bjoernj
Goto Top

VPN Verbindung eines einzelnen Rechners im LAN teilen

Hallo,

ich hab ein vermutlich recht typisches Netzwerk zuhause, bestehend aus den Clients A, B, C, D und dem Internet-Gateway 192.168.2.1/24. Auf A läuft ein proprietäres VPN-Programm unter Windows 10, das den Zugriff auf ein entferntes Netzwerk 10.0.0.0/24 gestattet. A hat die LAN-Adresse 192.168.2.116 und im VPN-Netzwerk die Adresse 10.0.0.240.

Ich möchte, dass die übrigen Clients B, C und D auch Zugriff auf das Netzwerk 10.0.0.0 erhalten, ohne dass ich auf ihnen ebenfalls den proprietären VPN-Client ausführen muss.

Ich hatte dazu auf A Routing und RAS aktiviert und eine statische Route eingerichtet. Das hat aber nicht funktioniert. Ich wende mich deshalb vertrauensvoll an dieses Forum und hoffe, dass mir jemand weiterhelfen kann.

Danke
Björn

Content-Key: 393190

Url: https://administrator.de/contentid/393190

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.11.2018 um 00:16:30 Uhr
Goto Top
Geht nicht. Erst Recht nicht wenn du uns nichts genaues sagst
Mitglied: bjoernj
bjoernj 19.11.2018 um 01:37:17 Uhr
Goto Top
Brauchst du mehr Infos, um dich sinnvoll mit dem Problem beschäftigen zu können? Welche denn? Mir fällt nichts ein, was ich noch ergänzen könnte.

Mein Gateway ist ein Speedport Smart 3. Das VPN, mit dem ich mich verbinde, ist von Sonic Wall. Ich weiß aber nicht, wie das weiterhelfen kann.

Theoretisch stell ich mir das Problem nicht so schwer vor. A muss bloß wissen, dass Traffic zu 10.0.0.0 über das VPN geroutet werden muss. Die anderen Rechner müssen wissen, dass sie entsprechenden Traffic an A senden sollen.
Mitglied: maretz
maretz 19.11.2018 um 03:19:52 Uhr
Goto Top
Naja - es hängt z.B. an deinem Client und was du verbinden willst... Wenn du z.B. ein Firmen-VPN nutzen möchtest ist es nicht unüblich das die VPN-Verbindung alle anderen Verbindungen unterbindet. Dann wirds nix mit deinem Vorhaben...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.11.2018 aktualisiert um 06:53:27 Uhr
Goto Top
Moin,

Warum machst Du nicht einfach ein site-2-Site VPN?

Für Deine Variante muß der VPN-Server auch eine Route in Dein Netz kennen. Die hat er normalerweise nicht, weil er Dir eine IP-Adresse aus seinem Netz gibt und von Deinen internen Netz nichts weiß.

Für Dein Vorhaben müßte Dein Client also entweder eine Route zum Server pushen oder NAT machen, was für einzelne VPN-Clients ungewöhnlich wäre.

lks
Mitglied: St-Andreas
St-Andreas 19.11.2018 um 08:37:30 Uhr
Goto Top
Moin,

wenn Du Zugriff auf die Gegenstelle hast, dann solltest Du ein Site2Site VPN aufsetzen, wenn nicht, solltest Du Dich an den Admin der Gegenstelle wenden.

Gruß,
A.
Mitglied: aqui
aqui 19.11.2018 um 11:15:34 Uhr
Goto Top
Ich hatte dazu auf A Routing und RAS aktiviert und eine statische Route eingerichtet.
Technisch sollte das eigentlich immer gehen. Die Frage ist eben WO und WELCHE Routen eingerichtet wurden...??
Wie Kollege @certifiedit.net schon richtig sagt: Mit der oberflächlichen Info ist eine zielführende Hilfe nicht möglich.
Abgesehen davon gibt es sowas wie "ein proprietäres VPN-Programm unter Windows 10" auch gar nicht. Vermutlich (wie immer) Blödsinn, denn VPN Programme müssen sich an feste, bestehende Standards bei den VPN Protokollen halten.
Mit sicherheit ist das also so ein üblicher IPsec oder SSL basierter Standardclient als 3rd Party Software.
Alles andere könnte der Winblows 10 Rechner ja mit seinem bordeigenen VPN Client auch !
Mitglied: bjoernj
bjoernj 19.11.2018 um 12:48:01 Uhr
Goto Top
"Proprietär" bedeutet, dass ein Hersteller hier eine "eigene Lösung" bereitstellt. Ist aber n schwieriges Wort, kein Problem. Konkret stellt Sonic Wall hier einen eigenen Client zur Verfügung, mit dem die Einwahl ins VPN vorgenommen werden muss. Dass man hier nicht einfach vorhandene Standardwege zulässt, halte ich ebenfalls für Blödsinn; in die Betriebssysteme meiner Clients integrierte Funktionen konnte ich zur Zusammenarbeit mit dem VPN nicht bewegen.

