3
VPN Verständnisfrage - Rückantwort auf UDP o. TCP- Paket aus Firmennetz
Hallo zusammen,
eins vorweg: Ich bin absoluter Neuling in diesem Gebiet ;)
Ich baue von zuhause aus eine VPN- Verbindung in unser Firmennetz auf. Mir stellt sich dabei folgende Frage:
Privates Netzwerk: 192.168.2.0/24
Firmen Netzwerk: 10.2.1.0/24
Pakete an 10.2.1.0/24 werden in meinem privaten Netzwerk ins VPN- Netz geroutet. Wenn ich nun bspw. von meinem Rechner aus mit der IP- Adresse 192.168.2.20 ein TCP- o. UDP- Paket ins Firmennetz an 10.2.1.20 schicke, wird dieses IP- Paket in ein weiteres IP- Paket mit veränderter Quell- und Ziel- IP verpackt, um dieses ins Firmennetz transportieren zu können. Auf der Gegenseite wird dieses Paket wieder entpackt und an das Ziel (10.2.1.20) weitergegeben. Alles schön und gut. Wenn der Empfänger (10.2.1.20) nun auf dieses Paket antworten will, sendet er die Antwort an die Quell- IP des IP- Pakets (192.168.2.20). Im Firmennetz besteht keine Regel, dass Pakete an 192.168.2.0/24 über das VPN- Netz geroutet werden sollen. Wie findet dieses Paket den Weg zurück zu meinem Rechner?
eins vorweg: Ich bin absoluter Neuling in diesem Gebiet ;)
Ich baue von zuhause aus eine VPN- Verbindung in unser Firmennetz auf. Mir stellt sich dabei folgende Frage:
Privates Netzwerk: 192.168.2.0/24
Firmen Netzwerk: 10.2.1.0/24
Pakete an 10.2.1.0/24 werden in meinem privaten Netzwerk ins VPN- Netz geroutet. Wenn ich nun bspw. von meinem Rechner aus mit der IP- Adresse 192.168.2.20 ein TCP- o. UDP- Paket ins Firmennetz an 10.2.1.20 schicke, wird dieses IP- Paket in ein weiteres IP- Paket mit veränderter Quell- und Ziel- IP verpackt, um dieses ins Firmennetz transportieren zu können. Auf der Gegenseite wird dieses Paket wieder entpackt und an das Ziel (10.2.1.20) weitergegeben. Alles schön und gut. Wenn der Empfänger (10.2.1.20) nun auf dieses Paket antworten will, sendet er die Antwort an die Quell- IP des IP- Pakets (192.168.2.20). Im Firmennetz besteht keine Regel, dass Pakete an 192.168.2.0/24 über das VPN- Netz geroutet werden sollen. Wie findet dieses Paket den Weg zurück zu meinem Rechner?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192646
Url: https://administrator.de/contentid/192646
Printed on: April 23, 2024 at 23:04 o'clock
3 Comments
Latest comment
Guten Morgen,
Also wenn der 10.2.1.20 das Paket an die 192.168.2.x schickt, geht das an den Standartgateway und der sollte wissen wohin damit.
Ist er der VPN-Router, schickt er das per VPN zurück, fertig!
ICMP Redirect wird hier wohl nicht verwendet, es sei denn der Standartgateway ist nicht der VPN-Router. Dann kann das Standartgateway dem Host, also 10.2.1.20, mitteilen, das dieser sein Paket an 192.168.2.x besser an den VPN-Router sendet und nicht über ihn.
Da ICMP-Redirect aber auch als Sicherheitsrisiko gilt und abgeschaltet werden kann, kann auch der Standartgateway einfach alle Pakete an den VPN-Router senden, ohne ICMP-Redirect.
VG
Deepsys
Zitat von @peeage:
(192.168.2.20). Im Firmennetz besteht keine Regel, dass Pakete an 192.168.2.0/24 über das VPN- Netz geroutet werden sollen.
Wie findet dieses Paket den Weg zurück zu meinem Rechner?
