19
VPN Tunnel mit verschiedene gateways
Hallo @all
ich habe da ein problem ich möchte von zuhause mit meinem notebook und direkteinwahl ohne router (ip 192.168.1.174) über vpn in unser internes netzwerk (router Netgear FVL 328, ip 192.168.10.254) alles kein problem vpn verbindung steht kann meine router von der 192.168.10.254 seite aus administrieren.
nun das problem ich kann denn rest nicht pingen nur meinen linux server weil bei im der gateway 192.168.10.254 eingetragen ist. bei den andern brauche ich aber den gateway 192.168.10.5 für ein warenwirtschaftsprogramm das über ciscorouter und standleitung angebunden ist.
wie kann ich aber nun beide gateways von außen ansprechen bzw. welche routingtabelle muss ich im router eintragen um das zum laufen zu bringen
ich habe da ein problem ich möchte von zuhause mit meinem notebook und direkteinwahl ohne router (ip 192.168.1.174) über vpn in unser internes netzwerk (router Netgear FVL 328, ip 192.168.10.254) alles kein problem vpn verbindung steht kann meine router von der 192.168.10.254 seite aus administrieren.
nun das problem ich kann denn rest nicht pingen nur meinen linux server weil bei im der gateway 192.168.10.254 eingetragen ist. bei den andern brauche ich aber den gateway 192.168.10.5 für ein warenwirtschaftsprogramm das über ciscorouter und standleitung angebunden ist.
wie kann ich aber nun beide gateways von außen ansprechen bzw. welche routingtabelle muss ich im router eintragen um das zum laufen zu bringen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 37717
Url: https://administrator.de/contentid/37717
Printed on: April 19, 2024 at 12:04 o'clock
19 Comments
Latest comment
Ich habe zwar keine Lösung zu deinem Problem, aber ist es sinnvoll deine richtige IP hier zu posten?
Gruß
Timo
Gruß
Timo
?? das sind meine richtigen ips zuhause habe ich den ipkreis 192.168.1.0 und in der firma 192.168.10.0 wie oben beschrieben
Genau das war es ja, was Timo20 gemeint hat, die echten IPs sollte man nicht posten, da das einem Angreifer Informationen über Dein Netz liefert.
Und man weiß ja nie, wieviele Script-Kiddies administrator.de lesen.
Den Netzaufbau kann ich aus Deinem Posting nur halb erahnen, aber ich gehe mal davon aus, daß wir hier 3 Subnetze haben:
Dein Notebook 192.168.1.x
Deine Firma 192.168.10.x
und das Warenwirtschaftssystem ???.???.???.x
Richtig?
Und wenn Du von Gateway redest, meinst Du das Standard / Default Gateway, oder?
Ich würde jetzt vermuten wollen, daß auf dem Gateway 192.168.10.5 eine Route eingetragen werden muß, daß die IP-Bereiche des VPNs auf 192.168.10.254 geschickt werden.
Und man weiß ja nie, wieviele Script-Kiddies administrator.de lesen.
Den Netzaufbau kann ich aus Deinem Posting nur halb erahnen, aber ich gehe mal davon aus, daß wir hier 3 Subnetze haben:
Dein Notebook 192.168.1.x
Deine Firma 192.168.10.x
und das Warenwirtschaftssystem ???.???.???.x
Richtig?
Und wenn Du von Gateway redest, meinst Du das Standard / Default Gateway, oder?
Ich würde jetzt vermuten wollen, daß auf dem Gateway 192.168.10.5 eine Route eingetragen werden muß, daß die IP-Bereiche des VPNs auf 192.168.10.254 geschickt werden.
Ich habe zwar keine Lösung zu deinem
Problem, aber ist es sinnvoll deine richtige
IP hier zu posten?
Gruß
Timo
Problem, aber ist es sinnvoll deine richtige
IP hier zu posten?
