none
SBS 2011, zwei WAN-Zugänge und Zertifikate RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe für mein SBS-2011-Netzwerk zwei Internetzugänge, einmal DSL und einmal LTE. Für den DSL-Zugang (mit fester IP) gibt es ein Zertifikat von Thatwe, damit funktioniert der Remotezugriff problemlos.
    Für den neuen LTE-Zugang gibt es einen DDNS- Eintrag bei no-ip.org. Über diesen Zugang komme ich zumindest bis aud den RWW (mit Zertifikatswarnung). Remote-Zugriff auf PC ist nicht möglich.

    Muss ich für den Zugriff via LTE ein weiteres Zertifikat erstellen (lassen) oder wie funktioniert der Zugriff sonst?

    Gruß Maik
    Montag, 14. Januar 2013 19:08
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi Maik,

    1. erstell eine neue Subdomain und lass die auf den DSL-Anschluss einrichten.
    2. die neue Subdomain ist Dein Standard MX
    3. Richte remote.deineDomain.tld als CName auf die DeineDomain.no-ip.org ein
    4. optional richte remote.deineDomin.tld als weiteren MX-Record ein (hier gibt's unterschiedliche Meinungen, ob man einen 2. MX haben soll oder nicht)

    Volker

    Und Abends ein Glas Wein von AMAVINO

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 13:10
    |
  • Question
    Anmelden
    1
    Anmelden

    Bisher lief die Konfiguration so, wie sie Tobias beschrieben hat. Das Zertifikat ist auf remote.firma.de ausgestellt und diese verweist auf die feste IP des DSL-Anschlusses. Da dies aber nur ein 2000er Anschluss ist und nix anderes auf absehbahre Zeit verfügbar ist wurde noch ein LTE Anschluß dazu geordert. Beides läuft über eine Zyxel USG100, die sich um das Balancing kümmert (SMTP über DSL, HTTP über LTE usw.)
    Nun ist die Idess, den auch im Upstream wesentlich schnelleren LTE-Anschluss für den Remotezugriff (auf User-PC im Netzwerk) zu verwenden. Muss ich dazu das Zertifikat auf den anderen Anschluß umschreiben lassen oder kann es entsprechend erweitert werden?

    Wenn es lediglich um die Umstellung des DSL auf den LTE-Anschluss geht, dann ersetz die feste Zuordnung:

    123.123.123.123       A     remote.firma.de

    mit der der dyn. IP-Adresse des LTE-Anschlusses geschuldeten weitergeleiteten Zuordnung wie z.B.:

    firma.no-ip.org      CNAME  remote.firma.de

    Die IP-Adresse hinter "firma.no-ip.org" sollte von dem verwendeten Router dyn. aktualisiert werden, sobald diese sich ggf. ändert.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 13:50
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    Hi Tobias,

    findest Du es nicht wichtig, dass der MX Record auf der festen IP bleibt? Ich hatte mit dyn-IP oft genug das Problem, dass diese dyn-IP von Spam-Programmen geblockt wurde.

    Volker

    Und Abends ein Glas Wein von AMAVINO

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 13:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Den MX-Eintrag kann man - wie von Dir beschrieben - so "umbiegen" - ergo also:

    123.123.123.123          A    mail.firma.de
    firma.no-ip.org      CNAME   remote.firma.de
    mail.firma.de              MX   firma.de

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 14:09
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hast du für den LTE-Zugang eine fest, öffentliche und route-bare IP? Du willst doch von außen auf dein System?

    Guido Over
    MCITP Server Administrator 2008
    MCITP Enterprise Administrator 2008
    MCSA Windows Server 2008
    MCSA Windows Server 2012

    Dienstag, 15. Januar 2013 08:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Nein, die IP wechselt. Daher auch der Eintrag bei no-ip.org. Der Zugriff bis auf den RWW funktioniert ja auch.

    Gruß Maik

    Dienstag, 15. Januar 2013 09:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Es gibt öffentliche IP-Adressen, die nicht-routbar sind, dann hilft dir auch no-ip.org nicht. Bei UMTS-Surf-Stick hatte ich das Problem auch schon mal.

    Welche IP-Konfiguration hast du aktuell?

    Guido Over
    MCITP Server Administrator 2008
    MCITP Enterprise Administrator 2008
    MCSA Windows Server 2008
    MCSA Windows Server 2012

    Dienstag, 15. Januar 2013 09:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Nein, es ist schon eine öffentliche IP. Ist extra bei Vodafone über die Sprachoption so geregelt.
    Wenn die IP nicht routbar wäre, dürfte ich doch auch nicht auf den RWW des SBS kommen oder?

    LG Maik

    Dienstag, 15. Januar 2013 09:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Maik,

    was willst Du denn damit erreichen? Mir erschließt sich der Sinn nicht.

    Wir haben zwar auch zwei Leitungen, aber nur eine wird für den RWW verwendet. Für uns sind die beiden Leitungen nur da, damit praktisch immer ein Internetzugriff besteht und v. a. die Mails angenommen werden können (1. öIP mail1.meinedomain.de, 2. öIP mail2.meinedomain.ip).

    Wenn es um die permanente Erreichbarkeit des RWW geht, dann wäre evtl. ein TMG dazwischen eine Lösung. Der hört dann beide Zugänge ab und jeweils auf Remote.deineDomain.tld weiter.


    Volker

    Und Abends ein Glas Wein von AMAVINO

    Dienstag, 15. Januar 2013 10:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Was genau willst Du erreichen? Hochverfügbarkeit? Dann solltest Du einen passenden Router davorstellen, der Dir diese beiden Zugänge dyn. umsetzt.

