7
VPN-Zugriff klappt nur mit Hersteller-Client-Software, sonst nur Server erreichbar
Hallo 
Habe zwei Standorte ( Büro eines Bekannten und "Zuhause"). Von Zuhause möchte ich nun auf das Büro-Netzwerk zugreifen. Realisiert wurde es über einen Draytek 2900i VPN-Router. Der Zugriff funktioniert soweit, aber nur über die Draytek-eigene Client-Software. Ein Zugriff mit Windows / Ubuntu / Mac Bordmitteln klappt leider nicht. Der Zuhause-PC ist leider ein Mac, deshalb funktioniert's nicht komplett wie gewünscht 
Habe schon Ahnung von IT, aber mit Netzwerktechnik sieht's eher mau aus. Grundlagen vorhanden, aber jetzt kein tiefgreifendes Wissen über Subnetting oder so ;)
Die Grund-Konfiguration:
Büro:
Draytek Vigor 2900i VPN-Router. Da das Teil keine Internet-Verbindung aufbauen kann, läuft ein Telekom-Router rein als DSL-Modem. Der Vigor stellt dann über das DSL-Modem die Internetverbindung per PPPoE her. Dies klappt so hervorragend.
IP: 192.168.2.2 - Subnet Mask: 255.255.255.0
Telekom-Router "Speedport 701W"
Wird nur als DSL-Modem genutzt, weitere Funktionen sind deaktiviert.
Apple "Time Capsule":
Im Netzwerk selbst steht eine "Apple Time Capsule", so eine Art NAS von Apple. Ziel soll es sein, auch von Zuhause auf diese "Time Capsule" zuzugreifen.
IP: 192.168.2.11 - Subnet Mask: 255.255.255.0
Zuhause:
Simples Heim-Netz mit Speedport Router (IP: 192.168.2.1) und einem Ubuntu-PC und einer Windows-VMWare. Subnet-Mask ist hier auch 255.255.255.0 (erster Fehler?). Der Client-PC hat z.B. die IP 192.168.2.105
Problem:
Über die Draytek-Software "Smart VPN Client" klappt der Zugriff auf das Büro-Netzwerk. Ich kann auch über den Windows Explorer auf die "Time Capsule" zugreifen und Dateien / Ordner auslesen oder Dateien kopieren.
Leider soll der eigentliche End-Nutzer das VPN nutzen. Mit Mac-Bordmitteln klappt der Verbindungsaufbau, aber man kann nur den Router selbst anpingen (192.168.2.2) oder die Web-Oberfläche des Routers aufrufen. Sämtliche andere Geräte innerhalb des Büro-Netzwerks (Time Capsule, Drucker, andere Rechner) sind nicht erreichbar.
Firewall und andere Sachen sind auf dem Draytek-Router alle total "locker" eingestellt bzw. wenn möglich alles deaktiviert / unverschlüsselt was geht. Ich möchte zuerst, dass die Verbindung funktioniert, danach kann man es immer noch sichern.
So ganz weiß ich leider nicht weiter. Habe schon viel gegoogelt, gerade auf Englisch , aber so wirklich viel hilft das leider nicht weiter. Von Nat-T lese ich manchmal was, Static Routing? IP-Routing? Kann ich leider nicht viel damit anfangen.
Bin für jeden Tipp dankbar, vielleicht ist es ja nur eine "Kleinigkeit". Ein Häkchen oder irgenwdas, das noch fehlt ...
Danke,
Gruß Stefan
Büro:
Draytek Vigor 2900i VPN-Router. Da das Teil keine Internet-Verbindung aufbauen kann, läuft ein Telekom-Router rein als DSL-Modem. Der Vigor stellt dann über das DSL-Modem die Internetverbindung per PPPoE her. Dies klappt so hervorragend.
IP: 192.168.2.2 - Subnet Mask: 255.255.255.0
Telekom-Router "Speedport 701W"
Wird nur als DSL-Modem genutzt, weitere Funktionen sind deaktiviert.
Apple "Time Capsule":
Im Netzwerk selbst steht eine "Apple Time Capsule", so eine Art NAS von Apple. Ziel soll es sein, auch von Zuhause auf diese "Time Capsule" zuzugreifen.
IP: 192.168.2.11 - Subnet Mask: 255.255.255.0
Zuhause:
Simples Heim-Netz mit Speedport Router (IP: 192.168.2.1) und einem Ubuntu-PC und einer Windows-VMWare. Subnet-Mask ist hier auch 255.255.255.0 (erster Fehler?). Der Client-PC hat z.B. die IP 192.168.2.105
Problem:
Über die Draytek-Software "Smart VPN Client" klappt der Zugriff auf das Büro-Netzwerk. Ich kann auch über den Windows Explorer auf die "Time Capsule" zugreifen und Dateien / Ordner auslesen oder Dateien kopieren.
