5.11.2001

Routing und RAS

Windows beherbergt im Wesentlichen zwei Routingmöglichkeiten. Internet Connection Sharing (ICS) und Network Address Translation (NAT). Benutzt man ICS oder NAT, kann man im LAN private Internetadressen benutzen. Im Internet sind diese nicht sichtbar. Kostensparungen durch weniger Hardware im Gegensatz zu NAT treten obligatorisch auf. Die Internetverbindung wird gleichzeitig von mehreren Rechnern benutzt. Der Einfachheit kann man sagen, dass ICS die grob abgespeckte Version von NAT ist. ICS wird im SOHO-Bereich (Small Office / Home-Office) bevorzugt. W2k-Professional beherrscht aber nur ICS, währen W2k-Server beide Verbindungsarten beherrscht. Ein weiteres Kriterium ist, dass ICS nur eine Einwahlverbindung herstellt. Bei NAT kann auch eine LAN-Verbindung zum Internet herstellen. Bei ICS hat man nur eine öffentliche IP-Adresse, bei NAT kann man mehrere nutzen. Der Vorteil ist das sogenannte Mapping. Ich kann einer oder mehreren öffentlichen IP-Adressen eine interne Adresse zuweisen. Bei ICS wird der Einwahlrechner definitiv auf die Adresse 192.168.0.1 /24 gesetzt, das passiert bei NAT nicht. Wichtig zu wissen bei ICS ist, dass der Einwahlrechner ein MiniDHCP für diesen Adressbereich ist, und die Clients ein Gateway und einen DNS-Server aus dem Internet benötigen. Somit ist der Einwahlrechner ein kleiner DNS-Proxy. Falls man einen DHCP- oder DNS-Server im LAN stehen hat, gibt es definitiv Probleme. Dafür ist ICS einfach zu konfigurieren. Es sind auf dem "Server" einfach nur zwei Häkchen in den Eigenschaften der Einwahlverbindung für gemeinsame Nutzung zu setzen. Fertig. Da Programme wie Netmeeting solche Möglichkeiten nicht wirklich gerne sehen, kann man unter Einstellungen entsprechende Anwendungen und Dienste konfigurieren.

Bei DSL gibts da Schwierigkeiten. Der Telekom-eigene Treiber stellte ursprünglich kein ICS bereit. Mittlerweile sollten sie das aber auch beherrschen, oder man besorgt sich den C-FOS oder Engel-treiber und ersetzt den Telekomtreiber. Neuerdings gibts auch DSL-Router mit DHCP und kleiner Firewall.

Bei NAT kann man wählen, ob man überhaupt einen Mini-DHCP und DNS-Proxy bereitstellen möchte. Somit treten keine Konflikte auf, falls man einen DHCP im LAn besitzt. Die Konfiguration erfolgt über Routing + RAS.

NAT und der DHCP-Agent sind Routing-Protokolle. Man muss sie erstmal hinzufügen. Danach fügt man die Schnittstzellen ein:

Man fügt beide LAN-Verbindungen hinzu. Dabei muss eine Privat und eine Öffentlich sein. Die öffentliche hat man sich von einem Provider besorgt. Setzt man den Haken für die Öffentliche LAN-Verbindung, ist die IP-Adresse für Webserver verfügbar. Man kann auch noch an der öffentlichen Schnittstellen Konfigurationen vornehmen:

Der Adresspool stellt die Adressen des vom ISP reservierten Raums bereit. Jeweils eine öffentliche kann man mit einer privaten Adresse verbinden und damit reservieren. NAT ist die abgespeckte Version vom Proxy-Server.

Wir richten uns erstmal ein Modem ein. Danach rufen wir Routing und RAS auf. Dort sehen wir unseren Rechnernamen mit der rechten Maustaste können wir ihn starten. Ein Assistent wird uns angezeigt. Gehen wir auf die Eigenschaften des Rechnernamens, bietet sich folgendes Bild:

Als nächstes fügen wir ein neues NAT-Protokoll hinzu. Ip-Routing \ Allgemein \ Neues Routingprotokoll \ NAT. Es taucht ein neuer Punkt auf. Jetz klicken wir mit RM auf die Routingschnittstellen \ Wählen bei Bedarf. Es erscheint ein Assistent. Wir stellen die Verbindung über unser Modem her. Geben irgendeine Nummer an (z.B. 1) und wählen im nächsten Schritt das Klartextkennwort zum Provider. Danach muss man die Zugangsdaten eintragen. Nach dem Fertigstellen hat man eine neue Routingschnittstelle mit einem kleinen Telefon zwischen den PC's.

Jetzt müssen wir unter NAT die Schnittstellen hinzufügen: RM auf NAT \ Neue Schnittstelle. Für die Verbindung von aussen wählen wir unseren Remoterouter an und erklären ihn zur öffentlichen Schnittstelle. Das Häkchen setzen nicht vergessen. Dasselbe machen wir mit der LAN-Verbindung für die private Seite des Netzes. Jetzt dürfte es so aussehen:

Öffentliche Verbindungen darf man bei NAT soviele einrichten, wie möglich sind. In dieser Standardkonfiguration ist kein DHCP eingerichtet. Ersichtlich in diesem
Punkt:

Die Clients müssen demnach auch ein Standardgateway besitzen.

