9
Verständnisfrage IP-Adressen im Windows VPN
Hallo zusammen,
ich habe einen Windows SBS 2008 und dort ist der integrierte VPN-Server aktiviert, L2TP inkl DHCP.
Der Server hat im Firmennetzwerk z.B. die IP 192.168.0.10
Das Gateway die 192.168.0.1
Und der DHCP verteilt von .20-.100
Stellt man von ausserhalb eine VPN-Verbindung her, bekommt der VPN-Adapter des externen Client durch den DHCP ja eine IP des Firmen-LANs zugewiesen, sagen wir 192.168.0.20.
Was ist, wenn der Client sich an einem Heimarbeitsplatz befindet, dessen Subnetz genau das gleiche ist, also ebenfalls 192.168.0.... ?
Sowas kann ja durchaus vorkommen...
Gibts dann einen großen Knall, und der Client-PC leitet die Selbstzerstörung ein, oder wie geht der Rechner (sagen wir Windows 7 Pro) damit um?
Vielen Dank vorab!
Gruß,
Colt
ich habe einen Windows SBS 2008 und dort ist der integrierte VPN-Server aktiviert, L2TP inkl DHCP.
Der Server hat im Firmennetzwerk z.B. die IP 192.168.0.10
Das Gateway die 192.168.0.1
Und der DHCP verteilt von .20-.100
Stellt man von ausserhalb eine VPN-Verbindung her, bekommt der VPN-Adapter des externen Client durch den DHCP ja eine IP des Firmen-LANs zugewiesen, sagen wir 192.168.0.20.
Was ist, wenn der Client sich an einem Heimarbeitsplatz befindet, dessen Subnetz genau das gleiche ist, also ebenfalls 192.168.0.... ?
Sowas kann ja durchaus vorkommen...
Gibts dann einen großen Knall, und der Client-PC leitet die Selbstzerstörung ein, oder wie geht der Rechner (sagen wir Windows 7 Pro) damit um?
Vielen Dank vorab!
Gruß,
Colt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265038
Url: https://administrator.de/contentid/265038
Printed on: April 19, 2024 at 07:04 o'clock
9 Comments
Latest comment
Es wird nichts implodieren, da der Verkehr des lokalen Netzwerks ja nicht automatisch ins Firmennetzwerk geleitet wird, aber du wirst auf jeden Fall keine IP Adresse des Firmennetzwerks erreichen die im lokalen Netzwerk auch vorkommt.
Hab das gerade mal bei mir getestet. Adressen die es lokal nicht gibt, sind per Ping nach ein bis zwei mal keine Rückmeldung sogar erreichbar, aber erwarte keine stabile Verbindung, da zuerst mal im lokalen Netz geschaut wird ob die IP vorhanden ist.
Es gäb zwei Möglichkeiten, entweder du kriegst es hin das auf beiden Seiten NAT funktioniert oder du legst für den VPN Zugang einen eigenen IP Adress Bereich an der ein passendes Routing in dein Firmennetzwerk hat. Letzteres find ich sinniger.
Hab das gerade mal bei mir getestet. Adressen die es lokal nicht gibt, sind per Ping nach ein bis zwei mal keine Rückmeldung sogar erreichbar, aber erwarte keine stabile Verbindung, da zuerst mal im lokalen Netz geschaut wird ob die IP vorhanden ist.
Es gäb zwei Möglichkeiten, entweder du kriegst es hin das auf beiden Seiten NAT funktioniert oder du legst für den VPN Zugang einen eigenen IP Adress Bereich an der ein passendes Routing in dein Firmennetzwerk hat. Letzteres find ich sinniger.
1
Die einfachste Lösung für Heimnetze ist, einfach den IPBereich des Heimnetzes ändern, hier handelt es sich meistens nur um eine IP, die man dem Router verpassen muss, so dass sich der Aufwand in Grenzen hält.
Wird Dir aber auf längere Sicht nichts bringen, wenn Du zum Beispiel Aussendienstmitarbeiter an die Firma anbinden willst. Das ist das Problem, wenn man ein "Allerwelts-Subnetz" nutzt - es benutzt nun mal jeder 2.
Wird Dir aber auf längere Sicht nichts bringen, wenn Du zum Beispiel Aussendienstmitarbeiter an die Firma anbinden willst. Das ist das Problem, wenn man ein "Allerwelts-Subnetz" nutzt - es benutzt nun mal jeder 2.
Hallo,
im Firmen Umfeld 192.168.0.0 zu verwenden ist schon seit Jahren eine unkluge Entscheidung.
Die beiden Netze werden sich nicht erreichen können, der lokale Gateway wird die Anfrage nicht ans entfernte Netz weiterleiten,
da er selber ja in diesem Netz ist.
Entweder baut man in diesem Fall ins VPN ein Trsnfernetz ein, oder alternativ und mit Sicherheit die bessere Option, man wechselt im Firmen Umfeld, zuimindest für das VPN Netz auf einen weniger überbuchten IP Adressbereich,
Es bieten sich ja genug Adressen an..
Entweder 172.16.0.0 - 172.31.255.255
oder
10.0.0.0 - 10.255.255.255
Und wen man aus dem 10er Netz irgendwas wie 10.156.237.0 /24 nimmt, ist das Risiko einer Überlappung eher gering.
brammer
im Firmen Umfeld 192.168.0.0 zu verwenden ist schon seit Jahren eine unkluge Entscheidung.
Die beiden Netze werden sich nicht erreichen können, der lokale Gateway wird die Anfrage nicht ans entfernte Netz weiterleiten,
da er selber ja in diesem Netz ist.
Entweder baut man in diesem Fall ins VPN ein Trsnfernetz ein, oder alternativ und mit Sicherheit die bessere Option, man wechselt im Firmen Umfeld, zuimindest für das VPN Netz auf einen weniger überbuchten IP Adressbereich,
Es bieten sich ja genug Adressen an..
Entweder 172.16.0.0 - 172.31.255.255
oder
10.0.0.0 - 10.255.255.255
Und wen man aus dem 10er Netz irgendwas wie 10.156.237.0 /24 nimmt, ist das Risiko einer Überlappung eher gering.
brammer
dessen Subnetz genau das gleiche ist, also ebenfalls 192.168.0.... ? Sowas kann ja durchaus vorkommen...
Kommt sogar sehr häufig vor wenn man wenig Intelligenz und Kreativität beim IP Adressdesign walten lässt und gerade das dümmliche Allerwelts 192.168.0.0er Netz nimmt was jeder Allerweltsrouter als Default hat 
...Der Artikel hier sagt alles zu dem Thema:
VPNs einrichten mit PPTP
Vielen Dank soweit für eure Hilfe.
Ich werde nun das Netz in der Firma wechseln.
Die Nummer mit dem Transfernetz bringt übrigens auch nicht wirklich was.
Beispiel: Server1 im Firmennetz hat 192.168.0.100
VPN-Subnetz (Ich schätze mal das war mit Transfernetz gemeint) hat 192.168.58.1-100
Der Mitarbeiter hat zu hause ebenfalls in seinem LAN 192.168.0.0/24
Der Netzwerkdrucker beim Mitarbeiter zu hause hat 192.168.0.100
Dadurch hat dann der VPN-Adapter beim Heimarbeitsplatz zwar eine IP aus einem anderen Subnetz (zB. 192.168.58.24), aber um in der Firma auf Server1 zugreifen zu können, muss er ja trotzdem noch die 192.168.0.100 aufrufen. Und dann hätte man in diesem Beispiel ja immer noch das Problem mit dem Drucker.
Auch das Problem könnte man afaik zwar noch durch Verwendung von statischen Routen lösen (dann würde der Server noch eine IP innerhalb des VPN-Netzes bekommen), aber dann müsste der Mitarbeiter beim Zugriff per IP immer unterscheiden - je nachdem, ob er gerade zu hause ist, oder in der Firma.
Wie auch immer: müssen wir nicht zuende denken, diesen Weg - ich werde das Netz in der Firma wechseln, und gut ist.
Zugriff per IP? Man könnte ja auch auf die Dateifreigaben per SMB-Protokoll, als über "Server1" statt über die IP zugreifen.
Aber was ist, wenn der Mitarbeiter selbst ein Gerät "Server1" in seinem LAN zu hause hat?
Wie umgeht man diese Problematik bei net-to-net-Verbindungen?
Kryptische Serverbezeichnungen, oder wie löst man das fachlich sauber?
Vielen Dank vorab & Gruß,
Colt Seavers
Ich werde nun das Netz in der Firma wechseln.
Die Nummer mit dem Transfernetz bringt übrigens auch nicht wirklich was.
