2 Netze komplett über VPN verbinden
Hallo,
ich habe mir schon zahlreiche andere Beiträge hier angesehen, aber mit keinem bin ich weiter gekommen.
Ich habe zwei Netze die über VPN verbunden werden sollen. Dies Funktioniert auch so weit. Vom Netz des VPN-Clients habe ich volle Verbindung ins Netz des VPN-Servers. Der Ping funktioniert also. Anders herum jedoch funktioniert es nicht. Folgende Skizze soll das ganze verdeutlichen
192.168.1.0 (Netz von VPN-Client) [1.0er Netz]
|
192.168.1.1 (VPN-Client mit Winroute; stellt außerdem Internetverbindung worüber die 1.0er Clients ins Internet können)
192.168.0.100 (Wird dem VPN-Client vom DHCP seitens des VPN-Servers zugewiesen)
|
DSL-Modem
(INTERNET)
DSL-Modem
|
192.168.0.101 (VPN-Schnittstelle seitens des VPN-Servers)
192.168.0.1 (VPN-Server mit Routing&RAS; stellt außerdem Internetverbindung worüber die 0.0er Clients ins Internet können)
|
192.168.0.0 [0.0er Netz]
Wenn ich einen Ping vom 1.0er Netz (von irgendeinen Rechner) ins 0.0er Netz schicke funktioniert es. Wenn ich jedoch vom 0.0er Netz einen Ping ins 1.0er Netz sende, dann bekomme ich keine antwort. Der Ping vom 0.0er Netz auf 192.168.0.100 funktioniert auch.
Darauf hin habe ich versucht eine statische Route am VPN-Server eingerichtet, was leider nichts geholfen hat:
route add 192.168.1.0 MASK 255.255.255.0 192.168.0.100 Metric 1
Kann mir einer sagen was ich hier evtl. falsch mache bzw. welche Route ich anlegen muss.
Bin für jeden Tipp dankbar!
Gruß
Jürgen
ich habe mir schon zahlreiche andere Beiträge hier angesehen, aber mit keinem bin ich weiter gekommen.
Ich habe zwei Netze die über VPN verbunden werden sollen. Dies Funktioniert auch so weit. Vom Netz des VPN-Clients habe ich volle Verbindung ins Netz des VPN-Servers. Der Ping funktioniert also. Anders herum jedoch funktioniert es nicht. Folgende Skizze soll das ganze verdeutlichen
192.168.1.0 (Netz von VPN-Client) [1.0er Netz]
|
192.168.1.1 (VPN-Client mit Winroute; stellt außerdem Internetverbindung worüber die 1.0er Clients ins Internet können)
192.168.0.100 (Wird dem VPN-Client vom DHCP seitens des VPN-Servers zugewiesen)
|
DSL-Modem
(INTERNET)
DSL-Modem
|
192.168.0.101 (VPN-Schnittstelle seitens des VPN-Servers)
192.168.0.1 (VPN-Server mit Routing&RAS; stellt außerdem Internetverbindung worüber die 0.0er Clients ins Internet können)
|
192.168.0.0 [0.0er Netz]
Wenn ich einen Ping vom 1.0er Netz (von irgendeinen Rechner) ins 0.0er Netz schicke funktioniert es. Wenn ich jedoch vom 0.0er Netz einen Ping ins 1.0er Netz sende, dann bekomme ich keine antwort. Der Ping vom 0.0er Netz auf 192.168.0.100 funktioniert auch.
Darauf hin habe ich versucht eine statische Route am VPN-Server eingerichtet, was leider nichts geholfen hat:
route add 192.168.1.0 MASK 255.255.255.0 192.168.0.100 Metric 1
Kann mir einer sagen was ich hier evtl. falsch mache bzw. welche Route ich anlegen muss.
Bin für jeden Tipp dankbar!
Gruß
Jürgen
Please also mark the comments that contributed to the solution of the article
Content-Key: 57468
Url: https://administrator.de/contentid/57468
Printed on: April 26, 2024 at 12:04 o'clock
7 Comments
Latest comment
Eine grundlegende Frage hast du nicht geklärt:
Was sind deine DSL Modems ??? Sind das wirklich reine dumme Modems oder sind das Router ??
Wenn es Router sind wo zeigen die Gateway Einträge deiner Clients hin ???
Was sagt denn ein tracert <ziel ip> da kannst du sehen wo dein Ping hängenbleibt ??
Einen Routing Eintrag auf dem Server zu machen ist Unsinn, wenn dann, auf den Modems sofern es in Wahrheit Router sind ?!
Generell hätte man das viel einfacher mit VPN Routern gelöst, die selber eine VPN Verbindung aufbauen, dann hätte man sich das ganze Gefrickel an den Servern erspart...
Was sind deine DSL Modems ??? Sind das wirklich reine dumme Modems oder sind das Router ??
Wenn es Router sind wo zeigen die Gateway Einträge deiner Clients hin ???
Was sagt denn ein tracert <ziel ip> da kannst du sehen wo dein Ping hängenbleibt ??
Einen Routing Eintrag auf dem Server zu machen ist Unsinn, wenn dann, auf den Modems sofern es in Wahrheit Router sind ?!