Leider soll der eigentliche End-Nutzer das VPN nutzen. Mit Mac-Bordmitteln klappt der Verbindungsaufbau, aber man kann nur den Router selbst anpingen (192.168.2.2) oder die Web-Oberfläche des Routers aufrufen. Sämtliche andere Geräte innerhalb des Büro-Netzwerks (Time Capsule, Drucker, andere Rechner) sind nicht erreichbar.
Firewall und andere Sachen sind auf dem Draytek-Router alle total "locker" eingestellt bzw. wenn möglich alles deaktiviert / unverschlüsselt was geht. Ich möchte zuerst, dass die Verbindung funktioniert, danach kann man es immer noch sichern.
So ganz weiß ich leider nicht weiter. Habe schon viel gegoogelt, gerade auf Englisch , aber so wirklich viel hilft das leider nicht weiter. Von Nat-T lese ich manchmal was, Static Routing? IP-Routing? Kann ich leider nicht viel damit anfangen.
Bin für jeden Tipp dankbar, vielleicht ist es ja nur eine "Kleinigkeit". Ein Häkchen oder irgenwdas, das noch fehlt ...
Danke,
Gruß Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203508
Url: https://administrator.de/contentid/203508
Printed on: April 19, 2024 at 15:04 o'clock
7 Comments
Latest comment
Hi Stefan,
das kann nicht gehen.
Du hast in beiden Netzwerken die selben IPs, das selbe Netzwerk. Wie soll denn der Client sich da zurecht finden, ob das eine oder das andere Netzwerk gemeint ist.
Vorschlag ändere die IP des Heimnetzwerks auf 192.168.10.x. Das ist nur ein kleiner Eingriff in den Router.
Und du erklärst nicht, wie du auf das andere Netzwerk zugreifen willst. Dazu benötigst du nämlich eine offizielle IP, die von deinem Provider zur Verfügung gestellt wird. Die muss in den VPN-Client als Ziel. Da ich vermute, dass du DSL nutzt, musst du noch einen dyn-DNS-Service nutzen. Ein Webservice, der von deinem Router die aktuelle IP bekommt und ihn dir dann mittels des eingetragenen Namens zur Verfügung stellt.
GRuß
Netman
das kann nicht gehen.
Du hast in beiden Netzwerken die selben IPs, das selbe Netzwerk. Wie soll denn der Client sich da zurecht finden, ob das eine oder das andere Netzwerk gemeint ist.
Vorschlag ändere die IP des Heimnetzwerks auf 192.168.10.x. Das ist nur ein kleiner Eingriff in den Router.
Und du erklärst nicht, wie du auf das andere Netzwerk zugreifen willst. Dazu benötigst du nämlich eine offizielle IP, die von deinem Provider zur Verfügung gestellt wird. Die muss in den VPN-Client als Ziel. Da ich vermute, dass du DSL nutzt, musst du noch einen dyn-DNS-Service nutzen. Ein Webservice, der von deinem Router die aktuelle IP bekommt und ihn dir dann mittels des eingetragenen Namens zur Verfügung stellt.
GRuß
Netman
Hey,
Alles klar, danke für die Antwort
Ja, nutze 'nen DynDNS-Service (no-ip.com) und greife über die Domain auf das VPN clientseitig darauf zu.
Habe vorhin testweise die IP beim Client mal statisch vergeben, damit klappt der VPN-Zugriff (auch auf die Time-Capsule) auch mit Windows-Bordmitteln (das Windows läuft in einer VMWare). Bin mir aber nicht 100%ig sicher, ob es jetzt daran lag.
Unter Ubuntu klappt der Zugriff leider noch nicht. Unter dem Mac kann ich es noch nicht testen.
In dem Fall werden wir das mal testen, mit den IP-Adresskreis. Subnetz-Maske bleibt trotzdem gleich (255.255.255.0)?
Alles klar, danke für die Antwort
Ja, nutze 'nen DynDNS-Service (no-ip.com) und greife über die Domain auf das VPN clientseitig darauf zu.
Habe vorhin testweise die IP beim Client mal statisch vergeben, damit klappt der VPN-Zugriff (auch auf die Time-Capsule) auch mit Windows-Bordmitteln (das Windows läuft in einer VMWare). Bin mir aber nicht 100%ig sicher, ob es jetzt daran lag.
Unter Ubuntu klappt der Zugriff leider noch nicht. Unter dem Mac kann ich es noch nicht testen.
In dem Fall werden wir das mal testen, mit den IP-Adresskreis. Subnetz-Maske bleibt trotzdem gleich (255.255.255.0)?
Hallo,
Die Maske kann bleiben, du könntest sie allerdings verkleinern, das aber nur dafür sorgt das weniger Geräte ins Netz können.
