48829
Sep 23, 2008, updated at Sep 24, 2008 (UTC)
9612
4
0
Roadwarrior OpenVPN Verbindung zwischen zwei gleichen Netzen
Es geht um eine Roadwarrior VPN Verbindung mittels OpenVPN über SSL, bei dem sich der VPN- Client und Server zufälligerweise das gleiche Netz haben.
Hallo zusammen,
folgende Situation:
Es gibt ein Netzwerk mit der Netzwerkadresse 192.168.1.0 in dem sich ein Terminalserver, Windows Domänenkontroller, E-Mail Server etc. befindet.
Als Firewall wird eine Gateprotect GP-125 verwendet, die auch die Einwahl ins Internet regelt.
Wir haben nun 2 OPenVPN over SSL Verbindungen für Notebooks eingerichtet, die sich mit dem Gateprotect VPN Client in dieses Netz einwählen und auf dem Terminalserver arbeiten. Wenn die Notebooks WLAN zur Verfügung haben, dann wählen sie sich über WLAN und wenn nicht, dann über T-Mobile ein. Grundsätzlich klappt das auch einwandfrei.
Nun haben wir aber gelegentlich das Problem, dass sich das Notebook über WLAN (z.b. im Hotel) im Internet befindet und hier dann das gleich Netz 192.168.1.0 ist. Wir bekommen dann die VPN Verbindung zwar auf gebaut, aber man kann nicht auf die andere Seite per RDP oder ping zugreifen, was logischerweise auf das gleiche Netz zurück zu führen ist.
Leider ist das Netz für die Hauptzentrale mit 192.168.1.0, im nachhinein betrachtet, nicht sehr gut gewählt, weil es ein Netz ist, welches sehr viele als Privates Netz verwenden. Aber nun ist es so und das zu ändern ist doch sehr aufwändig und nicht unproblematisch.
Gibt es von Euch vielleicht ein paar Cracks, die mir sagen können, ob ich das Problem vielleicht dennoch gelöst bekomme?
Ich habe mir schon mal überlegt auf den Notebooks eine Route zu erstellen, die gezielt nur für die IP- Adresse des Terminalserver gelten soll.
In der Gateprotect gibt es die Funktion, dass ich dem VPN- Client eine Route puschen kann. Hier hatte ich dann die IP- Adresse des Terminalservers angegeben. Aber das Route Adding schlägt fehl. Vermutlich, erkennt es hier eine Kollision.
Dann habe ich auf dem Notebook versucht eine Route zu definieren. Dazu habe ich folgendes eingetragen:
route add 192.168.1.151 mask 255.255.255.0 192.168.254.1 if 2
192.168.1.151 (Terminalserver)
192.168.254.1 (Gateway des VPN- Adapters auf dem Notebook)
if 2 (der LAN- Adapter hat die 0x2 bei route print stehen)
Ich bekomme aber immer die Rückmeldung, dass das Hinzufügen der Route fehlgeschlagen ist. der angegebene MAskenparameter ist ungültik. (Ziel & Maske) !=Ziel
Weiß jemand, ob man es überhaupt hinbekommt die gleichen Netze zu verbinden oder ist das Sinnloss zu versuchen?
Mit freundlichen Grüßen
Binzisback
folgende Situation:
Es gibt ein Netzwerk mit der Netzwerkadresse 192.168.1.0 in dem sich ein Terminalserver, Windows Domänenkontroller, E-Mail Server etc. befindet.
Als Firewall wird eine Gateprotect GP-125 verwendet, die auch die Einwahl ins Internet regelt.
Wir haben nun 2 OPenVPN over SSL Verbindungen für Notebooks eingerichtet, die sich mit dem Gateprotect VPN Client in dieses Netz einwählen und auf dem Terminalserver arbeiten. Wenn die Notebooks WLAN zur Verfügung haben, dann wählen sie sich über WLAN und wenn nicht, dann über T-Mobile ein. Grundsätzlich klappt das auch einwandfrei.
Nun haben wir aber gelegentlich das Problem, dass sich das Notebook über WLAN (z.b. im Hotel) im Internet befindet und hier dann das gleich Netz 192.168.1.0 ist. Wir bekommen dann die VPN Verbindung zwar auf gebaut, aber man kann nicht auf die andere Seite per RDP oder ping zugreifen, was logischerweise auf das gleiche Netz zurück zu führen ist.
Leider ist das Netz für die Hauptzentrale mit 192.168.1.0, im nachhinein betrachtet, nicht sehr gut gewählt, weil es ein Netz ist, welches sehr viele als Privates Netz verwenden. Aber nun ist es so und das zu ändern ist doch sehr aufwändig und nicht unproblematisch.
Gibt es von Euch vielleicht ein paar Cracks, die mir sagen können, ob ich das Problem vielleicht dennoch gelöst bekomme?
Ich habe mir schon mal überlegt auf den Notebooks eine Route zu erstellen, die gezielt nur für die IP- Adresse des Terminalserver gelten soll.
In der Gateprotect gibt es die Funktion, dass ich dem VPN- Client eine Route puschen kann. Hier hatte ich dann die IP- Adresse des Terminalservers angegeben. Aber das Route Adding schlägt fehl. Vermutlich, erkennt es hier eine Kollision.
Dann habe ich auf dem Notebook versucht eine Route zu definieren. Dazu habe ich folgendes eingetragen:
route add 192.168.1.151 mask 255.255.255.0 192.168.254.1 if 2
192.168.1.151 (Terminalserver)
192.168.254.1 (Gateway des VPN- Adapters auf dem Notebook)
if 2 (der LAN- Adapter hat die 0x2 bei route print stehen)
Ich bekomme aber immer die Rückmeldung, dass das Hinzufügen der Route fehlgeschlagen ist. der angegebene MAskenparameter ist ungültik. (Ziel & Maske) !=Ziel
Weiß jemand, ob man es überhaupt hinbekommt die gleichen Netze zu verbinden oder ist das Sinnloss zu versuchen?
Mit freundlichen Grüßen
Binzisback
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97641
Url: https://administrator.de/contentid/97641
Printed on: April 26, 2024 at 23:04 o'clock
4 Comments
Latest comment
Nein, da ist generell nicht hinzubekommen bei IP Netzgleichheit, da damit ein sauberes Routing per se vollkommen ausgeschlossen ist, da die Endgeräte ja logischerweise nicht mehr zwischen den IP Netzen unterscheiden können, was sie ja einzig anhand der IP Netzadrese machen !!
Mit Verlaub gesagt es zeugt auch von ziemlicher Blauäugigkeit oder einfach Unwissenheit ein zentrales Netzwerk mit VPN Nutzung, wo man ja ganz genau im Vorfeld weiss das man es mit externen Netzen zu tun bekommt, mit so einem banalen und dumm gewähltem IP Netzwerk wie 192.168.1.0 einzurichten !
Jeder Grundschüler weiss, das das per Default in jedem Billigrouter vom Blödmarkt vom Grabbeltisch implementiert ist und auch z-B. Windows das per Default bei ICS Design benutzt !!
Eine Netzwerkgleichheit ist dann nur noch eine Frage von Tagen bei VPN Nutzung.
Mit ein bischen Nachdenken und dem Studium des RFC 1918 der private Netzwerke beschreibt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
hätte man gesehen das es erheblich intelligenter gewesen wäre den zentralen Netzwerk sowas wie 172.27.1.0 /24 zu vergeben oder was auch immer. Der RFC 1918 hält ja noch eine Menge mehr IP Netzwerke zur Benutzung bereit.
Warum muss man sich allso immer nur auf diese für VPN dümmlichen 192.168er Netze stürzen wie jeder andere auch ??
Ganz unterdrückt hätte das die IP Netzwerkgleichheits Gefahr zwar nicht aber auf einen absoluten Zufall der so gut wie nie eintritt reduziert.
Fazit: Dumm gelaufen, nicht nachgedacht beim Design
Wenn du DHCP benutzt in deinem TS Netz ist eine Lösung ganz einfach. Stell einfach die IP auf einer der 172er Adressen um und gut ist.
Je eher desto besser damit du beim nächsten nicht schon wieder in das problem tappst !!!
Mit Verlaub gesagt es zeugt auch von ziemlicher Blauäugigkeit oder einfach Unwissenheit ein zentrales Netzwerk mit VPN Nutzung, wo man ja ganz genau im Vorfeld weiss das man es mit externen Netzen zu tun bekommt, mit so einem banalen und dumm gewähltem IP Netzwerk wie 192.168.1.0 einzurichten !
Jeder Grundschüler weiss, das das per Default in jedem Billigrouter vom Blödmarkt vom Grabbeltisch implementiert ist und auch z-B. Windows das per Default bei ICS Design benutzt !!
Eine Netzwerkgleichheit ist dann nur noch eine Frage von Tagen bei VPN Nutzung.
