nat zwischen 2 netzen ok, ausser windows login

T

Turambar

New Member
Hi,

Ich habe leider ein kleines Problem, drum auch mein erster Post in diesem Forum ;-)

Mein Setup sieht folgendermaßen aus:

Code: 
LAN1 (hat alle server)
       |
       |
fxp0 141.12.87.53

Gateway/Firewall

ep0 192.168.1.1
       |
       |
LAN2 192.168.1.xxx

Auf ep0 läuft ein dhcp server der die ips für das 192.168.1 netz vergibt.

Seine conf ist folgende:

Code: 
shared-network TEST-NET {

        option  domain-name "LAN2"; #platzhalter...
        option  domain-name-servers 141.12.35.9, 141.12.62.26;
        option  netbios-name-servers 141.12.34.1, 141.12.59.5;

        subnet 192.168.1.0 netmask 255.255.255.0 {
                option routers 192.168.1.1;
                range 192.168.1.10 192.168.1.20;
        }
}

Die pf.conf ist..

Code: 
ext_if="fxp0"
int_if="ep0"

nat pass on $ext_if from $int_if:network to any  -> ($ext_if)
pass all

Ip forwarding ist auch an.

Die Clients im LAN2 sind Linux/BSD und Windows Clients.

Die Clients können ohne Probleme auf das LAN1 zugreifen und auf das dahinterliegende Internet.

Das Problem nun aber ist dass sich die Windows Rechner nicht in beim Domain Controller anmelden können der im LAN1 ist wies scheint.

Warum dem so ist, keine Ahnung...

Wäre echt toll wenn jemand mit weiterhelfen könnte

Danke
 
Wenn ich richtig informiert bin, kann das nicht funktionieren. Das liegt daran, das der Netbios-Header ein Feld enthält in dem die Owner-IP eingetragen ist. Die NAT die du einsetzt kümmert sich jedoch nicht um Netbios-Header, sondern nur um IP. Das heißt, das der Anmelde-Server versucht sein Antwortpaket an die 192.168.1.x zu senden, welche er im lokalen Segment natürlich nicht finden kann. Wenn du zwingend aufs Natten angewiesen bist, fallen mir da nur zwei Möglichkeiten ein. Entweder ein zweiter Domänencontroller im LAN2 oder eine Route auf dem Anmeldeserver für LAN2 an die externe Adresse der NAT mit statischem Mapping. Testweise könnte man auch Netbios über TCP/IP probieren, das sollte aber eigentlich nicht funktionieren.
 
morph hat völlig recht.

Hier der Artikel von M$:

http://support.microsoft.com/default.aspx?scid=kb;en-us;172227

Ist dieser Gateway der einzige?

Ich nehme an das die Verbindung zwischen LAN1 und LAN2 über's Internet besteht, da fxp0 eine offizielle IP Adresse besitzt.

(Ich greife hier vielleicht ein bißchen weit vor, aber denkbar)

Falls auf der "andereren" Seite noch ein Gateway seinen Dienst verrichtet wäre vielleicht VPN eine Option (die Daten im Klartext über Internet zu senden würde ich in diesem Fall für sehr bedenklich halten)?
Falls nicht wofür NAT, da Dein Gateway das Routing übernimmt?
 
Danke für eure schnellen Antworten.

das ist also ziemlich besch***en.

fxp0 hat ne öffentliche ip ja, aber hängt nicht direkt am inet.

Warum ich überhaupt NATen will?

Nun es geht um die Abschottung von einem kleineren Netz vom Hauptnetz (LAN1). D.h. die Installation von einer Firewall mit der Möglichkeit mehrere VLANs in LAN2 zu errichten.

Es gäbe noch andere Möglichkeiten dies zu erreichen aber keine die mir so einfach zu managen erscheint

in dem MS Artikel steht dass die NAT software auch die netbios header ändern muss. Kann OpenBSD das? Sieht wohl nicht so aus...
 
Eine NAT ist aber keine Firewall und wird diese auch nicht ersetzen können. Soll heißen: spar die die NAT, entwickle eine passende pf.conf und schon ist das Problem gelöst.
 
Turambar schrieb:
das ist also ziemlich besch***en.
Zum Vergrößern anklicken....

Kannst Du singen :)

fxp0 hat ne öffentliche ip ja, aber hängt nicht direkt am inet.

Warum ich überhaupt NATen will?

Nun es geht um die Abschottung von einem kleineren Netz vom Hauptnetz (LAN1). D.h. die Installation von einer Firewall mit der Möglichkeit mehrere VLANs in LAN2 zu errichten.
Zum Vergrößern anklicken....

Wenn fxp0 zwar eine öffentliche IP Adresse besitzt aber nicht direkt mit dem Internet verbunden ist verstehe ich nicht warum Du NAT benutzt.

Um das Netz abzuschotten brauchst Du ja kein Nat zu benutzen, da das Routing Du intern ja wunderbar selbst übernehmen kannst und die VLAN's auch widerrum selbst einrichtest.

in dem MS Artikel steht dass die NAT software auch die netbios header ändern muss. Kann OpenBSD das? Sieht wohl nicht so aus...
Zum Vergrößern anklicken....

Nein, nicht das ich wüßte. Wenn jemand anders mehr weiß ........
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben