Konfiguration des ISA zur Anbindung an dsl über einen zusätzlichen dsl-Router
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
In den vorangegangenen Kapiteln wurden folgende Möglichkeiten zur Anbindung des ISA an das Internet beschrieben:
- ISDN- oder Modemverbindung, die direkt vom ISA gesteuert wird
- Verbindung mit (t)dsl, wobei der ISA die Verbindung steuert
- Anbindung an einen Standleitungsrouter mit statischen öffentlichen IP-Adressen
Es gibt also pauschal gesehen zwei unterschiedliche Arten, wie der ISA an das Internet angebunden werden kann. Einerseits kann man DFÜ-Verbindungen (eine dsl-Verbindung ist so gesehen nichts anderes) und andererseits eine Standleitung verwenden. Unabhängig von der jeweiligen Infrastruktur-Verfügbarkeit haben natürlich (wie sollte es anders sein) beiden Möglichkeiten ihr Vor- und Nachteile.
DFÜ-Verbindungen sind in der Regel preisgünstig und haben oftmals sogar eine Flatrate (d.h. weder zeit- noch volumenabhängige Kosten). Außerdem stellen sie meist keine hohen Ansprüche an Leitungs-/Anschlusstechnik und können daher an fast jedem Telefonanschluß benutzt werden. Allerdings wird bei diesen Angeboten meist eine dynamische IP-Adresse zugeteilt, die bei jeder Einwahl anders ist. Die meisten Anbieter haben zudem eine Zwangstrennung der Verbindung nach einer bestimmten Zeit (oft 24 Stunden) eingeführt, was das Veröffentlichen eines internen Servers nahezu unmöglich macht. Ein weiterer Nachteil ist, dass sich der ISA Server selber um den Verbindungsaufbau kümmern muss - was zusätzliche Schwierigkeiten mit sich bringt. Eine DFÜ-Anbindung an das Internet verfügt auch meist nur über eine öffentliche IP-Adresse. Dadurch kann je nach Einsatzgebiet nicht alles ermöglicht werden, was man sich vornimmt (bezogen auf Veröffentlichung von internen Diensten).
Standleitungen dagegen bringen einen eigenen Router mit, der einen manuellen Verbindungsaufbau durch den ISA Server unnötig macht. Standleitungen haben in den allermeisten Fällen statische Öffentliche IP-Adressen (je nach Anbieter nur eine oder mehrere). Somit braucht sich der ISA nicht um den Verbindungsaufbau kümmern und kann mehrere öffentliche IP-Adressen verwalten und somit die unterschiedlichsten Dienste zur Verfügung stellen. Wenn durch den ISP mehrere IP-Adressen zur Verfügung gestellt werden, bekommt der ISA alle bis auf eine - die ist für den Router. Meist erhält man ein IP-Subnetz mit 8 IP-Adressen. Davon sind die erste und letzte zur Beschreibung des Netzes notwendig, die zweite erhält der Router, so dass dem ISA noch 5 IP´s übrig bleiben. Wenn man vom Provider nur insgesamt eine IP bekommt, muss der Router NAT machen und er erhält die öffentliche IP auf der externen Seite. Intern wird zwischen dem Router und dem ISA ein eigenes, privates Netz aufgebaut. Im Router müssen dann einzelne (oder, wenn der Router das zulässt, alle Ports) auf den ISA weitergeleitet werden. Dass die Verwendung von statischen IP-Adressen viele Vorteile hat, muss hier wohl nicht erwähnt werden. Der größte Nachteil von Standleitungen ist aber der Preis. Meist liegen sie bei einem Vielfachen der Kosten wie eine ISDN- oder dsl-Anbindung.
Was liegt also näher, als zu versuchen, die Vorteile beider Lösungen miteinander zu kombinieren und dabei möglichst viele Nachteile wegzulassen? Geht das überhaupt?
Ja, das geht. Man nehme einfach einen kleinen, günstigen dsl-Router für rund 100€ (Oktober 2002) und füge ihn zwischen ISA Server und dsl-Modem. (Durch das neue Protokoll U-R2 der Deutschen Telekom AG sind sogar schon dsl-Router mit integriertem Modem verfügbar.) Das hat zur Wirkung, dass sich der Router ab sofort um den Verbindungsaufbau zu dsl kümmert und dem ISA eine statische IP "vorgaukelt". Somit kann dieser problemlos Web- und Serververöffentlichungsregeln erstellen und betreiben. Einige Router haben sogar eine direkte Unterstützung für dyndns.org oder ähnliche Dienste.
Was ist dyndns?
Wie bereits oben erwähnt, verwenden die meisten ISP dynamische IP-Adressen, die sie den eingewählten Rechnern zuweisen. Bei jeder Einwahl ist diese IP anders, man kann sich also nicht darauf verlassen, wieder die selbe zu bekommen. Das ist natürlich ganz schön lästig, wenn man für den Heimgebrauch einen Webserver etc. zugänglich machen will. Mann muss ja jedes Mal die neue IP-Adresse kennen. Das erschwert den Zugriff, denn wenn man zuerst am Rechner nachsehen muss, wie man ihn erreicht kann man auch direkt davor sitzen bleiben. Aber wie immer im IT-Bereich: Kein Problem ohne Lösung. Um diese Einschränkung zu umgehen, haben sich verschiedene Anbieter etwas einfallen lassen. Sie richten eine sich dynamisch aktualisierende Zuordnung von IP-Adresse zu einem festen URL ein. Viele dieser Anbieter machen dies mit Grundangeboten kostenfrei. Man erhält z.B. einen Namen wie meinzugang.anbieter.com. Unter diesem Namen ist man dann immer erreichbar. Damit das aber funktioniert, muss der Anbieter stets die aktuelle IP wissen - dafür gibt es verschiedene Softwareclients, die diese Zuordnung registrieren. Technisch betrachtet steckt eine sehr kurze TTL (Time to live) in der jeweiligen DNS-Zone dahinter. Dadurch kann nun der eigene Webserver immer über http://meinzugang.anbieter.com erreicht werden. Natürlich sind auch andere Dienste außer http denkbar. VPN-Zugänge, Terminaldienste und sogar Mailserver. Wobei man sich letzteres gut überlegen sollte. Es gibt technisch bedingt immer Zeiten, in denen die registrierte IP-Adresse schon jemandem anderes gehören könnte, aber die DNS-Einträge noch nicht aktualisiert wurden. So könnte theoretisch (wenn man Murphy´s Gesetz miteinbezieht) ein anderer Mailserver die Mails zugestellt bekommen. Theoretisch.
Die Verwendung eines Routers ist in den meisten Fällen wesentlich stabiler und zuverlässiger, als den ISA das übernehmen zu lassen. Wie wird das jetzt konfiguriert, was ist zu beachten?
Logisch gesehen sieht der Aufbau wie folgt aus:
Eine mögliche Konfiguration der IP-Adressen könnte wie folgt aussehen:
Somit können am ISA wie bereits mehrfach erwähnt Server- und Webveröffentlichungsregeln erstellt werden, die auch nach dem Wechsel der dynamischen IP noch einwandfrei funktionieren. Der ISA kennt ja nur die 192.168.69.2 als externe IP an. Diese darf natürlich nicht in der LAT des ISA eingetragen werden!
Idealerweise verwendet man einen dsl-Router, der die Funktion "DMZ-Server" unterstützt. Dies bewirkt, dass alle externen Anfragen an den Router direkt an den ISA weitergeleitet werden. Es müssen dann keine Portforwarder eingerichtet werden, was die Konfiguration erleichtert. Bei einem Netgear-Router stellt man das z.B. hier ein:
Advanced -> Ports
Wenn die Option "Response to Ping on WAN Port" aktiviert ist, lässt sich der Router von außen pingen. Die selbe Funktion ist im ISA auch implementiert.
Die LAN-Einstellungen des Routers sehen für dieses Szenario wie folgt aus:
DHCP wird in diesem Beispiel nicht verwendet, da der ISA Server der einzige Rechner ist, der am Router angeschlossen wurde. Und natürlich bekommt der ISA eine fest eingetragene IP-Adresse.
Netgear-Router haben einen eingebauten Client für dyndns.org. Um den (kostenfreien) Dienst nutzen zu können, muss man sich bei www.dyndns.org registrieren und erhält im Gegenzug Benutzernamen und weitere Parameter. Die kann man im folgenden Konfigurationsfenster eingeben - und nach wenigen Minuten ist man wie oben beschrieben über einen URL erreichbar:
Die restliche Konfiguration der Netzwerkschnittstellen erfolgt genauso, wie im Kapitel Standleitung beschrieben wurde. Die einzige Änderung ist eben, dass die "externe" IP-Adresse eine Private ist. Zu erwähnen wäre noch, dass es natürlich nicht möglich ist, mehrere "externe" IP-Adressen am ISA zu verwenden. Der Router kann ja nur über eine öffentliche IP-Adresse angesprochen werden, da nutzt es dem ISA nichts, wenn dieser mehrere verwalten kann. Selbst wenn man in der Router-Konfiguration statt "DMZ-Server" Portforwarder einrichtet - eine Verwendung mehrerer externer IP-Adressen macht keinen Sinn.
Wenn zur Konfiguration des Routers oder zu diesem Thema generell weitere Fragen bestehen, am besten in der Newsgroup zum ISA Server nachfragen.
Stand: Friday, 28. August 2009/DR.