Gruß
Timo
schrieb er doch
sorry aber e egal solange ich meine externe ip oder dns angebe wird es wohl für jeden schwer das zu missbrauch zudem meine e-mail adresse auch nicht zu dieser firma gehört.
aber zum thema ich kann ihn den cisco routern nichts ändern
kann ich das mit dem gateway nicht irgendwie anderst lösen????
RFC 1918 Adressen (und dazu gehört alles was zwischen 192.168.0.0 bis .254.254 liegt) kann er doch sooft posten wie er will... Das sind private Adresse die im Internet nicht geroutet werden, kommen allso millionenmal vor auf der Welt. Wo sollte da ein Hacker denn anfangen zu suchen ??? Vom Internet sind diese Adressen wenigstens nie erreichbar !!!
Nebenbei bemerkt ist das die IP seines Ethernet Interfaces und nicht die des PPPoE Zugangs zum Carrier, der routet nämlich keine RFC 1918 Adressen !!! Natürlich ist es nicht sehr gut eine direkte Verbindung so zu etablieren aber erreichbar sind diese Adressen definitiv nicht !
Zurück zu deinem Problem:
So wie es aussieht hast du hier ein Routing Problem. Dein VPN Tunnel endet auf dem Netgear, der ist also Ausgangspunkt für deine Verbindungen.
Wenn du nun in deinem Netz noch andere Router mit Standleitungen o.ä. hast dann musst du dem netgear natürlich statisch diese Routen zu den Zielnetzen wo sich dein Warenwirtschaftssystem befindet mitteilen. Also im statischen Routing Setup des Routers muss sowas stehen wie
Zielnetz WWS, Maske, next hop gateway
Andersherum musst du diesen Routern dann aber auch mitteilen das der netgear jetzt mit einmal dein Hausnetz kennt und damit das gateway dafür ist. Im Cisco muss dann sowas stehen wie:
ip route 192.168.1.0 255.255.255.0 (ip adresse NetGear)
Ohne diese statischen Routen kannst du immer nur Hop by Hop arbeiten was auf die Dauer aber zu "nervig" ist. Man kann sich das Leben auch erleichtern wenn ihr dynamisch routen solltet, dann werden all diese Routen dynamisch propagiert und du musst dies Protokoll ggf. am NetGear einstellen.
Leider können Consumer Systeme wie die von NetGear entweder gar keine oder nur ein Protokoll nämlich RIP (Routing Information Protokoll) wenn man Glück hat sogar RIP2. Das müsstest du mal prüfen. Der Cisco kann natürlich (fast) alles was es gibt.
Wenn du Admin dieser Systeme bist kannst du das ggf. umstellen.
Nebenbei bemerkt ist das die IP seines Ethernet Interfaces und nicht die des PPPoE Zugangs zum Carrier, der routet nämlich keine RFC 1918 Adressen !!! Natürlich ist es nicht sehr gut eine direkte Verbindung so zu etablieren aber erreichbar sind diese Adressen definitiv nicht !
Zurück zu deinem Problem:
So wie es aussieht hast du hier ein Routing Problem. Dein VPN Tunnel endet auf dem Netgear, der ist also Ausgangspunkt für deine Verbindungen.
Wenn du nun in deinem Netz noch andere Router mit Standleitungen o.ä. hast dann musst du dem netgear natürlich statisch diese Routen zu den Zielnetzen wo sich dein Warenwirtschaftssystem befindet mitteilen. Also im statischen Routing Setup des Routers muss sowas stehen wie
Zielnetz WWS, Maske, next hop gateway
Andersherum musst du diesen Routern dann aber auch mitteilen das der netgear jetzt mit einmal dein Hausnetz kennt und damit das gateway dafür ist. Im Cisco muss dann sowas stehen wie:
ip route 192.168.1.0 255.255.255.0 (ip adresse NetGear)
Ohne diese statischen Routen kannst du immer nur Hop by Hop arbeiten was auf die Dauer aber zu "nervig" ist. Man kann sich das Leben auch erleichtern wenn ihr dynamisch routen solltet, dann werden all diese Routen dynamisch propagiert und du musst dies Protokoll ggf. am NetGear einstellen.
