Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

L2TP VPN mit DrayTek Vigor 2700V - Wie erreiche ich andere Rechner hinter dem Router?

Frage Netzwerke Router & Routing

Mitglied: DO7LZ

DO7LZ (Level 1) - Jetzt verbinden

05.03.2009, aktualisiert 07:43 Uhr, 8120 Aufrufe, 9 Kommentare

VPN. Externer Teilnehmer erreicht den Router, kommt aber nicht weiter. NAT-Problem?

Hallo zusammen,

ich möchte, dass Teleworker per L2TP VPN auf mein Netzwerk zugreifen kann. Es soll also ein Server im eigenen Netz erreicht werden. Das Problem ist, dass Quell- und Zielnetz den gleichen Adressraum belegen. Wenn der Teleworker also eine andere IP aus seinem Adressbereich eingibt, bleibt er ja bei sich im Netz und erreicht nicht den Server in meinem. Hat sich der Teleworker verbunden, besitzt er eine eigene Adresse. Die liegt jedoch nicht im Adressraum meines LAN. Kann aber alles geändert werden. Die Verbindung zum Router klappt jedenfalls. Da sehe ich, wenn der Teleworker verbunden ist. Nur wie kommt er vom Router weiter? Ich vermute es hat etwas mit Routing oder NAT zu tun. Bin nur kein Profi in diesen Sachen. Mein Router stellt die VPN-Verbindung zur Verfügung. Ich stell mir das so vor: Der externe Benutzer wählt eine IP an (z.B. 192.168.2.208) und der Router setzt diese IP dann als 192.168.1.208 um und ermöglicht so den Zugriff auf den Teilnehmer im lokalen Netz. Zum besseren Verständnis noch mal eine kurze bildliche Beschreibung über den aktuellen Zustand:

2a5e9a3e4ccf9c65b4b2c9328b348f57-vpn_problem - Klicke auf das Bild, um es zu vergrößern

Ich bitte um Hilfe und hoffe, dass ich genug Informationen geben konnte.

Gruß

MM
Mitglied: bigzorro
05.03.2009 um 10:01 Uhr
funktioniert bei mir mit nem 2820 einwandfrei, musst nur dafür sorgen, dass der teleworker vom vpn-router ebenfalls eine adresse des 1er netzes erhält und keine adresskonflikte auftreten können.
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 10:25 Uhr
Ok, also sehe ich das richtig, wenn der Teleworker eine Adresse 192.168.1.x vom Router bekommt, das er beim Anwählen einer Adresse nicht nur sein lokales Netz durchsucht, sondern auch die andere Seite des VPN? Angenommene Lage:
Der Teleworker bekommt die Adresse 192.168.1.250 und er will über einen Browser die Adresse 192.168.1.208 erreichen. Dann sucht der Rechner erst in seinem lokalen Netz, und wenn es die Adresse da nicht gibt, dann sucht er im VPN?
Wenn beide Netzwerke die Adresse 192.168.1.208 benutzen, funktioniert das ganze nicht, richtig?
Zur Information: IP-Routing und RIP sind bei mir im Router deaktiviert.
Ich meine nämlich, dass ich diese Konfiguration schon ausprobiert habe, und das Problem dabei liegt, dass vom Teleworker nur sein lokales Netz beachtet wird.
Gibt es eine Möglichkeit, die Adresskonflikte zu umgehen? Evt wie von mir oben angedacht. Der Teleworker bekommt eine 192.168.2.x Adresse und sieht alle Geräte hinter dem Router als 192.168.2.x ?

Gruß

MM
Bitte warten ..
Mitglied: Arch-Stanton
05.03.2009 um 10:26 Uhr
Es ist ja der Lehrsatz des VPN, daß die sich verbindenen Netze unterschiedliche adressen haben müssen. Warum änderst Du diese nicht???

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
05.03.2009 um 12:08 Uhr
Absolut richtig !!!
Ziel und Quellnetz müssen zwangsweise UNTERSCHIEDLICHE IP Netze haben ansonsten ist ein VPN technisch unmöglich (jeden falls nicht mit Consumer Equipment) zu realisieren.

Was du oben in der Zeichnung schilderst ist ein absolutes KO Kriterium und NO GO für VPNs.
Ohne IP Redesign der Netzadresse kommst du da nie raus ! Vergiss das also ganz schnell !!

