10
VPN Verbindung aufbauen - Clientseitig kein DHCP Server
Hallo,
habe ein Problem das ich nicht lösen kann. Vielleicht könnt Ihr mir helfen.
Ich möchte von Standort A eine VPN-Verbindung zur Firma Standort B (VPN Server) aufbauen. Leider läuft in Standort A kein DHCP, das heißt die Workstation bekommt eine feste IP. An dieser Stelle scheitert das ganze.
Standort A hat den IP-Bereich 170.0.1.x und Standort B hat 192.168.79.x, erreichbar über Dyndns.
Gibt es irgendeine Möglichkeit am Client die Netzwerkeinstellungen auf "Feste IP" zu lassen und trotzdem eine Verbindung mit einem Netzwerk aufzubauen auch wenn dieser einen anderen IP-Bereich hat? Bin nicht gerade der VPN Experte - Vielleicht gibt es noch weitere Einstellmöglichkeiten die ich nicht kenne...
Gruß
hacol22
habe ein Problem das ich nicht lösen kann. Vielleicht könnt Ihr mir helfen.
Ich möchte von Standort A eine VPN-Verbindung zur Firma Standort B (VPN Server) aufbauen. Leider läuft in Standort A kein DHCP, das heißt die Workstation bekommt eine feste IP. An dieser Stelle scheitert das ganze.
Standort A hat den IP-Bereich 170.0.1.x und Standort B hat 192.168.79.x, erreichbar über Dyndns.
Gibt es irgendeine Möglichkeit am Client die Netzwerkeinstellungen auf "Feste IP" zu lassen und trotzdem eine Verbindung mit einem Netzwerk aufzubauen auch wenn dieser einen anderen IP-Bereich hat? Bin nicht gerade der VPN Experte - Vielleicht gibt es noch weitere Einstellmöglichkeiten die ich nicht kenne...
Gruß
hacol22
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 64884
Url: https://administrator.de/contentid/64884
Printed on: April 19, 2024 at 22:04 o'clock
10 Comments
Latest comment
verwendest du vpn vom windows 2003 server?
bei windows 2003 server kannst du einen statischen adresspool anlegen.
eine diese adressen dann bei der vpn verbindung am client angeben.
habs nicht getestet aber sollte gehen.
eine diese adressen dann bei der vpn verbindung am client angeben.
habs nicht getestet aber sollte gehen.
Dass der Client ne statische Ip hat ist egal - im Tunnel kriegt er eh eine verpasst, die auf den virtuellen Adapter gebunden wird.
@oskopik
Nein, ist kein Server 2003, sondern ein Checkpoint VPN-1 Gateway. Hätte ich vorab schon erwähnen sollen. Das macht die ganze Sache natürlich etwas komplizierter. Muss ich dann am Client diese statische, die am Gateway eingetragen ist, am Client als zweite IP eintragen?
@einfach-mal-die-klappe-halten
Verbunden wird über eine Client-Software, in der man nur die IP bzw. dyndns und Sicherheitseinstellungen eintragen kann, deshalb ist auch kein virtueller Adapter angelegt. Es sind nur die physikalischen Adapter aufgeführt. Der VPN-Gateway vergibt auch per DHCP IP´s, man kann aber auch statische anlegen.
Soll ich jetzt die 170... IP in den Gateway eintragen, genauso wie am Client? Wenn ja passt das doch wieder nicht, weil das Firmennetzwerk eine 192... Netz hat. Wenn ich in den Gateway eine 192... Adressvergabe eintrage, dann bekommt das der Client nicht, weil der Netzwerkadapter nicht auf "automatisch Beziehen" eingestellt ist.
Nein, ist kein Server 2003, sondern ein Checkpoint VPN-1 Gateway. Hätte ich vorab schon erwähnen sollen. Das macht die ganze Sache natürlich etwas komplizierter. Muss ich dann am Client diese statische, die am Gateway eingetragen ist, am Client als zweite IP eintragen?
@einfach-mal-die-klappe-halten
Verbunden wird über eine Client-Software, in der man nur die IP bzw. dyndns und Sicherheitseinstellungen eintragen kann, deshalb ist auch kein virtueller Adapter angelegt. Es sind nur die physikalischen Adapter aufgeführt. Der VPN-Gateway vergibt auch per DHCP IP´s, man kann aber auch statische anlegen.
Soll ich jetzt die 170... IP in den Gateway eintragen, genauso wie am Client? Wenn ja passt das doch wieder nicht, weil das Firmennetzwerk eine 192... Netz hat. Wenn ich in den Gateway eine 192... Adressvergabe eintrage, dann bekommt das der Client nicht, weil der Netzwerkadapter nicht auf "automatisch Beziehen" eingestellt ist.
einfach am client vpn programm auf dhcp stellen würde ich sagen.
das gateway und die ip bekommt er dann automatisch.
du meinst ja am vpn router läuft ein dhcp der adressen im bereicht 192.168.79.x vergibt.
was ist das problem?
man muss das im vpc client programm sicher einstellen können -> advanced settings oder so ;)
lg,
otis
das gateway und die ip bekommt er dann automatisch.
du meinst ja am vpn router läuft ein dhcp der adressen im bereicht 192.168.79.x vergibt.
was ist das problem?
man muss das im vpc client programm sicher einstellen können -> advanced settings oder so ;)
lg,
otis
Auf dem VPN Server wird ein IP-Range definiert, der weder aus dem IP-Range des Remote Clients ist, noch aus dem IP-range des Zielnetzes. Also ein gängzlich anderes Netz.
Wenn der Client dann eine Verbindung aufbaut, bekommt er im Tunnel eine von diesen IP-Adressen die auf dem VPN Server konfiguriert wurden.