Leider können Consumer Systeme wie die von NetGear entweder gar keine oder nur ein Protokoll nämlich RIP (Routing Information Protokoll) wenn man Glück hat sogar RIP2. Das müsstest du mal prüfen. Der Cisco kann natürlich (fast) alles was es gibt.
Wenn du Admin dieser Systeme bist kannst du das ggf. umstellen.
wieso kann ich meinen notebook nicht in den 192.168.10.0 bereich mitaufnehmen benutze als vpn client prosafe wenn ich das tue kann ich gar nichts pingen????
Das liegt wahrscheinlich daran das dein XP per se nicht routet, sprich Packete aus dem 10er Tunnel auf dein Ethernetsegment im 1er netz zu routen. Ggf. hilft es das Routing bei XP zu aktivieren:
www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_pro_EnableForwarding.htm
Wenn es der VPN Treiber nicht eh schon gemacht hat....
www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_pro_EnableForwarding.htm
Wenn es der VPN Treiber nicht eh schon gemacht hat....
[...] aber ist es sinnvoll deine richtige
IP hier zu posten?
IP hier zu posten?
Nichts für ungut. Ich habe außerdem eine Frage und keine Aussage formuliert
Timo
alle wenn ich jetzt mir einen router mit rip reinstelle z.b. pix 501 vererbt er die routingtabell mit meinen anderer cisco routern und dann solllte das laufen oder wie????
ja sorry bin heute noch einwenig wirr im kopf
wer lesen kann ist immer im vorteil
hab mich bei dir verlesen
wer lesen kann ist immer im vorteil
hab mich bei dir verlesen
Wenn du RIP nutzen willst musst du das auf allen Layer 3 Maschinen (also allen Routern) anschalten. Achte darauf das das alte RIP nicht mit CIDR gesubnetteten Netzen umgehen kann. Es versteht also nur die klassischen Class A, B oder C Adressen und die dazugehörigen Netze. Hast du ein classless gesubnettetes Segment irgendwo musst du unbedingt RIP Version II verwenden. Ich meine aber das kam bei dir nicht vor im Netz also sollte RIP es dann auch tun.
RIP tauscht dann alle Routen dynamisch aus und dein netz ist dann Layer 3 seitig voll transparent ohne das du was statisch einstellen musst.
RIP tauscht dann alle Routen dynamisch aus und dein netz ist dann Layer 3 seitig voll transparent ohne das du was statisch einstellen musst.
super danke werd das mal versuchen
Hi also klappt einfach nicht
kann ich meinen linux server nicht auch zu routen hernehmen????
kann ich meinen linux server nicht auch zu routen hernehmen????
Sicher kann auch ein Linux Server routen, aber nur dann, wenn die zu routenden Pakete überhaupt bei ihm vorbeikommen.
Wie schon weiter oben erwähnt, vermutlich schickt das Gateway 192.168.10.5, an welchem das Warenwirtschaftssystem angeschlossen ist, die zurückgehenden VPN-Pakete NICHT an 10.168.10.254 weiter.
Daher eine Route auf dem Gateway 192.168.10.5 einrichten, welche den Adressbereich des VPN zu 10.168.10.254 weiterschickt (Falls ich Deinen Netzaufbau richtig verstanden habe).
Wie schon weiter oben erwähnt, vermutlich schickt das Gateway 192.168.10.5, an welchem das Warenwirtschaftssystem angeschlossen ist, die zurückgehenden VPN-Pakete NICHT an 10.168.10.254 weiter.
