7
2 Netze komplett über VPN verbinden
Hallo,
ich habe mir schon zahlreiche andere Beiträge hier angesehen, aber mit keinem bin ich weiter gekommen.
Ich habe zwei Netze die über VPN verbunden werden sollen. Dies Funktioniert auch so weit. Vom Netz des VPN-Clients habe ich volle Verbindung ins Netz des VPN-Servers. Der Ping funktioniert also. Anders herum jedoch funktioniert es nicht. Folgende Skizze soll das ganze verdeutlichen
192.168.1.0 (Netz von VPN-Client) [1.0er Netz]
|
192.168.1.1 (VPN-Client mit Winroute; stellt außerdem Internetverbindung worüber die 1.0er Clients ins Internet können)
192.168.0.100 (Wird dem VPN-Client vom DHCP seitens des VPN-Servers zugewiesen)
|
DSL-Modem
(INTERNET)
DSL-Modem
|
192.168.0.101 (VPN-Schnittstelle seitens des VPN-Servers)
192.168.0.1 (VPN-Server mit Routing&RAS; stellt außerdem Internetverbindung worüber die 0.0er Clients ins Internet können)
|
192.168.0.0 [0.0er Netz]
Wenn ich einen Ping vom 1.0er Netz (von irgendeinen Rechner) ins 0.0er Netz schicke funktioniert es. Wenn ich jedoch vom 0.0er Netz einen Ping ins 1.0er Netz sende, dann bekomme ich keine antwort. Der Ping vom 0.0er Netz auf 192.168.0.100 funktioniert auch.
Darauf hin habe ich versucht eine statische Route am VPN-Server eingerichtet, was leider nichts geholfen hat:
route add 192.168.1.0 MASK 255.255.255.0 192.168.0.100 Metric 1
Kann mir einer sagen was ich hier evtl. falsch mache bzw. welche Route ich anlegen muss.
Bin für jeden Tipp dankbar!
Gruß
Jürgen
ich habe mir schon zahlreiche andere Beiträge hier angesehen, aber mit keinem bin ich weiter gekommen.
Ich habe zwei Netze die über VPN verbunden werden sollen. Dies Funktioniert auch so weit. Vom Netz des VPN-Clients habe ich volle Verbindung ins Netz des VPN-Servers. Der Ping funktioniert also. Anders herum jedoch funktioniert es nicht. Folgende Skizze soll das ganze verdeutlichen
192.168.1.0 (Netz von VPN-Client) [1.0er Netz]
|
192.168.1.1 (VPN-Client mit Winroute; stellt außerdem Internetverbindung worüber die 1.0er Clients ins Internet können)
192.168.0.100 (Wird dem VPN-Client vom DHCP seitens des VPN-Servers zugewiesen)
|
DSL-Modem
(INTERNET)
DSL-Modem
|
192.168.0.101 (VPN-Schnittstelle seitens des VPN-Servers)
192.168.0.1 (VPN-Server mit Routing&RAS; stellt außerdem Internetverbindung worüber die 0.0er Clients ins Internet können)
|
192.168.0.0 [0.0er Netz]
Wenn ich einen Ping vom 1.0er Netz (von irgendeinen Rechner) ins 0.0er Netz schicke funktioniert es. Wenn ich jedoch vom 0.0er Netz einen Ping ins 1.0er Netz sende, dann bekomme ich keine antwort. Der Ping vom 0.0er Netz auf 192.168.0.100 funktioniert auch.
Darauf hin habe ich versucht eine statische Route am VPN-Server eingerichtet, was leider nichts geholfen hat:
route add 192.168.1.0 MASK 255.255.255.0 192.168.0.100 Metric 1
Kann mir einer sagen was ich hier evtl. falsch mache bzw. welche Route ich anlegen muss.
Bin für jeden Tipp dankbar!
Gruß
Jürgen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 57468
Url: https://administrator.de/contentid/57468
Printed on: April 26, 2024 at 12:04 o'clock
7 Comments
Latest comment
Eine grundlegende Frage hast du nicht geklärt:
Was sind deine DSL Modems ??? Sind das wirklich reine dumme Modems oder sind das Router ??
Wenn es Router sind wo zeigen die Gateway Einträge deiner Clients hin ???
Was sagt denn ein tracert <ziel ip> da kannst du sehen wo dein Ping hängenbleibt ??
Einen Routing Eintrag auf dem Server zu machen ist Unsinn, wenn dann, auf den Modems sofern es in Wahrheit Router sind ?!
Generell hätte man das viel einfacher mit VPN Routern gelöst, die selber eine VPN Verbindung aufbauen, dann hätte man sich das ganze Gefrickel an den Servern erspart...
Was sind deine DSL Modems ??? Sind das wirklich reine dumme Modems oder sind das Router ??
Wenn es Router sind wo zeigen die Gateway Einträge deiner Clients hin ???
Was sagt denn ein tracert <ziel ip> da kannst du sehen wo dein Ping hängenbleibt ??
Einen Routing Eintrag auf dem Server zu machen ist Unsinn, wenn dann, auf den Modems sofern es in Wahrheit Router sind ?!