    Der SBS sollte immer unter seiner im "Set up your Internet address" Wizard eingetragenen Namen (hier: z.B.: "remote.firma.de") von extern erreichbar sein, da nur auf diesen das Zertifikat ausgestellt ist bzw. werden sollte.

    Welche IP-Adresse sich dann dahinter verstecken, wird mittels externen (dyn.) DNS und ggf. einen active-passive Loadbalancer realisiert und ist für den weiteren Zugriff transparent.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Dienstag, 15. Januar 2013 11:30
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Bisher lief die Konfiguration so, wie sie Tobias beschrieben hat. Das Zertifikat ist auf remote.firma.de ausgestellt und diese verweist auf die feste IP des DSL-Anschlusses. Da dies aber nur ein 2000er Anschluss ist und nix anderes auf absehbahre Zeit verfügbar ist wurde noch ein LTE Anschluß dazu geordert. Beides läuft über eine Zyxel USG100, die sich um das Balancing kümmert (SMTP über DSL, HTTP über LTE usw.)
    Nun ist die Idess, den auch im Upstream wesentlich schnelleren LTE-Anschluss für den Remotezugriff (auf User-PC im Netzwerk) zu verwenden. Muss ich dazu das Zertifikat auf den anderen Anschluß umschreiben lassen oder kann es entsprechend erweitert werden?

    LG Maik

    Dienstag, 15. Januar 2013 12:56
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Maik,

    1. erstell eine neue Subdomain und lass die auf den DSL-Anschluss einrichten.
    2. die neue Subdomain ist Dein Standard MX
    3. Richte remote.deineDomain.tld als CName auf die DeineDomain.no-ip.org ein
    4. optional richte remote.deineDomin.tld als weiteren MX-Record ein (hier gibt's unterschiedliche Meinungen, ob man einen 2. MX haben soll oder nicht)

    Volker

    Und Abends ein Glas Wein von AMAVINO

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 13:10
    |
  • Question
    Anmelden
    1
    Anmelden

    Bisher lief die Konfiguration so, wie sie Tobias beschrieben hat. Das Zertifikat ist auf remote.firma.de ausgestellt und diese verweist auf die feste IP des DSL-Anschlusses. Da dies aber nur ein 2000er Anschluss ist und nix anderes auf absehbahre Zeit verfügbar ist wurde noch ein LTE Anschluß dazu geordert. Beides läuft über eine Zyxel USG100, die sich um das Balancing kümmert (SMTP über DSL, HTTP über LTE usw.)
    Nun ist die Idess, den auch im Upstream wesentlich schnelleren LTE-Anschluss für den Remotezugriff (auf User-PC im Netzwerk) zu verwenden. Muss ich dazu das Zertifikat auf den anderen Anschluß umschreiben lassen oder kann es entsprechend erweitert werden?

    Wenn es lediglich um die Umstellung des DSL auf den LTE-Anschluss geht, dann ersetz die feste Zuordnung:

    123.123.123.123       A     remote.firma.de

    mit der der dyn. IP-Adresse des LTE-Anschlusses geschuldeten weitergeleiteten Zuordnung wie z.B.:

    firma.no-ip.org      CNAME  remote.firma.de

    Die IP-Adresse hinter "firma.no-ip.org" sollte von dem verwendeten Router dyn. aktualisiert werden, sobald diese sich ggf. ändert.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 13:50
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    Hi Tobias,

    findest Du es nicht wichtig, dass der MX Record auf der festen IP bleibt? Ich hatte mit dyn-IP oft genug das Problem, dass diese dyn-IP von Spam-Programmen geblockt wurde.

    Volker

    Und Abends ein Glas Wein von AMAVINO

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 13:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Den MX-Eintrag kann man - wie von Dir beschrieben - so "umbiegen" - ergo also:

    123.123.123.123          A    mail.firma.de
    firma.no-ip.org      CNAME   remote.firma.de
    mail.firma.de              MX   firma.de

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    • Als Antwort markiert Maik Hahmann Mittwoch, 16. Januar 2013 07:11
    Dienstag, 15. Januar 2013 14:09
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Volker, hallo Tobias,

    vielen Dank für Eure Anregungen. Werde das am Wochenede mal ausprobieren.

    Wird der MX Eintrag eigentlich zur Evaluierung des Absenders verwendet? Ich dachte bisher, die Nutzung des SMTP-Relays der Telekom über eine öffentliche IP behebt die Spam-Problematik.

    Gruß Maik

    Mittwoch, 16. Januar 2013 07:14
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi Maik,

    SMTP über Telekom ist mir nur als Senderichtung bekannt, nicht aber zum Empfang. Auch da kann es sein, dass Du geblockt wirst.

    Ich hatte das u. a. einmal weil der Sender die Norton DNS-Server zur Namensauflösung verwendet hat und weil wir ja Alkohol verkaufen standen wir da dann auf einer Verbotsliste bzw. wird der Name einfach nicht aufgelöst.

    Problematisch daran ist, dass der Absender z. T. keine Unzustellbarkeitsmeldung bekommt und davon ausgeht, dass die Mail angekommen ist. Und jetzt erklär mal dem Kunden "wir haben keine Mail erhalten", wenn der Kunde kein NDR erhalten hat. Hat mich einige Telefonate mit deren IT-Abteilung gekostet.

    Volker

    Und Abends ein Glas Wein von AMAVINO

    Mittwoch, 16. Januar 2013 07:38
    |