Beispiel: Server1 im Firmennetz hat 192.168.0.100
VPN-Subnetz (Ich schätze mal das war mit Transfernetz gemeint) hat 192.168.58.1-100
Der Mitarbeiter hat zu hause ebenfalls in seinem LAN 192.168.0.0/24
Der Netzwerkdrucker beim Mitarbeiter zu hause hat 192.168.0.100
Dadurch hat dann der VPN-Adapter beim Heimarbeitsplatz zwar eine IP aus einem anderen Subnetz (zB. 192.168.58.24), aber um in der Firma auf Server1 zugreifen zu können, muss er ja trotzdem noch die 192.168.0.100 aufrufen. Und dann hätte man in diesem Beispiel ja immer noch das Problem mit dem Drucker.
Auch das Problem könnte man afaik zwar noch durch Verwendung von statischen Routen lösen (dann würde der Server noch eine IP innerhalb des VPN-Netzes bekommen), aber dann müsste der Mitarbeiter beim Zugriff per IP immer unterscheiden - je nachdem, ob er gerade zu hause ist, oder in der Firma.
Wie auch immer: müssen wir nicht zuende denken, diesen Weg - ich werde das Netz in der Firma wechseln, und gut ist.
Zugriff per IP? Man könnte ja auch auf die Dateifreigaben per SMB-Protokoll, als über "Server1" statt über die IP zugreifen.
Aber was ist, wenn der Mitarbeiter selbst ein Gerät "Server1" in seinem LAN zu hause hat?
Wie umgeht man diese Problematik bei net-to-net-Verbindungen?
Kryptische Serverbezeichnungen, oder wie löst man das fachlich sauber?
Vielen Dank vorab & Gruß,
Colt Seavers
Auch das Problem könnte man afaik zwar noch durch Verwendung von statischen Routen lösen
Nein, das ist vollkommener Blödsinn und hält sich leider immer als Gerücht. Vergiss diesen Unsinn.Wie sollte das auch gehen, denn der .0.0er Netz ist doppelt vorhanden ! und da kannst du routen bis der Arzt kommt (Kollege k.A. möge mir verzeihen...) da werden dir auch 100 statische Routen nicht helfen ! Dadurch das es doppelt ist hast du keinerlei eindeutige Wegefindung mehr und eine Route andert das nicht.
Dadurch hat dann der VPN-Adapter beim Heimarbeitsplatz zwar eine IP aus einem anderen Subnetz (zB. 192.168.58.24),
Ja, aber der lokale LAN Adapter hat weiter das .0.0er Netz !! Der Rechner wird also immer versuchen ALLES was einen .0.0er IP Adresse hat zuerst lokal loszuwerden. Genau DA liegt das Dilemma...Das einzige um das wirklich mit Bordmitteln zu lösen ist bidirektionales NAT (IP Adresstranslation) damit geht das problemlos.
Nur das erfordert schon etwas tiefergehende netzwerkkenntnisse und vor allen Dingen eine leistungsfähige Router Hardware die sowas kann.
Leider schreibst du ja nix zu deiner HW Ausstattung aber mit billigen Consumer Routern ala FritzBox und Co. wird man da nicx, das ist schonmal klar.
Tu tust also in der Tat gut daran deinen lokale IP Netzadresse zu ändern. Langfristig gesehen ist das der beste Schritt. Er tut nur einmal weh und dann hast du aber Ruhe.
Bi NAT bedeutet ständiges Konfigurieren wenn sich IP Adressen ändern oder anders verteilt werden !
Wie auch immer: müssen wir nicht zuende denken, diesen Weg
Ein weises Wort....Man könnte ja auch auf die Dateifreigaben per SMB-Protokoll, als über "Server1" statt über die IP zugreifen.
Na ja...nun verfällst du aber in ziemlich laienhaftes denken eines Azubi. Als ITler und Netzwerker sollte dir klar sein das ALLE Kommunikation rein auf IP Adressen basiert !!!Hinter "Server1" steht ja ein DNS Name Server den der Client immer zuerst befragt wenn er mit Namen arbeitet was sich dahinter für eine IP Adresse befindet um das Ziel dann über die IP Adresse anzusprechen.
Das ist nun aber Grundschulwissen IT Azubi erste Klasse ! Der echte Colt Seavers hätte es gewusst
Damit benatwortet sich dann auch deine überflüssige "Net to Net" Frage.
Zitat von @aqui:
> Man könnte ja auch auf die Dateifreigaben per SMB-Protokoll, als über "Server1" statt über die IP
zugreifen.
Na ja...nun verfällst du aber in ziemlich laienhaftes denken eines Azubi. Als ITler und Netzwerker sollte dir klar sein das
ALLE Kommunikation rein auf IP Adressen basiert !!!
