
Schon ziemlich bedenklich wer da so alles an öffentlichen Servern ohne grundlegende Netzwerk-Kenntnisse rum schraubt ...
Welch wahre Worte wenn man das obige mitliest...!! Schlimm wenn es schon an solchen Basiscs scheitert die der IT Azubi im ersten Lehrjahr lernt.1Welch wahre Worte wenn man das obige mitliest...!! Schlimm wenn es schon an solchen Basiscs scheitert die der IT Azubi im ersten Lehrjahr lernt.
Das stimmt! Vor allem, wenn man Medizin promoviert hat.
Na wenn das so ist, dann sollte ich heute auch gleich damit anfangen anderen Leuten Gesundheitstipps zu geben und Medikamente zu verschreiben
Und wenn ich schon dabei bin, kann Chirurgie ja eigentlich auch nicht so kompliziert sein, ich mein man braucht ja nur ein Skalpell dazu.
Zitat von @uups81:
Wieso sollte sie das nicht machen? Was spricht dagegen? Ich habe die öffentlich zugängliche Installationsdatei unserer Client-Software heruntergeladen, installiert, ausgeführt und mich gewundert, wieso keine Verbindung mit dem Server möglich ist.
Wozu soll sie das denn machen?
Wieso sollte sie das nicht machen? Was spricht dagegen? Ich habe die öffentlich zugängliche Installationsdatei unserer Client-Software heruntergeladen, installiert, ausgeführt und mich gewundert, wieso keine Verbindung mit dem Server möglich ist.
Sorry uups81 aber wer so auf Fragen von fachlich deutlich versierteren "Kollegen" antwortet, der hat für mich jegliche Berechtigungen im Umgang mit Public IPs, Firewalls und Servern verloren.
Du handelst grob fahrlässig wenn du solche Maschinen administrieren darfst und derart grundlegendes Wissen nicht besitzt. Ich hoffe die IPs oben sind nicht deine. Pingbar ist eine zumindest schon mal.
Kleiner Anreiz zum nachdenken:
Was spricht dagegen, dass jeder Mensch da draussen Services auf dem Server erreichen kann?
Antwort: Alles.
Gruß
Ex0r