Generell hätte man das viel einfacher mit VPN Routern gelöst, die selber eine VPN Verbindung aufbauen, dann hätte man sich das ganze Gefrickel an den Servern erspart...
Hallo,
das ging aber schnell!
1. DSL-Modems sind dumm! (Sind diese billigen DSL-Modems von Telekom bzw. Arcor ohne Routerfunktionalität!)
- Gateway ist für das 1.0er Netz die 192.168.1.1
- Gateway ist für das 0.0er Netz die 192.168.0.1
2. Wenn ich tracert mache:
- Mit "nichtfunktionierender Route" (die ich oben angegeben habe) dann hängt er bei 192.168.0.1 (also zeigt diesen noch an - danach ist ende)
- Ohne dieser Route rappelt er irgendwo ins Internet ohne Antwort selbstverständlich
3. Meine Server sind als Router konfiguriert. D.h. sie stellen über PPPoE-Treiber eine "dauerhafte" Internetverbindung her.
4. Das glaube ich Dir! Nur ist das eben immer mit Kosten verbunden...
das ging aber schnell!
1. DSL-Modems sind dumm! (Sind diese billigen DSL-Modems von Telekom bzw. Arcor ohne Routerfunktionalität!)
- Gateway ist für das 1.0er Netz die 192.168.1.1
- Gateway ist für das 0.0er Netz die 192.168.0.1
2. Wenn ich tracert mache:
- Mit "nichtfunktionierender Route" (die ich oben angegeben habe) dann hängt er bei 192.168.0.1 (also zeigt diesen noch an - danach ist ende)
- Ohne dieser Route rappelt er irgendwo ins Internet ohne Antwort selbstverständlich
3. Meine Server sind als Router konfiguriert. D.h. sie stellen über PPPoE-Treiber eine "dauerhafte" Internetverbindung her.
4. Das glaube ich Dir! Nur ist das eben immer mit Kosten verbunden...
OK, dann sind also deine Quasi Router bzw. die Gateway Adressen der Clients die Server selber, was ja auch richtig ist.
Das die Geschichte nur einseitig funktioniert ist unverständlich denn ein Ping aus dem .1.0er Netz löst ein ICMP echo reply Packet in einem der Clients im 0.0er Netz aus das dann ja auf dem Rückweg scheinbar problemlos geroutet wird wenn der Ping fehlerfrei funktioniert.
Ich hoffe du hast einen Client gepingt, denn nur das ist relevant nicht der Server selber !
In jedem Falle ist das ein fehlerhaftes Routing, den Packte mit einer 192.168.1.0er Zieladresse aus dem .0.0er Netz müssen in jedem Falle über den Tunnel geroutet werden und nicht ins Internet. Der Fehler liegt also sehr wahrscheinlich auf dieser Seite.
Interessant wäre noch zu erfahren wie du das Problem wechselnder IP Adressen bei der Einwahl mit den Servern löst. Hast du dort jeweils einen DynDNS Client installiert oder bekommst du feste IP Adressen zugeteilt von deinem Provider ?? Vielleicht ist das auch ein Problem in dem Szenario...
Das Kostenargument was du anbringst kann man auf alle Fälle nicht gelten lassen ! Wenn das eine Firmenanbindung ist, also etwas was geschäftlich genutzt wird, ist das Augenwischerei. Allein das man Windows Server mit ihren mehr als bekannten Sicherheitsproblemen so direkt im Internet exponiert zeigt wenig Professionalität...wie gesagt bei einer geschäftlichen Anwendung. Was man privat macht ist egal und da ist es nicht so wichtig wenn solche Server geknackt oder kompromitiert werden.
VPN Router kosten mittlerweile um die 70 Euro. Da kann man ein Kostenargument (...wenn man hunderte für 2 Windows Lizenzen bezahlt hat !) nicht wirklich ernst meinen.....
Das die Geschichte nur einseitig funktioniert ist unverständlich denn ein Ping aus dem .1.0er Netz löst ein ICMP echo reply Packet in einem der Clients im 0.0er Netz aus das dann ja auf dem Rückweg scheinbar problemlos geroutet wird wenn der Ping fehlerfrei funktioniert.
Ich hoffe du hast einen Client gepingt, denn nur das ist relevant nicht der Server selber !
In jedem Falle ist das ein fehlerhaftes Routing, den Packte mit einer 192.168.1.0er Zieladresse aus dem .0.0er Netz müssen in jedem Falle über den Tunnel geroutet werden und nicht ins Internet. Der Fehler liegt also sehr wahrscheinlich auf dieser Seite.
Interessant wäre noch zu erfahren wie du das Problem wechselnder IP Adressen bei der Einwahl mit den Servern löst. Hast du dort jeweils einen DynDNS Client installiert oder bekommst du feste IP Adressen zugeteilt von deinem Provider ?? Vielleicht ist das auch ein Problem in dem Szenario...