Hinter "Server1" steht ja ein DNS Name Server den der Client immer zuerst befragt wenn er mit Namen arbeitet was
sich dahinter für eine IP Adresse befindet um das Ziel dann über die IP Adresse anzusprechen.
Das ist nun aber Grundschulwissen IT Azubi erste Klasse ! Der echte Colt Seavers hätte es gewusst
Damit benatwortet sich dann auch deine überflüssige "Net to Net" Frage.
> Man könnte ja auch auf die Dateifreigaben per SMB-Protokoll, als über "Server1" statt über die IP
zugreifen.
Na ja...nun verfällst du aber in ziemlich laienhaftes denken eines Azubi. Als ITler und Netzwerker sollte dir klar sein das
ALLE Kommunikation rein auf IP Adressen basiert !!!
Hinter "Server1" steht ja ein DNS Name Server den der Client immer zuerst befragt wenn er mit Namen arbeitet was
sich dahinter für eine IP Adresse befindet um das Ziel dann über die IP Adresse anzusprechen.
Das ist nun aber Grundschulwissen IT Azubi erste Klasse ! Der echte Colt Seavers hätte es gewusst
Damit benatwortet sich dann auch deine überflüssige "Net to Net" Frage.
(zunächst einmal spricht der Sender im LAN den Empfänger nicht über die IP-Adresse, sondern über die MAC-Adresse an (ARP lässt grüßen).
So viel zu IT Azubi erste Klasse
)Keine Ahnung, was so ein herablassendes Gefasel soll - wenn Du nicht auf Augenhöhe kommunizieren kannst, verzichte ich gerne auf Deine Antworten.
Zurück zum Problem: Ich glaube Du hast die Frage nicht oder falsch verstanden.
Frage also erneut an alle:
Wenn im Firmen-LAN Geräte stehen (Server1, Nas1 usw), die der MA von zu hause ansprechen möchte, wie macht er das eindeutig(!), ohne dass der MA die IPs kennen muss?
Der MA kann ja zu hause schliesslich auch ein Gerät "Nas1" stehen haben. => Nas1 in der Firma nicht erreichbar.
Wie umgeht/löst man diese Problematik bei net-to-net-Verbindungen?
Vielen Dank vorab!
Gruß,
Colt Seavers
Zitat von @coltseavers:
Wenn im Firmen-LAN Geräte stehen (Server1, Nas1 usw), die der MA von zu hause ansprechen möchte, wie macht er das
eindeutig(!), ohne dass der MA die IPs kennen muss?
Der MA kann ja zu hause schliesslich auch ein Gerät "Nas1" stehen haben. => Nas1 in der Firma nicht erreichbar.
Wie umgeht/löst man diese Problematik bei net-to-net-Verbindungen?
Wenn im Firmen-LAN Geräte stehen (Server1, Nas1 usw), die der MA von zu hause ansprechen möchte, wie macht er das
eindeutig(!), ohne dass der MA die IPs kennen muss?
Der MA kann ja zu hause schliesslich auch ein Gerät "Nas1" stehen haben. => Nas1 in der Firma nicht erreichbar.
Wie umgeht/löst man diese Problematik bei net-to-net-Verbindungen?
Er MUSS die IPs "kennen". Die bekommt er vom DNS der Firma. Die Funktion des DNS hierbei ist dir offensichtlich nicht ganz klar. Die NAS1 zu Hause heißt nicht NAS1, sondern NAS1.heimnetzdomäne.irgendwas, auch dieser Name muss entweder von Netbios oder von der DNS Funktion des Routers oder über die Hosts Datei bereitgestellt werden. Der NAS1 in der Firma heißt dann mit vollem Namen NAS1.firma.local, willst du Konflikte vermeiden musst du den vollen Namen verwenden.
Vorraussetzung dafür ist natürlich das die DNS Auflösung sobald du das VPN aufbaust über den Firmen-DNS läuft, sonst erreichst du intern gar nichts über den Namen, nur über die IP.
Hi ho,
(mit MA meinte ich Mitarbeiter)
aber ja stimmt, man kann natürlich noch die Domäne oder Arbeitsgruppe anhängen - dadurch wirds dann eindeutig. Dankesehr!
nas1.firma.local bzw nas1.arbeitsgruppe
Gruß,
Colt
(mit MA meinte ich Mitarbeiter)
aber ja stimmt, man kann natürlich noch die Domäne oder Arbeitsgruppe anhängen - dadurch wirds dann eindeutig. Dankesehr!
nas1.firma.local bzw nas1.arbeitsgruppe
Gruß,
Colt