Der Grund leuchtet jedem Laien auch sofort ein: Wie soll der Router noch routen, also eine saubere Wegewahl finden, wenn du ihm 2 mal die gleichen IP Netzwerke konfigurierst...???!!

Wenn man keine dümmlichen 192.168er Adressen für den VPN Server (Draytek) wählt sondern etwas im großen Bereich der freien RFC 1918 IP Netz sich tummelt:
http://de.wikipedia.org/wiki/Private_IP-Adresse

Dann wählt man trefflicherweise ein 172.16-32.x.x Adresse mit einer 24 Bit Maske und hat keine Probleme mit Teleworkern die kritiklos immer einfach die IP default Einstellungen ihrer Heimrouter mit 192.168.x.x übernehmen.

Vermutlich ist auch das genau immer dein Problem, das du immer wieder in die Problematik gleicher IP Netze im Teleworker Heimnetz rennst weil du schlicht und einfach beim IP Netzdesign des VPN Servers (Draytek) nicht nachgedacht hast....sorry !

Nimm was ip-technisch Krummes wie z.B. 172.27.137.0 mit einer 24 Bit Maske (255.255.255.0) und du hast keine Probleme mehr mit deinen Teleworkern im Massen 192.168er Bereich !!!
Der Draytek ist mit 3 Mausklicks auf diese IP Adresse umgestellt !!
So einfach kann eine Lösung aussehen wenn man nur etwas nachdenkt...!!!

Setzt du im VPN Client (erweiterte Netzwerk Eigenschaften) den Haken, das das VPN Gateway NICHT gleich default Gateway ist, kann der VPN Client auch immer problemlos in BEIDEN Netzen arbeiten lokal UND im VPN.
Auch das ist ein fataler Trugschluss von dir das das nicht ginge....
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 12:13 Uhr
Weil da ein ganzer Sack Geräte dran hängt, die nicht alle über DHCP laufen. Aber dann werde ich wohl nicht um die Änderung herumkommen. Dachte nur man könnte das durch einen Eintrag in der Routing-Tabelle ändern.

Gruß, MM
Bitte warten ..
Mitglied: aqui
05.03.2009 um 12:27 Uhr
Nicht denken, sondern nachdenken !!
Ein falsches IP Netzwerkdesign kann man niemals durch Frickeln an der Routingtabelle hinbiegen, das ist Unsinn ! Wie sollte ich doppelte IP Netze damit auch wegbekommen ???
Sorry für die drastischen Worte aber diese Annahme ist hier im Forum ein oft weit verbreiteter Trugschluss, der leider oft aus Unkenntniss über korrektes IP Networking resultiert !
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 13:19 Uhr
Okay, jetzt habe ich es verstanden. Das mit den Standard 192.168er Adressen kommt nur daher, weil wir vorher einen Router vom rosa Riesen hatten, und der wollte einfach keine anderen Adressen. Aber das Ding ist jetzt auch zum Glück in der Tonne.
Danke für die Informationen und für 's zusammensch...

Gruß

MM
Bitte warten ..
Mitglied: aqui
05.03.2009 um 16:02 Uhr
Nein....nicht zusamm... so war das nicht gemeint. Nur ein eindringlicher Appell an dich das Frickeln sein zu lassen (und dir damit Frust zu ersparen..) in so einem Umfeld
Und...Consumer Spielzeug für Sofasurfer vom rosa Riesen setzt man in einem Firmen VPN Umfeld ja auch nicht ein...aber diese Basis Lektion für angehende Netzwerk Admins hast du ja schon gelernt... !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 17:50 Uhr
Alles umgestellt. Alles läuft!
Vielen Dank für die Hilfe.
Gruß
MM
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Router & Routing
gelöst Kein Zugriff auf Draytek Vigor 3200 Weboberfläche (16)

Frage von halington zum Thema Router & Routing ...

Router & Routing
gelöst FritzBox 7490 und Draytek Vigor 130 - geht das ? (1)

Frage von hyperpac zum Thema Router & Routing ...

Windows Server
gelöst L2TP VPN Server funktioniert nicht - Win2012R2 (33)

Frage von 118080 zum Thema Windows Server ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...