Daher eine Route auf dem Gateway 192.168.10.5 einrichten, welche den Adressbereich des VPN zu 10.168.10.254 weiterschickt (Falls ich Deinen Netzaufbau richtig verstanden habe).
ja das denke ich auch das der 192.168.10.5 nicht weis wo der 192.168.10.254 steht
daher habe ich eigendlich die idee den gateway 192.168.10.5 über den linux gehen soll das währe ja dann so als wenn er selber an die 192.168.10.5 eine anfrage stellt und der cisco ha mit der antwort an den linux zuückgeht und dann über den 192.168.10.254 rausgeht
kann man beim linux auch mehere gateways einrichten wie beim windows???
daher habe ich eigendlich die idee den gateway 192.168.10.5 über den linux gehen soll das währe ja dann so als wenn er selber an die 192.168.10.5 eine anfrage stellt und der cisco ha mit der antwort an den linux zuückgeht und dann über den 192.168.10.254 rausgeht
kann man beim linux auch mehere gateways einrichten wie beim windows???
Syntax Error bei Parsing Sentence: No commas or dots found
Punkt und Komma erleichtert es, die zusammengehörigen Satzteile zu erkennen, ich blick wieder mal nicht, was Du wohin schicken willst, es klingt aber sehr nach einem Zirkelschluß beim Routing.
Aber mal zurück:
Natürlich weiß der 192.168.10.5 wo der 192.168.10.254 steht, namlich im gleichen Subnetz. Er weiß nur nicht, daß Pakete für den VPN-Bereich 192.168.1.xxx über den gehen müssen. Pakete direkt zum 192.168.10.254 kommen sicherlich an.
Ein Gateway hat mehrere Netze zu verbinden und muß daher wissen, welches IP Paket er über welche Netzwerkkarte zu welchem Rechner schickt.
Daher kannst Du nicht einfach alles von 192.168.10.5 an den 192.168.10.254 schicken, dann kämst Du auf Dein Warenwirtschaftssystem nicht mehr drauf, weil die Pakete dann auch zum 192.168.10.254 gehen würden.
Und was mehrere Gateways angeht und eintragen, das was bei Windows im TCP/IP unter Standardgateway kommt, da mag man zwar bei jeder Netzwerkkarte was eintragen können, es gibt aber immer nur EIN aktives Standardgateway.
Man kann bei allem was IP verwendet nur ein Standardgateway definieren und beliebig viele Routen dazu. Also auch bei Linux.
Zusammenfassend:
Richte auf dem 192.168.10.5 eine Route für das Subnetz 192.168.1.xxx mit Ziel 192.168.10.254 ein.
Das sollte genügen um die Rechner im 192.168.10.xxx Netz vom VPN Notebook aus zu erreichen (immer noch unter der Vorraussetzung, daß ich den Netzaufbau halbwegs richtig aus den Postings rausgelesen habe).
Punkt und Komma erleichtert es, die zusammengehörigen Satzteile zu erkennen, ich blick wieder mal nicht, was Du wohin schicken willst, es klingt aber sehr nach einem Zirkelschluß beim Routing.
Aber mal zurück:
Natürlich weiß der 192.168.10.5 wo der 192.168.10.254 steht, namlich im gleichen Subnetz. Er weiß nur nicht, daß Pakete für den VPN-Bereich 192.168.1.xxx über den gehen müssen. Pakete direkt zum 192.168.10.254 kommen sicherlich an.
Ein Gateway hat mehrere Netze zu verbinden und muß daher wissen, welches IP Paket er über welche Netzwerkkarte zu welchem Rechner schickt.
Daher kannst Du nicht einfach alles von 192.168.10.5 an den 192.168.10.254 schicken, dann kämst Du auf Dein Warenwirtschaftssystem nicht mehr drauf, weil die Pakete dann auch zum 192.168.10.254 gehen würden.
Und was mehrere Gateways angeht und eintragen, das was bei Windows im TCP/IP unter Standardgateway kommt, da mag man zwar bei jeder Netzwerkkarte was eintragen können, es gibt aber immer nur EIN aktives Standardgateway.
Man kann bei allem was IP verwendet nur ein Standardgateway definieren und beliebig viele Routen dazu. Also auch bei Linux.
Zusammenfassend:
Richte auf dem 192.168.10.5 eine Route für das Subnetz 192.168.1.xxx mit Ziel 192.168.10.254 ein.
Das sollte genügen um die Rechner im 192.168.10.xxx Netz vom VPN Notebook aus zu erreichen (immer noch unter der Vorraussetzung, daß ich den Netzaufbau halbwegs richtig aus den Postings rausgelesen habe).
hi danke für deine antworten
mein problem ist nur das ich bei den cisco routern für das warenwirtschaftssystem nichts einrichten kann.da ich keine rechte für diese router habe. daher versuche ich eine möglichkeit zufinden mein netzwerk so zu routen das ich bei dem cisco router nichts einstellen brauche. daher das ganze problem der rest funk ja einwandfrei.
mein problem ist nur das ich bei den cisco routern für das warenwirtschaftssystem nichts einrichten kann.da ich keine rechte für diese router habe. daher versuche ich eine möglichkeit zufinden mein netzwerk so zu routen das ich bei dem cisco router nichts einstellen brauche. daher das ganze problem der rest funk ja einwandfrei.
Du kannst lediglich Maschinen im 192.168.10er Netz administrieren, da den anderen Routern dein internes (VPN) Netz nicht bekannt ist. Das heisst auch wenn du einseitig Routen eintragen würdest kämen die Packete dahin aber nicht zurück, da der Cisco deine Route nicht kennt oder ggf. eine andere Default Route hat und die Packete damit ins Nirwana schickt.
Du müsstest an den Cisco ran und ihm dein Netz bekannt geben.
Solange du nichts anderes veränderst könntest du dich ja abends nach Feierabend mal mit einem seriellen Kabel "bewaffnen" an den Cisco dein Laptop mit z.B. TeraTerm als Terminalprogramm anschliessen (9600 Baud, N81), den Cisco kaltstarten und bei der Bootmeldung ein "B" drücken (Break Signal senden). Danach kannst du den Cisco ohne Passwort hochfahren, ihm eine Riute verpassen:
ip route 192.168.1.0 255.255.255.0 192.168.10.254
Dann kennt er deine Route
Hier:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_no ...
kannst du nochmal genau nachlesen wie es geht bei eurem Router Modell.
Geht das alles nicht bleibt dir nur noch deine 192.168.1er Adresse aus deinem VPN per NAT zu translaten auf eine freie 192.168.10er Adresse. Du "versteckst" dich dann gewissermaßen hinter dieser Adresse und damit dürften die Router ohne Probleme und Konfig Eingriff klarkommen.... Das sollte mit Linux eigentlich kein Problem sein eine Adrersse aus dem 1er Bereich zu NATen !!!
Du müsstest an den Cisco ran und ihm dein Netz bekannt geben.
Solange du nichts anderes veränderst könntest du dich ja abends nach Feierabend mal mit einem seriellen Kabel "bewaffnen" an den Cisco dein Laptop mit z.B. TeraTerm als Terminalprogramm anschliessen (9600 Baud, N81), den Cisco kaltstarten und bei der Bootmeldung ein "B" drücken (Break Signal senden). Danach kannst du den Cisco ohne Passwort hochfahren, ihm eine Riute verpassen:
ip route 192.168.1.0 255.255.255.0 192.168.10.254
Dann kennt er deine Route
Hier:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_no ...
kannst du nochmal genau nachlesen wie es geht bei eurem Router Modell.
Geht das alles nicht bleibt dir nur noch deine 192.168.1er Adresse aus deinem VPN per NAT zu translaten auf eine freie 192.168.10er Adresse. Du "versteckst" dich dann gewissermaßen hinter dieser Adresse und damit dürften die Router ohne Probleme und Konfig Eingriff klarkommen.... Das sollte mit Linux eigentlich kein Problem sein eine Adrersse aus dem 1er Bereich zu NATen !!!
super vielen danke für deine vielen antworten
ich hoffe ich werd mit dem material nun doch zu einer lösung kommen
gruß und danke
amersand
ich hoffe ich werd mit dem material nun doch zu einer lösung kommen
gruß und danke
amersand
