Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Verbindungen scheitern, wenn Client-IP und Netz des Standortes gleich sind

Mitglied: heparus

heparus (Level 1) - Jetzt verbinden

15.10.2008, aktualisiert 16.10.2008, 4272 Aufrufe, 6 Kommentare

Hallo zusammen,

ich hoffe dass man mir hier helfen kann, denn allmählich gehen mir die Ideen aus, wie ich das Problem lösen kann.

Zur Situation:

Ich habe einen Server mit 2 Netzwerkkarten, die mit verschiedenen IP's belegt sind.

1.NIC: 192.168.001.021

2.NIC: 192.168.071.021

Über die 1. NIC kommen die Anfragen aus dem Firmennetzwerk an den WEB-Datenbank-Server (WIN SBS 2k3 mit ISS, MSSQL 2005 und WSS3.0)

Die 2. NIC soll die Anfragen der VPN-Clients an den WEB-DB-Server managen.

Nun kann es vorkommen, wenn unsere Außendienstler unterwegs sind, dass diese Ihren Client in einem Netzwerk haben,
in dem sie ebenfalls eine IP-Adresse aus dem Bereich 192.168.001.000-192.168.001.255 beziehen. Mein Server hat nun das Problem,
dass er 2 mal den selben Netzbereich sieht. Die Folge währe, er bekommt die Anfrage, kann aber nicht antworten, da er den VPN-Client
im Netzwerkbereich der 1. NIC sucht. Der Außendienstler bekommt jetzt natürlich die Timeout-Fehlermeldung der Web-Anwendung.
Überschneiden sich die Netzwerkbereiche nicht, habe ich kein Problem den Server über die 192.168.71.21 zuerreichen.

Das Problem würde ja gelöst sein, in dem ich einfach die IP-Range des Firmennetzwerkes ändern würde. Leider ist dies zur Zeit nicht möglich,
da wir verschiedene selbstgeschriebene Programme haben, bei denen wir uns nicht sicher sein können, dass nicht irgendwo
eine feste IP im Quellcode steht. Die Anwendungen sind alle im Laufe der letzten 10 Jahre entstanden und nicht alle Entwickler sind
heute noch bei uns. Leider liegt auch keine Doku für die verschieden Programme vor, welche auf diesen Themen-Bereich eingeht und ein
Try-And-Error-Ausschluß-Verfahren können und wollen wir nicht durchführen.

Ich bin jetzt also auf der Suche nach einer Lösung, wie ich den Server dazu bringe auf Anfragen der Clients zu reagieren, obwohl eine Überschneidung
der IP-Adressen existieren könnte.

Eine Überlegung von mir war auf dem IIS die WEB-Anwendung 2x laufen zulassen (nur den HTML-Krempel nicht die DB), und jeder dieser Anwendungen eine eigene Netzwerkkarte
zuweisen zulassen. Ich bin mir aber nicht sicher ob dies der Schlüssel zum Erfolg währe. Da die Sharepoint-Services zu diesem Anwendungskonstrukt dazugehören, währe diese
Lösung sehr aufwendig. Ich weiss auch nicht ob sie funktionieren würde. Habt Ihr/ Haben Sie eine Idee, wie ich diese Problem recht zeitnah und ohne großen Aufwand lösen könnte.

Ich bedanke mich im Vorraus für eure / Ihre Antworten.
Mitglied: aqui
15.10.2008 um 19:41 Uhr
Ums gleich vorwegzunehmen: Du hast keine Chance !
Das ist eins der Grundregeln beim Einsatz von VPNs das diese IP Netze niemals gleich sein duerfen.
Damit schaffst du ein IP Routing Problem, denn der VPN Server kann niemals mehr unterscheiden in welches netz er routen soll !!

Stell dir vor du bist Brieftraeger und du hast 4 Briefe von Lieschen Mueller, Bergstrasse, Bergstadt Jetzt gibt es 3 Bergstadt in Deutschland, 10 in Amerika, 5 in Oesterreich und 4 in der Schweiz.
Was machst du nun ????
In genau dergleichen Situation steckt dein VPN Server !!!

Der Kardinalsfehler ist schon viel frueher gemacht worden beim IP Design des Firmennetzes.
Es zeugt nicht gerade von profundem Fachwissen und Nachdenken mit IP Planungshorizont gerade das duemmste und schlechteste aller RFC 1918 Netzwerke naemlich 192.168.1.x als Firmennetzwerk zu verwenden ! Sorry....
Jeder popelige Router vom Bloedmarkt vom Grabbeltisch verwendet auch dieses IP Netzwerk so das VPN Probleme damit automatisch vorprogrammiert sind... Wie gesagt..kurzsichtiger Planungsfehler vermutlich durch Unwissen des NetAdmins !!