Aber das macht ja alles nichts. Es besteht eine Verbindung von Client A ins VPN-Netz. Die Frage lautet, wie ich diesen Zugriff den übrigen Clients im lokalen Netz zur Verfügung stellen kann und ob das mit Hilfe eines Routing-Eintrags zu machen ist. Warum du für diese Frage *noch mehr* Infos benötigst, als ich schon geschrieben habe, ist mir nicht klar. Es ist doch eine allgemeine, von der Hardware unabhängige Frage. Ich würde ein vergleichbares Problem mit ähnlichem Setup, aber anderen Geräten ebenfalls lösen können wollen.

Das VPN-Netz, also 10.0.0.0, möchte ich nicht modifizieren.

In der Theorie stelle ich es mir so vor: Client B usw. bekommen eine Route für 10.0.0.0 über Client A. A hat den Routing-Dienst aktiviert und ist mit 10.0.0.0 verbunden. Pakete aus dem lokalen Netz müssten also ins VPN gelangen können. Ich weiß aber nicht genau, was bei einem Zielcomputer im IP-Paket ankommt; steht A oder B als Absender drinnen? Wenn A: Wie käme dann eine Antwort zurück zu B? Wenn B: Wie weiß dann der Zielcomputer, auf welchem Weg er B erreichen kann? Vermutlich ist das das zugrunde liegende Problem, oder? Jemand schrieb ja, das Zielnetz müsste eine Route zu meinem lokalen Netz kennen.

Alternativ gibt es in der Konfiguration des proprietären Clients noch den Punkt "Freigabe" (siehe Bild), mit dem man die VPN-Verbindung für das LAN "freigeben" kann. Allerdings weiß ich nicht, was dabei passiert und ich tu ungern Dinge, die ich nicht verstehe.

freigabe
Mitglied: maretz
maretz 19.11.2018 um 17:39:30 Uhr
Goto Top
Moin,

nein, du hast da was grundlegendes falsch verstanden... Ohne NAT wird das schon mal nix werden.
Rechner A hat z.B. 192.168.0.1
Rechner B hat 192.168.0.254 UND 10.0.0.254
Rechner C hat 10.0.0.1

So - jetzt sagst du A halt das er bitte alles für das Netz 10.0.0.1 über die 0.254 schicken soll. Fein, dann kann der das auch.
Der leitet jetzt brav weiter und geht an die 10.0.0.1 und sagt der "Hey, hab hier nen Paket für dich - von 192.168.0.1". Nur: Die 10.0.0.1 WEISS nichts von dem Netz. Also bleibt der nur das ganze an das Default-Gateway zu schicken. DAS wird aber ins Internet zeigen und das Paket einfach verwerfen... Du müsstest also der 10.0.0.1 jetzt sagen "hey, das Netz 192.168.0.0/24 findest du hinter der 10.0.0.254" -> DANN könnte das gehen...

Und was hat die Hardware damit zu tun? Nahezu jedes VPN kann dir das default gateway auch verbiegen bzw. deine Routing-Tabelle verändern und am Netz drehen... Wenn jetzt dein VPN-Server also sagt "Lieber client, wenn du mit mir redest dann NUR mit mir, nicht mit irgendeinem anderem" dann spricht dein Client nicht mal mehr mit dem lokalen Netz. Jetzt kann also bei dir jeder Rechner kommen wie er will -> dein Client mit der VPN-Einwahl wird den ignorieren. JETZT hilft dir weder NAT noch Routing, da is halt nix...

Von daher kann man da ohne die genauen Kenntnisse nur sagen: Wende dich erst mal an den Admin eures VPNs. Der muss eh das Routing machen und kann da helfen... Oder du müsstest nen NAT an deinem VPN-Client machen - dann braucht das Zielnetz nix zu wissen da es ja nur mit deinem Client spricht...
Mitglied: aqui
aqui 20.11.2018 aktualisiert um 09:40:37 Uhr
Goto Top
Konkret stellt Sonic Wall hier einen eigenen Client zur Verfügung
Na ja...wie immer machen die ja nur ihr eigenes Klicki Bunti GUI für die DAU User drumherum. Die VPN Clients benutzen IMMER Standard Protokolle wie eben IPsec, L2TP, SSL oder was auch immer.
Genausogut kannst du auf den Client verzichten und einen freien Standard Client nehmen wie den Shrew Client:
https://www.shrew.net/download
Oder eben die bordeigenen VPN Clients:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Aber egal....ist ja nicht das Thema hier.
Es ginge auch ohne NAT, was technsich gesehen die bessere Lösung ist, da dann nicht die Traffic Einbahnstrasse durch die NAT Firewall bestünde.
Diese Lösung erfordert dann aber eine statische Route auf dem Internet Router.
So sähe eine gangbare Lösung aus die technisch OK ist:

vpnintern

Zum Rest hat Kollege @maretz ja schon alles gesagt.