So wäre zum bsp. 255.255.255.224 als Maske sinnvoll.
Dann könnten nur noch 30 Teilnehmer ins Netz.
Hat aber funktional keinen Einfluss.
Brammer
Die Maske kann bleiben, du könntest sie allerdings verkleinern, das aber nur dafür sorgt das weniger Geräte ins Netz können.
So wäre zum bsp. 255.255.255.224 als Maske sinnvoll.
Dann könnten nur noch 30 Teilnehmer ins Netz.
Hat aber funktional keinen Einfluss.
Brammer
Okay, klingt gut! Innerhalb von der VMWare gibt's ja eigene Netzbereiche (?), wahrscheinlich klappt es hier deshalb problemlos, während es auf dem "nativen" Ubuntu / Mac-OS nicht funktioniert ...
Mit dem kostenlosen Shrew Client klappt die Verbindung auch Draytek Client ist also kein Muss !
Außerdem kann man auch immer den PPTP oder L2TP bodeigenen Client nehmen und muss keineswegs einen externen dritten Client nehmen.
Ob man das bei PPTP noch will muss jeder selber wissen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
...aber es bleibt ja noch L2TP
Draytek supportet alle 3 !
Außerdem kann man auch immer den PPTP oder L2TP bodeigenen Client nehmen und muss keineswegs einen externen dritten Client nehmen.
Ob man das bei PPTP noch will muss jeder selber wissen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
...aber es bleibt ja noch L2TP
Draytek supportet alle 3 !
Also der Zugriff vom Mac klappt nun, nochmals vielen Dank!
Die Performance ist nur leider totaler Käse; wenn der Root-Ordner der Time-Capsule kommt und man möchte einen Unter-Ordner aufmachen, werden keine Dateien angezeigt ... erst wenn man ne Weile wartet und den Ordner nochmal aufmacht ... kopieren von 20kb dauert 1-2 Minuten ... 25MB kopieren dauert ca. 8min.
Da es an einem anderen Standort (Ubuntu-PC => Vmware => WIndows) perfekt funktioniert, liegt es wahrscheinlich daran, dass der Mac per WLAn verbunden ist ...? Empfang ist aber sonst gut. Naja, werden wir mal mit nem langen Netzwerkkabel testen.
Beim Mac gibt es noch die Option "Gesamten Verkehr über VPN-Netzwerk leiten". Ist dies aktiviert, klappt der Zugriff auf die Time Capsule (Ping + Dateisystem-Zugriff). Ist die Option deaktiviert, kann nur auf den Router selbst, aber nicht auf auf die Time Capsule zugegriffen werden ...
Die Performance ist nur leider totaler Käse; wenn der Root-Ordner der Time-Capsule kommt und man möchte einen Unter-Ordner aufmachen, werden keine Dateien angezeigt ... erst wenn man ne Weile wartet und den Ordner nochmal aufmacht ... kopieren von 20kb dauert 1-2 Minuten ... 25MB kopieren dauert ca. 8min.
Da es an einem anderen Standort (Ubuntu-PC => Vmware => WIndows) perfekt funktioniert, liegt es wahrscheinlich daran, dass der Mac per WLAn verbunden ist ...? Empfang ist aber sonst gut. Naja, werden wir mal mit nem langen Netzwerkkabel testen.
Beim Mac gibt es noch die Option "Gesamten Verkehr über VPN-Netzwerk leiten". Ist dies aktiviert, klappt der Zugriff auf die Time Capsule (Ping + Dateisystem-Zugriff). Ist die Option deaktiviert, kann nur auf den Router selbst, aber nicht auf auf die Time Capsule zugegriffen werden ...
Empfang ist aber sonst gut Solche sinnfreien Pauschalaussagen besagen rein gar nichts.
Was die Option "Gesamten Verkehr über VPN-Netzwerk leiten" bedeutet kannst du hier:
VPNs einrichten mit PPTP
im Kapitel "Konfiguration der Clients" und "wichtiges Wort" nachlesen ! (Suchfunktion lässt grüßen !)
- Hast du Nachbar WLANs ?
- Wenn ja sind diese mindestens 4 Funkkanäle von deinem WLAN Entfernt ?? Uüberlapptungsstörungen ?
- Wenn du WPA fährst halst du TKIP als Schlüsselprotokoll auchgeschaltet ? Performance ?
- Hast du den WLAN Durchsatz mal mit NetIO gemessen ??
- und und und...
Was die Option "Gesamten Verkehr über VPN-Netzwerk leiten" bedeutet kannst du hier:
VPNs einrichten mit PPTP
im Kapitel "Konfiguration der Clients" und "wichtiges Wort" nachlesen ! (Suchfunktion lässt grüßen !)