Eventuell fehlt dir eine Route, damit die Pakete aus dem Netz, in dem der VPN Server steht, den Weg finden.
Ist der auf dem VPN Server konfigurierte IP-Range beispielsweise 10.10.0.0 mit SN-Maske 255.255.0.0, und gehn wir beispielsweise davon aus dass die Checkpoint Kiste die IP 192.168.99.99 hat, dann brauchst die Route
ip route 10.10.0.0 255.255.0.0 192.168.99.99
Auf dem Remote Client siehts bei VPN Verbindung dann so aus:
C:\Dokumente und Einstellungen\georgeWBush>ipconfig
Windows-IP-Konfiguration
Ethernetadapter Drahtlose Netzwerkverbindung:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.178.24
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Ethernetadapter VPN Adapter:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.10.46.78
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 10.10.46.78
So ungefähr hab ich das jedenfalls letzte Woche gemacht, wenn auch nicht mit ner Checkpoint.
Wenn der Client dann eine Verbindung aufbaut, bekommt er im Tunnel eine von diesen IP-Adressen die auf dem VPN Server konfiguriert wurden.
Eventuell fehlt dir eine Route, damit die Pakete aus dem Netz, in dem der VPN Server steht, den Weg finden.
Ist der auf dem VPN Server konfigurierte IP-Range beispielsweise 10.10.0.0 mit SN-Maske 255.255.0.0, und gehn wir beispielsweise davon aus dass die Checkpoint Kiste die IP 192.168.99.99 hat, dann brauchst die Route
ip route 10.10.0.0 255.255.0.0 192.168.99.99
Auf dem Remote Client siehts bei VPN Verbindung dann so aus:
C:\Dokumente und Einstellungen\georgeWBush>ipconfig
Windows-IP-Konfiguration
Ethernetadapter Drahtlose Netzwerkverbindung:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.178.24
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Ethernetadapter VPN Adapter:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.10.46.78
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 10.10.46.78
So ungefähr hab ich das jedenfalls letzte Woche gemacht, wenn auch nicht mit ner Checkpoint.
OK, genau das ist ja mein Problem. An der Client-Software kann man eben keine IP einstellen. Es gibt auch kein virtuellen Adapter. Stelle ich den physikalischen Adapter auf "automatisch beziehen", hat der Client keine IP und somit keine Internetverbindung da kein DHCP in Standort A.
Der Client hat nur eine physikalische Verbindung, und die muss auf feste IP stehen, sonst kein Internet. Werde das mit der Route testen, vielleicht geht das.
Danke für die Antworten.
Gruß
Der Client hat nur eine physikalische Verbindung, und die muss auf feste IP stehen, sonst kein Internet. Werde das mit der Route testen, vielleicht geht das.
Danke für die Antworten.
Gruß
Der virtuelle VPN Adapter wird erst aktiv, wenn der VPN Tunnel aufgebaut wurde.
Bei der Installation der client VPN Software wird der Adapter auf dem Client installiert, automatisch.
Beim VPN Client musst du garkeine IP einstellen, die erhält er doch beim Verbindungsaufbau vom VPN Server, aber eben erst im Tunnel. Der client behält ansonsten seine "normale" IP weiter, die hat mit dem VPN Tunnel garnix zu tun.
Der VPN Client muss nur wissen, wo bzw. wie er den VPN Server erreichen kann, sprich welchen Namen oder IP er hat.
Der Rest wird auf dem VPN Server eingestellt, also welche Verschlüsselungsparameter, SAs, ESP, Tunnel oder Transport Modus, IP-Range für Clients usw.
Bei der Installation der client VPN Software wird der Adapter auf dem Client installiert, automatisch.
Beim VPN Client musst du garkeine IP einstellen, die erhält er doch beim Verbindungsaufbau vom VPN Server, aber eben erst im Tunnel. Der client behält ansonsten seine "normale" IP weiter, die hat mit dem VPN Tunnel garnix zu tun.
Der VPN Client muss nur wissen, wo bzw. wie er den VPN Server erreichen kann, sprich welchen Namen oder IP er hat.
Der Rest wird auf dem VPN Server eingestellt, also welche Verschlüsselungsparameter, SAs, ESP, Tunnel oder Transport Modus, IP-Range für Clients usw.
ja stimmt, du hast recht. Ich hatte immer dann nach einem virtuellen Adapter gesucht als noch keine VPN Verbindung aufgebaut war. Erst nach der Verbindung erscheint dieser Adapter.
Habe es so gelöst wie du es oben beschrieben hattest. Das war eine sehr gute Idee von Dir. Eine dritte IP-Range die nicht existiert in den VPN-Gateway als IP-Vergabe eingetragen und eine Weiterleitung eingerichtet. So habe ich auch die Möglichkeit bestimmte Ports für die Weiterleitung des dritten IP-Range zu sperren. Hat somit weitere Vorteile mit sich gebracht. War eine schwere Geburt. Vielen Dank!
Gruß
hacol22
Habe es so gelöst wie du es oben beschrieben hattest. Das war eine sehr gute Idee von Dir. Eine dritte IP-Range die nicht existiert in den VPN-Gateway als IP-Vergabe eingetragen und eine Weiterleitung eingerichtet. So habe ich auch die Möglichkeit bestimmte Ports für die Weiterleitung des dritten IP-Range zu sperren. Hat somit weitere Vorteile mit sich gebracht. War eine schwere Geburt. Vielen Dank!
Gruß
hacol22
Hallo
Ich wuerde als erstes Versuchen der Netzwerkkarte in Standort A eine zweite Adresse zuzuweisen
die der im Standort B entspricht.
Gruss Viper
Ich wuerde als erstes Versuchen der Netzwerkkarte in Standort A eine zweite Adresse zuzuweisen
die der im Standort B entspricht.
Gruss Viper