Generell hätte man das viel einfacher mit VPN Routern gelöst, die selber eine VPN Verbindung aufbauen, dann hätte man sich das ganze Gefrickel an den Servern erspart...
OK, dann sind also deine Quasi Router bzw. die Gateway Adressen der Clients die Server selber, was ja auch richtig ist.
Das die Geschichte nur einseitig funktioniert ist unverständlich denn ein Ping aus dem .1.0er Netz löst ein ICMP echo reply Packet in einem der Clients im 0.0er Netz aus das dann ja auf dem Rückweg scheinbar problemlos geroutet wird wenn der Ping fehlerfrei funktioniert.
Ich hoffe du hast einen Client gepingt, denn nur das ist relevant nicht der Server selber !
In jedem Falle ist das ein fehlerhaftes Routing, den Packte mit einer 192.168.1.0er Zieladresse aus dem .0.0er Netz müssen in jedem Falle über den Tunnel geroutet werden und nicht ins Internet. Der Fehler liegt also sehr wahrscheinlich auf dieser Seite.
Interessant wäre noch zu erfahren wie du das Problem wechselnder IP Adressen bei der Einwahl mit den Servern löst. Hast du dort jeweils einen DynDNS Client installiert oder bekommst du feste IP Adressen zugeteilt von deinem Provider ?? Vielleicht ist das auch ein Problem in dem Szenario...
Das Kostenargument was du anbringst kann man auf alle Fälle nicht gelten lassen ! Wenn das eine Firmenanbindung ist, also etwas was geschäftlich genutzt wird, ist das Augenwischerei. Allein das man Windows Server mit ihren mehr als bekannten Sicherheitsproblemen so direkt im Internet exponiert zeigt wenig Professionalität...wie gesagt bei einer geschäftlichen Anwendung. Was man privat macht ist egal und da ist es nicht so wichtig wenn solche Server geknackt oder kompromitiert werden.
VPN Router kosten mittlerweile um die 70 Euro. Da kann man ein Kostenargument (...wenn man hunderte für 2 Windows Lizenzen bezahlt hat !) nicht wirklich ernst meinen.....
Das die Geschichte nur einseitig funktioniert ist unverständlich denn ein Ping aus dem .1.0er Netz löst ein ICMP echo reply Packet in einem der Clients im 0.0er Netz aus das dann ja auf dem Rückweg scheinbar problemlos geroutet wird wenn der Ping fehlerfrei funktioniert.
Ich hoffe du hast einen Client gepingt, denn nur das ist relevant nicht der Server selber !
In jedem Falle ist das ein fehlerhaftes Routing, den Packte mit einer 192.168.1.0er Zieladresse aus dem .0.0er Netz müssen in jedem Falle über den Tunnel geroutet werden und nicht ins Internet. Der Fehler liegt also sehr wahrscheinlich auf dieser Seite.
Interessant wäre noch zu erfahren wie du das Problem wechselnder IP Adressen bei der Einwahl mit den Servern löst. Hast du dort jeweils einen DynDNS Client installiert oder bekommst du feste IP Adressen zugeteilt von deinem Provider ?? Vielleicht ist das auch ein Problem in dem Szenario...
Das Kostenargument was du anbringst kann man auf alle Fälle nicht gelten lassen ! Wenn das eine Firmenanbindung ist, also etwas was geschäftlich genutzt wird, ist das Augenwischerei. Allein das man Windows Server mit ihren mehr als bekannten Sicherheitsproblemen so direkt im Internet exponiert zeigt wenig Professionalität...wie gesagt bei einer geschäftlichen Anwendung. Was man privat macht ist egal und da ist es nicht so wichtig wenn solche Server geknackt oder kompromitiert werden.
VPN Router kosten mittlerweile um die 70 Euro. Da kann man ein Kostenargument (...wenn man hunderte für 2 Windows Lizenzen bezahlt hat !) nicht wirklich ernst meinen.....
Ja das ist in der Tat nicht gerade einfach und erlebt man hier im Forum Tag täglich aber meist schon wenn die Leute was falsches gekauft haben...selten vorher.
Ja du musst auf beiden Seiten VPN fähige Router haben das ist klar, denn zwischen diesen beiden wird ja ein IPsec Tunnel (oder PPTP wer es nicht ganz so sicher haben will) aufgebaut. Einen DynDNS Client haben solche Maschinen heute fast alle mit an Bord.
Umsehen kannst du dich z.B. mal bei Draytek http://www.draytek.de/ oder bei Linksys www.linksys.de aber auch NetGear und andere bieten solche Systeme an. (Zuverlässigkeit nach Reihenfolge )
Ja du musst auf beiden Seiten VPN fähige Router haben das ist klar, denn zwischen diesen beiden wird ja ein IPsec Tunnel (oder PPTP wer es nicht ganz so sicher haben will) aufgebaut. Einen DynDNS Client haben solche Maschinen heute fast alle mit an Bord.
Umsehen kannst du dich z.B. mal bei Draytek http://www.draytek.de/ oder bei Linksys www.linksys.de aber auch NetGear und andere bieten solche Systeme an. (Zuverlässigkeit nach Reihenfolge )