Der RFC 1918 gibt allen eine weitreichende IP Wahlmoeglichkeit:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Es waere also weitaus schlauer gewesen 172.16 - 32 er oder 10er Adressen zu verwenden als nun gerade die dummen 192.168er Adressen die dich festnageln, gerade beim VPN Einsatz.

Fazit: Keine Chance !! Firmennetzwerk in der IP umstellen oder als einzige machbare Alternative den VPN Host mit einem Router (z.B. Linksys WRT54G) isolieren vom Firmennetz, ihm eine neue gescheite IP zum Firmennetz zu geben und NAT zum Firmennetz zu machen. Das waere der einzige Workaround den du hast mit allen Problemen die dir dann Port Forwarding vom Firmennetz zum Server beschert.

Das saehe dann so aus:

(Firmennetz)---192.168.1.0---(NAT Router)---172.31.1.0---(VPN-Server)---192.168.71.0---(VPN-Dialin)
Bitte warten ..
Mitglied: oh2204
16.10.2008 um 08:10 Uhr
Hi,

oder du verpasst dem Notebook eine UMTS- Karte


Gruß
Bitte warten ..
Mitglied: heparus
16.10.2008 um 08:13 Uhr
Hallo aqui,


vielen Dank für deine Information. Es ist also wie ich befürchtet habe und so wie es mein Vorgesetzter ablehnt. Ein Redesign des Netzes ist zur Zeit nicht möglich, da wir lange noch nicht alle Leichen im Keller gefunden haben. Die Firma ist in den letzten Jahren explodiert, ohne dass der IT genügend Zeit eingeräumt wurde, die entsprechenden Änderungen vorzunehmen. Und seit man meinem Brötchengeber den Floh mit dem Dokumentenmanagemnt-System, welches über VPN ja für alle erreichbar ist, ins Ohr gesetzt hat. Kämpfen wir mit den Nachwehen, was in den letzten 10 Jahren alles versäumt wurde.
Bitte warten ..
Mitglied: heparus
16.10.2008 um 08:20 Uhr
Zitat von oh2204:
Hi,

oder du verpasst dem Notebook eine UMTS- Karte


Gruß

Hallo oh2204,

gute Idee, aber dafür sind es leider zuviele "Nootbooks". Ich habe zur Zeit 2 Niederlassungen in Übersee, eine dritte ist für nächstes Jahr in Kanada geplant und rund 40 Außendienstler in Deutschland. Für die Niederlassungen konnte ich Klasse B-Netze einrichten, da dieser erst letztes Jahr entstanden sind. Probleme machen mir die kleinen Hotel- und Pansionsnetze, wenn sich abends meine Außendienstler zu uns einwählen wollen.

Gruß

Elmar
Bitte warten ..
Mitglied: oh2204
16.10.2008 um 08:31 Uhr
Hi,

hmm naja aber da gibts doch für Firmen extra Verträge wenn du so viele Notebooks im Einsatz hast. Ich kenne viele die sich über UMTS ins Firmennetz einklicken und so schlecht finde ich das auch nicht. Vorteil ist natürlich das der Nutzer sich von (fast) überall auf der Welt (China ist eine ausnahme) verbinden kann, doch dass Notebook darf halt nicht verloren gehen

MfG
Bitte warten ..
Mitglied: heparus
16.10.2008 um 10:11 Uhr
Du magst recht haben, aber dann müssten alle Außendienstler auch Angestellte der Firma sein. Wir haben aber auch Cooperationspartner, Freiberufler und Co. im Einsatz, die auf das Dokumentenmanagmentsystem zugreifen sollen, und die haben leider nicht nur Laptops.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mehrere Standorte und mobile Clients
gelöst Frage von nixlosRouter & Routing9 Kommentare

Hallo allseits, vielleicht kann mir jemand den nötigen Denkanstoß geben Also folgende Ausgangssituation: 4 Standorte, eine Zentrale (A), 3 ...

Router & Routing

VPN Verbindung in Netz möglich, kein Zugriff auf das Netz

Frage von M1988WRouter & Routing4 Kommentare

Hallo zusammen, zur Verfügung stehen: Router Netgear SRX5308 (Profi Gerät) mit Netz: 192.168.66.* und eingerichtetem VPN-Tunnel mit Cisco IPSec. ...

Netzwerke

2 Standorte per VPN 1 IP-Range

Frage von VitoLeoneNetzwerke9 Kommentare

Hallo Zusammen, wir wollen/müssen folgendes Szenario realisieren. Es gibt 2 Standorte, welche über eine Fremdnetz verbunden sind, jedoch beide ...

LAN, WAN, Wireless

Vom VPN Netz ins private Netz

gelöst Frage von DasBillLAN, WAN, Wireless15 Kommentare

Guten Abend, ich betreibe einen ESXi 6 Server auf dem insgesamt drei virtuelle Maschinen laufen eine Sophos UTM Home ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 11 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 13 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 13 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...