erik72
Goto Top

VPN LANtoLAN - einen bestimmten Client aus Standort 2 über VPN am Standort 1 in das Internet routen

Hallo,
ich habe es geschafft eine IPSec-VPN Lan2Lan über DSL zwischen zwei Draytek's 2500WE zu realisieren.
Hier mein Szenario und die Anfrage mit der Bitte um Unterstützung:

Szenario:

Standort 1:
LAN:
Router: 192.168.88.99 255.255.255.0

Standort 1 Client 1:
IP: 192.168.88.51 / 255.255.255.0
Gateway: 192.168.88.99
DNS: 192.168.88.99

Standort 1 Client 2:
IP: 192.168.88.52 / 255.255.255.0
Gateway: 192.168.88.99
DNS: 192.168.88.99


Standort 2:
LAN:
Router: 192.168.66.99 255.255.255.0

Standort 2 Client 1:
IP: 192.168.66.51 / 255.255.255.0
Gateway: 192.168.66.99
DNS: 192.168.66.99

Standort 2 Client 2:
IP: 192.168.66.52 / 255.255.255.0
Gateway: 192.168.66.99
DNS: 192.168.66.99


Beschreibung:
Standort 1 und Standort 2 sind mit einem IPSec-Tunnel verbunden. Zugriff und Ping von z.B. Standort 1 Client1 zu Standort 2 Client 2 funktioniert einwandfrei.

Ich möchte, dass der Client 1 vom Standort 2 durch den Tunnel unter der WAN-IP des Standortes 1 in das Internet Zugang hat. Mit anderen Worten: Dieser eine Client soll über Standort 1 surfen.

Welche Einstellungen sind an den Routern der Standorte nötig? Muss am Client die Netzwerkeinstellung geändert werden oder wird alles im Router eingestellt?
Es handelt sich um zwei Draytek Vigor 2500WE.

Vielen Dank
Gruß
Erik

Content-Key: 151427

Url: https://administrator.de/contentid/151427

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 21.09.2010, aktualisiert am 18.10.2012 um 18:43:33 Uhr
Goto Top
Nein, am Client ist nichts einzustellen, denn der hat ja schon sein Default Gateway. Die Router sind allein für die Wegefindung zuständig.
Der Router müsste eine Policy_Route_Map für den Port TCP 80 und TCP 443 auf den Router an Standort 1 haben.
Die Drayteks können zwar schon sehr viel aber PBR Routen supporten sie leider nicht.
Fazit: Dein Vorhaben ist so allein auf Layer 3 Routing Ebene mit deiner HW nicht zu machen ! Dafür müsstest du andere Router HW beschaffen:

Einfacher Workaround: Installier dir einen kostenlosen Proxy Server mit einem ollen ausrangierten PC am Standort 1. Ein Klassiker ist dabei Squid:
http://www.squid-handbuch.de/hb/
oder sowas wie der Jana Server:
http://www.janaserver.de/start.php?lang=de
geht aber auch...muss halt nur ein simpler HTTP Proxy sein.
Dann gehst du einfach bei und aktivierst bei dem Web Browser an Client 1 vom Standort 2 den Proxy auf diese Adresse und fertig ist der Lack !
Alle Web Anfragen laufen dann erst über den Tunnel auf den Proxy and Standort 1 und dann ins Internet und du hast dein Problem elegant gelöst.
Mit einer Accesslist am Stanort 2 kannst du sogar noch den direkten Zugriff von Client 1 sicher verhindern falls der User mal auf dumme Gedanken kommt und den Proxy wegklickt.
Hat sogar den Vorteil das du weitere Clients vom Standort 2 mit einem simplen Mausklick über Standort 1 surfen lassen kannst und am Proxy Accounting, Authentisierung usw. betreiben kannst. Letztlich also die flexiblere Lösung....