W2k kann folgende Protokolle routen: IPX/SPX (NWLink), AppleTalk und TCP/IP. W2k kann im Normalfall statische Adressen routen, d.h. es müssen feste Routen vorher vergeben werden. Beim dynamischen Routing tauschen Router untereinander die Informationen aus über das Routing Information Protokoll (RIP) oder Open Short Path First (OSPF). Weiterhin gehört die Adressübersetzung (NAT) und der DHCP-Relay-Agent dazu. Ein weiterer Punkt ist das Multicast-Routing über IGMP.

Weitere Anzeigen und Konfiguration:

Gehe ich auf den Punkt statische Routen, kann ich mir die aktuelle Routingtabelle anzeigen lassen

bzw. neue statische Routen festlegen.

Unter Allgemein finden wir die eingegebenen Schnittstellen. Die Eigenschaften der LAN-Verbindung zeigen uns folgendes Bild:

Mit den Filtern kann man auch eine kleine Firewall einrichten.

Richtet man W2k als RAS oder VPN-Server ein, kann man als Hardware ISDN-Karten, Modems und X.25 (DatexP) nutzen. Das WAN-Protokoll ist in dem Fall PPP (Point-to-Point-Protokoll), SLIP, MS-RAS oder ARAP, wobei PPP als häufigsts Protokoll vorkommt. Als Transportprotokoll wird am häufigsten TCP/IP genutzt. Möglich sind aber auch auch IPX/SPX oder NetBEUI.

Wir nutzen TCP/IP. Damit die beiden Computer miteinander kommunizieren können, müssen sie sich im selben Teilnetz befinden. Dazu gibt es drei Möglichkeiten:

1. Der Client erhält eine Adresse über DHCP
2. Der Client erhält eine Adresse aus einem (vordefinierten) Pool
3. Client verwendet eine fest vorgegebene Adresse

Geht man davon aus, dass ein DHCP-Server im Firmen-LAN steht, kann der RAS-Server eine von den ihm gegebenen Adressen an den Client weitergeben. Wie das trotz Internet-Router funktioniert, dazu später mehr... Oder der RAS-Server besitzt einen eigenen Pool (Punkt 2). Nehmen wir an, der DHCP-Server kann Adressen im Bereich 10.10.10.0 /16 - 10.10.10.100 /16. Der RAS-Server würde in dem Fall eine Adresse erhalten, beispielsweise 10.10.10.1 /16, der Client, der als erster anruft, bekommt die Adresse 10.10.10.2 /16. Das gilt für alle anderen Clients, die sich einwählen. Arbeitet der RAS-Server mit einem DHCP zusammen, greift er sich einen komplette 10er Block an Adressen. Sind 8 Adressen aufgebraucht, wird ein neuer 10er Block angefordert. Diese werden auf dem RAS-Server zwischengespeichert. Ein RAS-Server nimmt übrigens nur die Adressen vom DHCP entgegen , keine weiteren Optionen wie DNS-Server oder Gateway. Die Optionen übergibt er an den Client von seiner eigenen Netzwerkkarte. Soll der Client aber trotzdem Einstellungen des DHCP- und nicht des RAS-Servers übernehmen, muss auf dem RAS-Server ein DHCP-Relay-Agent installiert werden. Auf dem RAS-Server ist ein Häkchen zu setzen (Routing), das es dem Client erlaubt, nicht nur bis zum RAS-Server, sondern in das Firmen-LAN zu kommen. Das Transportprotokoll im Firmen-LAN ist unabhängig vom Transportprotokoll der Einwahlverbindung. Es kann auch ein anderes IP-Teilnetz im LAN eingerichtet werden.

Bei einem VPN-Server werden statt PPP o.ä die Tunnelprotokolle L2TP (Layer 2 Tunnel / nur in Verbindung mit IPSec wirklich sicher und arbeitet u.a. mit Header-Komprimierung) oder PPTP (Point-to-Poin-Tunneling) verwendet. L2TP ist aus einer Zusammenarbeit mit Cisco entstanden...

Die Authentifizierung , die man für die Anmeldesicherheit einbinden kann, reicht von PAP bis MS-CHAPv2, bzw. EAP. Wie wir gelernt haben, sind diese Verschlüsselungen nur für den Benutzernamen und das Kennwort bei der Einwahl. Zur Autorisierung zählen Kriterien wie Zeit, Multilink.möglichkeit, Verbindungstyp und Benutzergruppe.

Alle diese Punkte zählen zu den RAS-Richlinien. Darunter gibt es eine Richtlinie, die wir uns genauer anschauen werden: "Zugriff zulassen, wenn Einwählrechte erteilt wurden."

Wichtig ist die Reihenfolge der Richtlinien.

In der Verwaltung können die jew. Benutzer mit den Einwahlrichtlinien konfiguriert werden. Dem Benutzer muss dort explizit erlaubt worden sein, dass er sich einwählen darf (Zugriff gestattet). Zur klareren Übersicht kann man sich folgendes Flowchart einprägen: