2
Verständnisfrage Site-to-Site-VPN
Hallo,
mit welcher IPv4-Adresse ist ein PC in einem per Site-to-Site-VPN verbundenem entfernten Netzwerk dort unterwegs?
Hintergrund teilweise UMstellung von persönlichen VPNs via AVM-Fritz!Fernzugang auf Lancom Site-to-Site-VPN
Bis vor kurzem hatte die Zentrale noch mehrere ISDN-Anschlüsse mit mehreren Fritz-Boxen, über alle Fritz-Boxen gingen Fritz-Fernzugänge rein, am Server waren als Gateway alle Fritz-Box-IP-Adressen eingtragen mit "automatischer" Metrik.
Hat auch funktioniert.
Beim Erstellen der Fernzugangs-Config-Dateien wurden den Nutzern der 1. Fritz-Box die IP-Adressen 192.168.1.200 bis 209, der zweiten Fritzbox von 210 bis 219 etc. vergeben.
Nicht sehr schön, aber hat jahrelang funktioniert.
Jetzt wurde im Zuge einer Standortänderung die Zentrale auf zwei Standorte (2. Standort sagen wir mal mit den Netz 192.168.2.0) verteilt und sollte per Lancom-Router von der Telekom und Site-to-Site-VPN verbunden werden. Einige Fritz-Fernzugangs-VPNs fallen weg und sind auch in die eine "Site" gewandert (auch physisch).
Der Server war erst wieder erreichbar, als ich alle anderen Gateways (der noch vorhandenen Fritzboxen) aus der IPv4-Einstellung des Server genommen hatte. Noch weiter existierende Fritz-VPNs funktionieren auch noch weiterhin. Eagl welchwes Gerät von welchem Fritz-VPN zugang angesprochen wurde, es kamen immer Antworten, egal ob Netzwerk-Drucker, NAS oder auch eine andere Fritzbox.
Wird über das Site-to-Site-VPN reingegangen, reagieren nur die Geräte, die diesen Router als alleinigen Gateway haben. Egal ob Server, NAS oder Netzwerk-Multidrucker. Ist da was falsch eingestellt oder warum weshalb wieso?
In meiner jugendlichen Naivität hätte ich gedacht, der VPN-Router (am Zielstandort) nimmt seine IP-Adresse und hängt einen Port dran (also 192.168.2.1:12345) oder vergibt als/wenn DHCP-Server einfache eine IP-Adresse (so wie beim Fritz-Fernzugang) und reagiert dann auch auf diese.
mit welcher IPv4-Adresse ist ein PC in einem per Site-to-Site-VPN verbundenem entfernten Netzwerk dort unterwegs?
Hintergrund teilweise UMstellung von persönlichen VPNs via AVM-Fritz!Fernzugang auf Lancom Site-to-Site-VPN
Bis vor kurzem hatte die Zentrale noch mehrere ISDN-Anschlüsse mit mehreren Fritz-Boxen, über alle Fritz-Boxen gingen Fritz-Fernzugänge rein, am Server waren als Gateway alle Fritz-Box-IP-Adressen eingtragen mit "automatischer" Metrik.
Hat auch funktioniert.
Beim Erstellen der Fernzugangs-Config-Dateien wurden den Nutzern der 1. Fritz-Box die IP-Adressen 192.168.1.200 bis 209, der zweiten Fritzbox von 210 bis 219 etc. vergeben.
Nicht sehr schön, aber hat jahrelang funktioniert.
Jetzt wurde im Zuge einer Standortänderung die Zentrale auf zwei Standorte (2. Standort sagen wir mal mit den Netz 192.168.2.0) verteilt und sollte per Lancom-Router von der Telekom und Site-to-Site-VPN verbunden werden. Einige Fritz-Fernzugangs-VPNs fallen weg und sind auch in die eine "Site" gewandert (auch physisch).
Der Server war erst wieder erreichbar, als ich alle anderen Gateways (der noch vorhandenen Fritzboxen) aus der IPv4-Einstellung des Server genommen hatte. Noch weiter existierende Fritz-VPNs funktionieren auch noch weiterhin. Eagl welchwes Gerät von welchem Fritz-VPN zugang angesprochen wurde, es kamen immer Antworten, egal ob Netzwerk-Drucker, NAS oder auch eine andere Fritzbox.
Wird über das Site-to-Site-VPN reingegangen, reagieren nur die Geräte, die diesen Router als alleinigen Gateway haben. Egal ob Server, NAS oder Netzwerk-Multidrucker. Ist da was falsch eingestellt oder warum weshalb wieso?
In meiner jugendlichen Naivität hätte ich gedacht, der VPN-Router (am Zielstandort) nimmt seine IP-Adresse und hängt einen Port dran (also 192.168.2.1:12345) oder vergibt als/wenn DHCP-Server einfache eine IP-Adresse (so wie beim Fritz-Fernzugang) und reagiert dann auch auf diese.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 497803
Url: https://administrator.de/contentid/497803
Printed on: April 27, 2024 at 08:04 o'clock
2 Comments
Latest comment
Hi,
ich glaube, du hast da Einiges noch nicht verstanden...
Jedes Gerät kann nur ein Standardgateway haben. Davon ausgehend, dass du ein geroutetes VPN betreibst - Was du in jedem Fall tun solltest - kommen die Anfragen natürlich von der IP des Gerätes. Wireshark zeigt dir da gerne mehr.
Mit Ports hat das Ganze nix zu tun.
Schau mal hier: IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Viele Grüße
ich glaube, du hast da Einiges noch nicht verstanden...
Jedes Gerät kann nur ein Standardgateway haben. Davon ausgehend, dass du ein geroutetes VPN betreibst - Was du in jedem Fall tun solltest - kommen die Anfragen natürlich von der IP des Gerätes. Wireshark zeigt dir da gerne mehr.
Mit Ports hat das Ganze nix zu tun.
Schau mal hier: IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Viele Grüße
mit welcher IPv4-Adresse ist ein PC in einem per Site-to-Site-VPN verbundenem entfernten Netzwerk dort unterwegs?
Das hängt vom VPN Protokoll ab. Leider schreibst du nur oberflächlich welches du nutzt 
Bei OpenVPN wird im Routing (nicht Bridge) Mode ein internes IP Netz benutzt und geroutet. IPsec im Tunnelmode nutzt im Tunnel unnumbered IP Adressen des remoten lokalen LAN.
Ist schwer die Frage zu beantworten da du die Protokollinfo nicht lieferst.
Außerdem ist es ein himmelweiter Unterschied ob die Router eine dedizierte Leitungs Infrastruktur dafür nutzen wie ISDN wie du es oben beschreibst oder ob sie ein Tunneling Verfahren wie bei VPN nutzen.
FritzBox und Lancom nutzen native IPsec im VPN Tunneling, denn andere VPN Protokolle supporten diese Systeme nicht.
Kollege @BirdyB hat oben ja schon alles Wissenswerte dazu geschrieben. Es gibt nur ein einziges Standardgateway. Winblows kann nicht mit mehreren umgehen und verfällt dann auf die Bindungsreihenfolge der Netzwerkkarten bzw. bei neueren Versionen mit einer Routing Metrik, also der Wichtung der NIC Adressen bei multiplen Gateways.
Billige Fritz VPNs in einer Firmenumgebung zu nutzen ist so oder so ein NoGo, denn die VPN Performance ist aufgrund des sehr schwachbrüstigen CPU Chips ohne Krypto Hardware in diesen billigen Consumer Boxen sehr schwach. Mehr als 2-3 Mbit bekommt man da nicht raus. In einer Firmenumgebung ist sowas meist unbrauchbar.