Windows Server mit 2 Netzwerkkarten

Die Tage hab ich mich echt wie ein Kack N00b gefühlt. Die Idee war, dass wir zwei Netze teilweise miteinander verbinden, damit im FW-Netz ein PRTG Remote Probe installiert werden kann. Diese Remote Probe sollte dann explizit mit dem PRTG Core Server Verbindung aufnehmen können. Soweit so gut. Es musste eigentlich nur eine Verbindung zum PRTG Server auf Port 23560 geöffnet werden.
Wir hatten nun im Feuerwehr Netz bereits einen Server, welcher 4 Netzwerkkarten hat.
Davon war bisher explizit nur eine Karte im Betrieb. Die welche ins Feuerwehr Netz (192.x.x.x) zeigt. Standardmäßig legt man auf diese Karte ja auch immer einen Gateway an. Damit der Server weiß wohin er die Anfragen außerhalb des eigenen Netzes senden kann.
Die Verbindung zum PRTG Server haben wir mit einer RED Box von Sophos gelöst. Auf der Sophos UTM Firewall, welche im Hauptnetz (10.x.x.x) steht, wurde dazu explizit noch der Port 23560 zum PRTG Server freigeschaltet und die RED Box macht dann via Internet eine ständige VPN Verbindung zur Sophos UTM Firewall und vergibt auch automatisch eine IP Adresse via DHCP an die Clients. Im Testaufbau hat alles wie gewünscht funktioniert. Die RED Box verbindet sich via freiem Internet zur Sophos UTM Firewall und vergibt eine IP Adresse an den angeschlossenen Client. Ich kann darüber auch den PRTG Server anpingen und auch der Port 23560 ist auf. Alle anderen Ports sind zu.

Nun hab ich die RED Box ins Feuerwehr Netz angestöpselt. Internet Verbindung über den WAN Port der RED Box hergestellt und eine weitere Netzwerkkarte des Feuerwehr Servers an einen LAN Port der RED Box angesteckt. Soweit so gut. Zuerst konnte ich mal den PRTG Server pingen, später wieder nicht mehr. Der Port 23560 war dann auch mal offen, später wieder nicht mehr.
Ich hab dann gegoogelt und wollte die Routing Funktion am Server einschalten. Hat aber dann auch nichts geholfen. Dann ging nämlich gar nichts. Dann hatte ich gedacht, dass ich die RED Box einfach an die Firewall im Feuerwehr Netz dran hänge und dann darüber die Verbindung aufmache, hat aber auch nicht getan. Außerdem wollte ich sowieso das Feuerwehr Netz weiter vom Hauptnetz separieren.

Nach mehreren Versuchen war die Lösung (wenn man mal 2 Minuten länger drüber nachdenkt) so einfach wie logisch. Da der Feuerwehr Server aktuell 2 Netzwerkkarten hat, gibt es auch zwei Standard Gateways. Daher weiß der Server auch nie so richtig, wohin er die Pakete in fremde Netze schicken muss. Ein Routing war in diesem Fall auch nicht notwendig, da ich keine Verbindung von einem Client (192.x.x.x) ins Hauptnetz haben wollte. Also hab ich einfach bei der Netzwerkkarte mit 192.x.x.x den Gateway ausgeschaltet und leite den Traffic, der unbekannt ist immer über die zweite Netzwerkkarte (10.x.x.x) weiter.
So kann ich ohne große Probleme die Pakete zum PRTG Server über die zweite Netzwerkkarte (10.x.x.x) leiten und der normale Internet Traffic wird dann intelligentem Split Tunneling von der RED Box vorher über die normale Internet Verbindung geleitet. Da sich das normale Feuerwehr Netz und die RED Box denselben Internetanschluss teilen entsteht hier kein Performance Verlust.

Wenn ihr also mal so ein Thema habt: Nicht kompliziert denken, sondern immer zuerst schauen welcher Anschluss wirklich den Gateway braucht. Und dann bei einer der Karten den Gateway Eintrag entfernen.

Um einen Port per Powershell zu prüfen gibt es noch folgenden Tipp:
1..65335 | % -ThrottleLimit 500 -Parallel {write-host ((new-object Net.Sockets.TcpClient).Connect("192.168.1.5",$_)) "Port $_ is open!"} 2>$null

Ihr müsst nur die IP und vorne die Port Range anpassen. In meinem Fall hab ich halt statt 1..65335 gleich 23560 eingegeben.

TP-Link Mesh WLAN Repeater Probleme

Vorgefundene Netzwerk Topologie

Die Tage hat mich ein alter Bekannter gefragt, ob ich mal vorbeikommen könnte. Seine Internetverbindung sei sehr langsam. Hab ihn nach dem Internetvertrag gefragt. Es sei wohl ein alter Unitymedia Kabel Internetvertrag. Heute bin ich dann mal vorbeigegangen und hab mir das Ganze angeschaut.
Denn urplötzlich war wohl seine Internetverbindung am PC sehr langsam. Ich habe dann mal geschaut, wie das Ganze aufgebaut ist.
Im Keller kommt das Internet an und geht auf eine Fritz!Box mit einem 192.168.178.0 /24 Netz. Soweit so normal. Dann geht eine Leitung in den 2. Stock. Ich hab mal die Patchverbindung von oben nach unten auf Durchgang geprüft. Alles gut so weit. Die Kabel waren gut und sogar die Schirmung aufgelegt.
Dann hab ich den Rechner mal angemacht und das Internet geprüft. Totale Störung und total langsam. Zwischen dem TP-Link Router und dem Rechner war noch ein Switch dazwischen. An diesem war auch ein TP-Link WLAN Repeater eingesteckt. Nun kann man WLAN Repeater oftmals in mehreren Modes betreiben. Einmal als reiner WLAN Repeater und dann auch wieder Access Point, wo das Signal per LAN weiter verbunden wird. In dem Fall war der Repeater aber direkt als Repeater konfiguriert und hat so gesehen die LAN Verbindung gar nicht gebraucht. Aber der Rechner hat wohl aus irgendwelchen Gründen den WLAN Access Point als Router angesehen und an diesen immer seine Pakete verschickt. So war darüber die Bandbreite immer ultra langsam. Speedtest ca. 5 Mbit statt den erwarteten 120 Mbit.
Als ich den Rechner dann mal direkt an den TP-Link Router angeschlossen habe, ging plötzlich alles wunderbar. Der Rechner hatte also keine Probleme.

Angepasste Netzwerktopologie mit angepasstem Repeater

Später hab ich dann mal direkt auf den Router draufgeschaut und den WLAN Repeater entdeckt. Außerdem war hier ganz klar als Verbindungsart WLAN aktiviert. Ich habe mich dann mal auf den RE605X drauf verbunden und die Art gesehen. Auf den ersten Blick konnte ich einen Wechsel der Betriebsart entdecken. Wir haben dann aber mal bewusst die LAN Verbindung vom Repeater zum Switch getrennt gelassen und siehe da, alles ist wieder normal.

Was lernen wir daraus: Wenn man einen WLAN Repeater einsetzen möchte, unbedingt darauf achten, dass nur eine Verbindungsart vom Repeater genutzt wird. WLAN oder LAN. Wird WLAN als Repeater zum Router verwendet, sollte man die LAN Verbindung weglassen. Sonst haben die Clients, welche zufälligerweise am gleichen Switch hängen, mal das Problem, dass die Pakete mal zum Router und mal zum Repeater geschickt werden. Das erzeugt Konflikte und Störungen.
Im Normalfall ist eine LAN Verbindung zwischen Router und Repeater als Quelle immer zu bevorzugen. Dann wird der Repeater aber auch immer in der Betriebsart "Access Point (AP)" betrieben.
Der Repeater kann übrigens auch als AP verwendet werden. Das ist mir aber erst jetzt beim Schreiben des Posts aufgefallen. Egal, beim Bekannten ist nun WLAN möglich. Der Speedtest ist auch schnell genug und vor allem funktioniert der PC wieder ohne Probleme.

Gutes Werkzeug und Netzwerkverkabelung

Über den Hausbau bei einem guten Freund hab ich bisher kaum was geschrieben. Außer einmal hier um auf die AfD hinzuweisen.
Doch nun sind tatsächhlich fast 2 Jahre rum. Das Haus steht immer noch. Anfangs war vor allem erstmal eine große Entrümpelungsaktion, dann den ganzen Boden ausgraben. Die Schichten die rauskamen waren auch sehr abenteuerlich. Mal Sandsteine, mal rotes Gestein, das wie Asbest aussah. Dann wieder normale lockere Erde und normaler Beton, Gips, Gestein. Aber bei einem Haus von 1928 macht es wohl mal Sinn ein ordentliches Fundament herzustellen. So wurden auch die Außenfundamente neu gegossen (Stück für Stück) und am Ende eine einheitliche Betonplatte gegossen. Bis das endlich mal soweit war ist locker ein Jahr vergangen. Nebenbei wurden aber auch die ganze Wände abgeklopft und teilweise neu gemauert. Da die aktuellen Hausbesitzer auf alte Sachen stehen hat man in diesem Zuge auch einige Balken freigelegt bzw. neu reingemacht. Ich muss sagen, so sieht es auch richtig gut aus. Zwischendurch war ich auch mal kurz froh eine Ausrede durch mein kaputtes Knie zu haben, weil es auf Dauer doch auch nervig war. Aber mit der Zeit wurde es auch wieder schöner. Eine Zisterne wurde im Garten vergraben. Diese Graberei war auch sehr spannend und anstrengend. Nebenbei dann noch das Dach neu gedeckt, der vordere Anbau am Eingang abgerissen und ein neuer Anbau aufgebaut. Das spannende hier war immer: Außer nem Dusshammer und andere Handgeräte (teilweise auch schwerere Meisel) kam nie wirklich ein Bagger oder sonst was zum Einsatz. Also war die Arbeit eine Betonplatte zu entfernen durchaus auch anstrengend. Ich bin mir gar nicht mehr sicher wieviele Tonnen Schutt wir nun insgesamt immer wieder aufs Neue zur Deponie gefahren haben. Aber auf den Hänger gingen dann doch immer 1,8 Tonnen drauf. Es waren auf jeden Fall einige Samstage. Doch dann kam nun im letzten halben Jahr als die Bodenplatte endlich gegossen war auch die Elektroverkabelung dazu. Da ich mit Strom nichts am Hut habe, kann ich dazu nicht viel sagen. Eine PV Anlage ist leider nicht auf dem Dach, aber ein Wärmespeicher und Holzofen. Zum Holzofen hat der Kachelmann ja eine ganz besondere Meinung. Es ist einfach eine große Feinstaub Belastung. Aber natürlich ist es auch nochmal eine schöne Wärme.
SO ganz am Anfang hab ich immer alle Kabel aus den Wänden gezogen. Deshalb haben se irgendwann schon Angst gehabt, ob ich nicht irgendwann auch neue Kabel wieder rausziehe. Aber so vernünftig war ich dann doch. Außerdem kenn ich denjenigen, der die Kabel verlegt hat auch sehr gut. Da will man es nicht verscherzen. Da ich vor ein paar Jahren aber auch mal bei Verwandten ein Patchpanel aufgelegt habe, war ich ja schon in Übung. Seither hatte ich bei einem anderen Freund auch nochmal ein paar Patchdosen angeschlossen. So war dies am Ende alles kein großes Problem mehr. Aber trotzdem hatte ich nun bei dem Neubau doch ein bisschen Respekt davor. Aber die Anleitung war sehr gut vorbereitet. Vor allem waren es richtig gute Metzdosen. Da kann man alles auseinderbauen. Die Schaltung komplett rausnehmen und die Kabel oben und unten hochführen. Natürlich muss man nach wie vor eine einheitliche Belegung nehmen. Als ich mal ein Bild in meinem WhatsApp Status gepostet habe, hat der Elektromeister auch danach gefragt. "Natürlich die A Belegung, ich bin ja schließlich der Aichele und nicht Beichele! "
Und so haben wir uns auf diese Belegung geeinigt. Sowohl an den Dosen als auch im Patchpanel. Und durch die gute Vorarbeit vom Peter war das alles auch kein großes Problem. Die Teile waren zwar alle etwas ungewohnt. Aber es lief dann am Ende wie am Schnürchen. Nur hab ich hier wieder gemerkt. Wenn man ein billiges Werkzeugset kauft hat man zwar alles für den einmaligen Gebrauch. Aber spätestens beim LSA+ Werkzeug war das Schneidwerkzeug leider kaputt. Ich hab dann einfach mal das aus dem Werkzeugkasten vom Peter genommen. Das ging schon deutlich besser. Irgendwann war ich dann auch mit fast allen Dosen fertig. Also hab ich mal ein bisschen recherchiert und mir selbst noch etwas Werkzeug gekauft. Eine kleine Knippex Zange für Drähte hatte ich damals bei meinem ersten Arbeitgeber oft im Gebrauch. Also diese mal bestellt. Da die Kabel meistens auch noch einen Mantel haben, muss diese runter. Also noch eine Abmantelhilfe für die Netzwerkkabel gekauft und super. Das ging wunderbar. Keine verletzten Adern mehr und ruckzuck ist der Mantel drunter. Und natürlich noch ein LSA+ Werkzeug. Diesmal sogar eines mit einem "Sensor". Da es auch unterschiedliche Kabel gibt, aber auch welche im ähnliche Stärkenbereich. Letzten Samstag bei den letzten beiden Dosen noch ausprobiert und was soll ich sagen: Es funktioniert wunderbar. Klar es hat mal ein paar Euro mehr gekostet, doch dafür hab ich nun endlich passendes Werkzeug und muss mich nicht mehr rumärgern.
Das Patchpanel war nun auch nochmal Neuland für mich. Bei den letzten Patchpanel habe ich immer alle Kabel immer direkt in der breiten Führung aufgelegt. Diesmal wird einfach ein Stecker montiert, der dann in die Schiene eingeklippst wird. Ich war anfangs etwas skeptisch. Vor allem weil es neu war. Aber die Verarbeitung ist super. Kabel kürzen, in den Stecker einführen. Vorne die Adern drauf und dann nochmal kürzen. Deckel drauf klemmen und schon ist die Verbindung da. Danach nur den Stecker in die Schiene einklippsen. :) Das war wirklich einfach. Aber trotzdem hab ich für die 14 Stecker auch mal einen Nachmittag gebraucht. Am Ende hab ich noch erste Dosen mit dem Tester geprüft und bis auf eine Dose haben bisher alle Dosen alle Adern gepasst. Sogar den Schirm hab ich ordentlich ausgelegt. Ich fand es richtig entspannend und auch wieder schön. Denn so hab ich am Ende gesehen, was man geschafft hat. Und nachdem die Hausbesitzer ja so gut wie kein WLAN wollen (na gut ein Smartphone haben sie trotzdem ) war es auch wichtig, dass auch alle Netzwerkdosen funktionieren. So sind nun im Wohnzimmer an zwei Wänden jeweils eine Doppeldose. In den anderen Zimmern jeweils nur eine Dose. Ich finde das eine gute Investition. Selbst wenn man irgendwann doch mal WLAN verwenden sollte. Eine kabelgebundene Ethernet Verbindung wird immer stabiler sein. Und nachdem Peter sowohl Elektrik als auch Informatik kapiert, haben wir es auch gleich richtig gemacht und die Stromkabel so gut es geht von den Netzwerkkabeln getrennt um das Netzwerkkabel gegen den Elektromagnetismus zu schützen.

Also: Kauft ordentliches Werkzeug. Das kostet zwar manchmal etwas mehr Geld. Aber Du sparst Dir nachher den Ärger, wenn Du damit arbeiten musst. Falls es sich nicht lohnt hat ja vielleicht jemand im Bekanntenkreis selbst Werkzeug, der es mal ausleihen mag.
Und es lohnt sich Montageanleitungen zu lesen und vor allem manchmal die unterschiedlichen Anschlussarten zu prüfen. Ich fand diese Metzdosen nun wirklich angenehmer als die von Jung.

Netstat - Verbindungen anzeigen

Die Konsole ist gar nicht so schlecht, wenn man weiß wie man sie bedienen muss. Beispielsweise um Verbindungsanfragen zu sehen, wenn etwas nicht funktioniert. Das ist besonders im Firmenumfeld interessant, da hier meistens alles über eine Firewall geregelt ist und viele Ports einfach gesperrt sind.

Der folgende Befehl zeigt beispielsweise an, welche Verbindungen gerade offen sind mit und "WART*" im Status drin haben. Man könnte auch "SYN*" eingeben um sinnvollerweise die Verbindungsversuche zu sehen, die mit hoher Wahrscheinlichkeit fehlschlagen.

netstat -aon | findstr "WART*"

Ohne "| findstr "WART*" findet man natürlich alle Verbindungen.
Möchte man sich die Ausgabe alle Sekunde aktualisieren lassen, hilft folgender Befehl:

netstat -aon 1 | findstr "WART*"

Falls ihr Linux nutzt ist vielleicht das neuere Tool "ss" besser.