Das Kostenargument was du anbringst kann man auf alle Fälle nicht gelten lassen ! Wenn das eine Firmenanbindung ist, also etwas was geschäftlich genutzt wird, ist das Augenwischerei. Allein das man Windows Server mit ihren mehr als bekannten Sicherheitsproblemen so direkt im Internet exponiert zeigt wenig Professionalität...wie gesagt bei einer geschäftlichen Anwendung. Was man privat macht ist egal und da ist es nicht so wichtig wenn solche Server geknackt oder kompromitiert werden.
VPN Router kosten mittlerweile um die 70 Euro. Da kann man ein Kostenargument (...wenn man hunderte für 2 Windows Lizenzen bezahlt hat !) nicht wirklich ernst meinen.....
Hallo aqui,
vielen dank für deine schnellen Antworten!
- Habe einen Client angepingt -ja.
- Ich vermute ebenfalls, dass es auf der Seite des 0.0er Netzes liegt. Deswegen hab ich das auch auf dieser Seite mit der statischen Zusatzroute probiert.
- Die Dynamische IP löse ich über einen DynDns provider
- Ist gut möglich, dass das ganze unprofessionell ist, doch leider bin ich nicht so in der IT-Szene verankert wie z.B. du. Da weiß man nicht was man nehmen soll bzw. was der Markt hergibt. Informationen zu Finden die genau auf einen Abgeschnitten sind ist sehr schwer, vorallem wenn man nicht genau weiss wonach man suchen soll und was für einen wichtig ist. Aus diesem Grund greift man eben immer auf alt-bekanntes zurück (wie z.B. aus dem privaten: Winroute). Vielleicht kannst du mir sagen was ich bräuchte um sowas sinnvoll aufzuziehen bzw. wie du das machen würdest und vorallem welche VPN-Router man nehmen sollte. Da stellt sich dann auch schon die Frage ob ich auf beiden Seiten einen VPN-Router brauche... da bin ich eben schon wieder mit meinem Latein am Ende... Ich bin SW-Entwickler und kämpfe hier schon, dass ich nicht den Anschluss verliere bei den ganzen neuen Technologien, Betas und Forschungen...
- Die Win-Lizensen brauche ich eh. Von dem her ist das schon in Ordnung.
vielen dank für deine schnellen Antworten!
- Habe einen Client angepingt -ja.
- Ich vermute ebenfalls, dass es auf der Seite des 0.0er Netzes liegt. Deswegen hab ich das auch auf dieser Seite mit der statischen Zusatzroute probiert.
- Die Dynamische IP löse ich über einen DynDns provider
- Ist gut möglich, dass das ganze unprofessionell ist, doch leider bin ich nicht so in der IT-Szene verankert wie z.B. du. Da weiß man nicht was man nehmen soll bzw. was der Markt hergibt. Informationen zu Finden die genau auf einen Abgeschnitten sind ist sehr schwer, vorallem wenn man nicht genau weiss wonach man suchen soll und was für einen wichtig ist. Aus diesem Grund greift man eben immer auf alt-bekanntes zurück (wie z.B. aus dem privaten: Winroute). Vielleicht kannst du mir sagen was ich bräuchte um sowas sinnvoll aufzuziehen bzw. wie du das machen würdest und vorallem welche VPN-Router man nehmen sollte. Da stellt sich dann auch schon die Frage ob ich auf beiden Seiten einen VPN-Router brauche... da bin ich eben schon wieder mit meinem Latein am Ende... Ich bin SW-Entwickler und kämpfe hier schon, dass ich nicht den Anschluss verliere bei den ganzen neuen Technologien, Betas und Forschungen...
- Die Win-Lizensen brauche ich eh. Von dem her ist das schon in Ordnung.
Ja das ist in der Tat nicht gerade einfach und erlebt man hier im Forum Tag täglich aber meist schon wenn die Leute was falsches gekauft haben...selten vorher.
Ja du musst auf beiden Seiten VPN fähige Router haben das ist klar, denn zwischen diesen beiden wird ja ein IPsec Tunnel (oder PPTP wer es nicht ganz so sicher haben will) aufgebaut. Einen DynDNS Client haben solche Maschinen heute fast alle mit an Bord.
Umsehen kannst du dich z.B. mal bei Draytek http://www.draytek.de/ oder bei Linksys www.linksys.de aber auch NetGear und andere bieten solche Systeme an. (Zuverlässigkeit nach Reihenfolge
)
Ja du musst auf beiden Seiten VPN fähige Router haben das ist klar, denn zwischen diesen beiden wird ja ein IPsec Tunnel (oder PPTP wer es nicht ganz so sicher haben will) aufgebaut. Einen DynDNS Client haben solche Maschinen heute fast alle mit an Bord.
Umsehen kannst du dich z.B. mal bei Draytek http://www.draytek.de/ oder bei Linksys www.linksys.de aber auch NetGear und andere bieten solche Systeme an. (Zuverlässigkeit nach Reihenfolge
)
Hallo Aqui!
Vielen Dank für Deine Hilfe. Ich werd mal schauen ob ich das damit hinbekomme
Gruß
Jürgen
Vielen Dank für Deine Hilfe. Ich werd mal schauen ob ich das damit hinbekomme
Gruß
Jürgen
Dann bitte Thread oben als geloest markieren !