Mit ein bischen Nachdenken und dem Studium des RFC 1918 der private Netzwerke beschreibt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
hätte man gesehen das es erheblich intelligenter gewesen wäre den zentralen Netzwerk sowas wie 172.27.1.0 /24 zu vergeben oder was auch immer. Der RFC 1918 hält ja noch eine Menge mehr IP Netzwerke zur Benutzung bereit.
Warum muss man sich allso immer nur auf diese für VPN dümmlichen 192.168er Netze stürzen wie jeder andere auch ??
Ganz unterdrückt hätte das die IP Netzwerkgleichheits Gefahr zwar nicht aber auf einen absoluten Zufall der so gut wie nie eintritt reduziert.
Fazit: Dumm gelaufen, nicht nachgedacht beim Design
Wenn du DHCP benutzt in deinem TS Netz ist eine Lösung ganz einfach. Stell einfach die IP auf einer der 172er Adressen um und gut ist.
Je eher desto besser damit du beim nächsten nicht schon wieder in das problem tappst !!!
Hallo,
mit einer etwas phantasievollen Nutzung von NAT lässt sich das durchaus bewerkstelligen...
Die Maske ist falsch. Richtig wäre für eine Host-Route 255.255.255.255.
Grüße, Steffen
mit einer etwas phantasievollen Nutzung von NAT lässt sich das durchaus bewerkstelligen...
Ich bekomme aber immer die Rückmeldung, dass das Hinzufügen der Route fehlgeschlagen
ist. der angegebene MAskenparameter ist ungültik. (Ziel & Maske) !=Ziel
ist. der angegebene MAskenparameter ist ungültik. (Ziel & Maske) !=Ziel
Die Maske ist falsch. Richtig wäre für eine Host-Route 255.255.255.255.
Grüße, Steffen
Hallo zusammen,
vielen Dank für eure Beiträge. Zu meiner Verteidigung muss man sagen, dass das Netz aus einem Peer-to-Peer Netz mit 2 Rechnern gewachsen ist. Es war überhaubt nicht der Gedanke vom Kunden, dass er mal einen Terminalserver, Firewall und VPN nutzt und für uns sah es auch absolut danach aus, weil nur ganz sporadisch das Internet genutzt wurde. Mitlerweile ist das ganze auch ziemlich gewachsen. Selbst die Telefonanlage war nach einem halben Jahr (etwas übertrieben) nicht mehr zu gebrauchen, weil Sie schon an die Kapazitätsgrenzen kam.
Mir ist selbst noch eine Lösung eingefallen. Da die Gateprotect noch 2 weitere LAN- Interfaces hat, werde ich den Terminalserver einfach in ein anderes Netz setzen. DIe Netztrennung hätte ja dann Sicherheitstechnisch auch noch einen Vorteil, weil alles was zwischen Terminalserver und Hauptnetz an Daten verkehrt, läuft über die Firewall und ich kann nur die benötigten Dienste freischalten.
Das sollte doch funktionieren, oder?
vielen Dank für eure Beiträge. Zu meiner Verteidigung muss man sagen, dass das Netz aus einem Peer-to-Peer Netz mit 2 Rechnern gewachsen ist. Es war überhaubt nicht der Gedanke vom Kunden, dass er mal einen Terminalserver, Firewall und VPN nutzt und für uns sah es auch absolut danach aus, weil nur ganz sporadisch das Internet genutzt wurde. Mitlerweile ist das ganze auch ziemlich gewachsen. Selbst die Telefonanlage war nach einem halben Jahr (etwas übertrieben) nicht mehr zu gebrauchen, weil Sie schon an die Kapazitätsgrenzen kam.
Mir ist selbst noch eine Lösung eingefallen. Da die Gateprotect noch 2 weitere LAN- Interfaces hat, werde ich den Terminalserver einfach in ein anderes Netz setzen. DIe Netztrennung hätte ja dann Sicherheitstechnisch auch noch einen Vorteil, weil alles was zwischen Terminalserver und Hauptnetz an Daten verkehrt, läuft über die Firewall und ich kann nur die benötigten Dienste freischalten.
Das sollte doch funktionieren, oder?
Ja das ist der richtige Weg !
Aber bei der IP Adresse: Finger weg von den unsäglichen 192.168er Netzen !!!
172.x.x.x ist dein Freund !!
Aber bei der IP Adresse: Finger weg von den unsäglichen 192.168er Netzen !!!
172.x.x.x ist dein Freund !!