Du hast aber einen Standartgateway, und ich tippe mal das ist genau der Router zu dem du auch das VPN aufbaust,oder?(192.168.2.20). Im Firmennetz besteht keine Regel, dass Pakete an 192.168.2.0/24 über das VPN- Netz geroutet werden sollen.
Wie findet dieses Paket den Weg zurück zu meinem Rechner?
Also wenn der 10.2.1.20 das Paket an die 192.168.2.x schickt, geht das an den Standartgateway und der sollte wissen wohin damit.
Ist er der VPN-Router, schickt er das per VPN zurück, fertig!
ICMP Redirect wird hier wohl nicht verwendet, es sei denn der Standartgateway ist nicht der VPN-Router. Dann kann das Standartgateway dem Host, also 10.2.1.20, mitteilen, das dieser sein Paket an 192.168.2.x besser an den VPN-Router sendet und nicht über ihn.
Da ICMP-Redirect aber auch als Sicherheitsrisiko gilt und abgeschaltet werden kann, kann auch der Standartgateway einfach alle Pakete an den VPN-Router senden, ohne ICMP-Redirect.
VG
Deepsys
@Deepsys: Richtig, mein Standard- Gateway (privates Netz) ist eine einfache Fritzbox auf welcher ein OpenVPN- Client läuft. Auf der anderen Seite (Firmennetz) könnte es auch der Fall sein, dass das Gateway auch der VPN- Server ist (ich bin mir aber nicht sicher). Wenn dem so wäre und der VPN- Router (Firmennetz) das Paket einfach zurücksendet, würde er dass anhand irgendwelcher Routing- Tabellen machen, oder? Mir ist aber aufgefallen, dass ich vom Firmennetz aus nicht die 192.168.2.20 (Privatnetz) anpingen kann.. also ist das Stanard- Gateway höchstwarsch. nicht der VPN- Server.
Ich habe das ganze mal getestet und ein UDP- Paket versendet und mit WireShark auf beiden Seiten mitgesnifft:
IP- Paket auf meiner Seite (Privatnetz):
Quell- IP: 192.168.2.20
Quell- Port: 50166
Ziel- IP: 10.20.10.117
Ziel- Port: 33446
IP- Paket auf Gegenseite (Firmennetz):
(Der Rechner mit der 10.20.10.117 (Firmennetz) hat als Gateway die 10.20.0.1 eingetragen)
Quell- IP: 172.16.0.51
Quell- Port: 63200
Ziel- IP: 10.20.10.117
Ziel- Port: 33446
Da hier die Quell- IP und der Quell- Port des ankommenden Pakets angepasst wurde, gehe ich davon aus, dass die 172.16.0.51 der VPN- Router ist. Das würde also bedeuten, dass das eingetragene Gateway mit der 10.20.0.1 nicht der VPN- Router ist. Zudem wurde kein ICMP Redirect gesendet um die Routing- Tabelle anzupassen. Hat der VPN- Router das Original- IP- Paket so modifiziert, dass auch dieser die Antwort erhalten würde?
Ich habe das ganze mal getestet und ein UDP- Paket versendet und mit WireShark auf beiden Seiten mitgesnifft:
IP- Paket auf meiner Seite (Privatnetz):
Quell- IP: 192.168.2.20
Quell- Port: 50166
Ziel- IP: 10.20.10.117
Ziel- Port: 33446
IP- Paket auf Gegenseite (Firmennetz):
(Der Rechner mit der 10.20.10.117 (Firmennetz) hat als Gateway die 10.20.0.1 eingetragen)
Quell- IP: 172.16.0.51
Quell- Port: 63200
Ziel- IP: 10.20.10.117
Ziel- Port: 33446
Da hier die Quell- IP und der Quell- Port des ankommenden Pakets angepasst wurde, gehe ich davon aus, dass die 172.16.0.51 der VPN- Router ist. Das würde also bedeuten, dass das eingetragene Gateway mit der 10.20.0.1 nicht der VPN- Router ist. Zudem wurde kein ICMP Redirect gesendet um die Routing- Tabelle anzupassen. Hat der VPN- Router das Original- IP- Paket so modifiziert, dass auch dieser die Antwort erhalten würde?
