Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

L2TP VPN mit DrayTek Vigor 2700V - Wie erreiche ich andere Rechner hinter dem Router?

Frage Netzwerke Router & Routing

Mitglied: DO7LZ

DO7LZ (Level 1) - Jetzt verbinden

05.03.2009, aktualisiert 07:43 Uhr, 8155 Aufrufe, 9 Kommentare

VPN. Externer Teilnehmer erreicht den Router, kommt aber nicht weiter. NAT-Problem?

Hallo zusammen,

ich möchte, dass Teleworker per L2TP VPN auf mein Netzwerk zugreifen kann. Es soll also ein Server im eigenen Netz erreicht werden. Das Problem ist, dass Quell- und Zielnetz den gleichen Adressraum belegen. Wenn der Teleworker also eine andere IP aus seinem Adressbereich eingibt, bleibt er ja bei sich im Netz und erreicht nicht den Server in meinem. Hat sich der Teleworker verbunden, besitzt er eine eigene Adresse. Die liegt jedoch nicht im Adressraum meines LAN. Kann aber alles geändert werden. Die Verbindung zum Router klappt jedenfalls. Da sehe ich, wenn der Teleworker verbunden ist. Nur wie kommt er vom Router weiter? Ich vermute es hat etwas mit Routing oder NAT zu tun. Bin nur kein Profi in diesen Sachen. Mein Router stellt die VPN-Verbindung zur Verfügung. Ich stell mir das so vor: Der externe Benutzer wählt eine IP an (z.B. 192.168.2.208) und der Router setzt diese IP dann als 192.168.1.208 um und ermöglicht so den Zugriff auf den Teilnehmer im lokalen Netz. Zum besseren Verständnis noch mal eine kurze bildliche Beschreibung über den aktuellen Zustand:

2a5e9a3e4ccf9c65b4b2c9328b348f57-vpn_problem - Klicke auf das Bild, um es zu vergrößern

Ich bitte um Hilfe und hoffe, dass ich genug Informationen geben konnte.

Gruß

MM
Mitglied: bigzorro
05.03.2009 um 10:01 Uhr
funktioniert bei mir mit nem 2820 einwandfrei, musst nur dafür sorgen, dass der teleworker vom vpn-router ebenfalls eine adresse des 1er netzes erhält und keine adresskonflikte auftreten können.
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 10:25 Uhr
Ok, also sehe ich das richtig, wenn der Teleworker eine Adresse 192.168.1.x vom Router bekommt, das er beim Anwählen einer Adresse nicht nur sein lokales Netz durchsucht, sondern auch die andere Seite des VPN? Angenommene Lage:
Der Teleworker bekommt die Adresse 192.168.1.250 und er will über einen Browser die Adresse 192.168.1.208 erreichen. Dann sucht der Rechner erst in seinem lokalen Netz, und wenn es die Adresse da nicht gibt, dann sucht er im VPN?
Wenn beide Netzwerke die Adresse 192.168.1.208 benutzen, funktioniert das ganze nicht, richtig?
Zur Information: IP-Routing und RIP sind bei mir im Router deaktiviert.
Ich meine nämlich, dass ich diese Konfiguration schon ausprobiert habe, und das Problem dabei liegt, dass vom Teleworker nur sein lokales Netz beachtet wird.
Gibt es eine Möglichkeit, die Adresskonflikte zu umgehen? Evt wie von mir oben angedacht. Der Teleworker bekommt eine 192.168.2.x Adresse und sieht alle Geräte hinter dem Router als 192.168.2.x ?

Gruß

MM
Bitte warten ..
Mitglied: Arch-Stanton
05.03.2009 um 10:26 Uhr
Es ist ja der Lehrsatz des VPN, daß die sich verbindenen Netze unterschiedliche adressen haben müssen. Warum änderst Du diese nicht???

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
05.03.2009 um 12:08 Uhr
Absolut richtig !!!
Ziel und Quellnetz müssen zwangsweise UNTERSCHIEDLICHE IP Netze haben ansonsten ist ein VPN technisch unmöglich (jeden falls nicht mit Consumer Equipment) zu realisieren.

Was du oben in der Zeichnung schilderst ist ein absolutes KO Kriterium und NO GO für VPNs.
Ohne IP Redesign der Netzadresse kommst du da nie raus ! Vergiss das also ganz schnell !!

Der Grund leuchtet jedem Laien auch sofort ein: Wie soll der Router noch routen, also eine saubere Wegewahl finden, wenn du ihm 2 mal die gleichen IP Netzwerke konfigurierst...???!!

Wenn man keine dümmlichen 192.168er Adressen für den VPN Server (Draytek) wählt sondern etwas im großen Bereich der freien RFC 1918 IP Netz sich tummelt:
http://de.wikipedia.org/wiki/Private_IP-Adresse

Dann wählt man trefflicherweise ein 172.16-32.x.x Adresse mit einer 24 Bit Maske und hat keine Probleme mit Teleworkern die kritiklos immer einfach die IP default Einstellungen ihrer Heimrouter mit 192.168.x.x übernehmen.

Vermutlich ist auch das genau immer dein Problem, das du immer wieder in die Problematik gleicher IP Netze im Teleworker Heimnetz rennst weil du schlicht und einfach beim IP Netzdesign des VPN Servers (Draytek) nicht nachgedacht hast....sorry !

Nimm was ip-technisch Krummes wie z.B. 172.27.137.0 mit einer 24 Bit Maske (255.255.255.0) und du hast keine Probleme mehr mit deinen Teleworkern im Massen 192.168er Bereich !!!
Der Draytek ist mit 3 Mausklicks auf diese IP Adresse umgestellt !!
So einfach kann eine Lösung aussehen wenn man nur etwas nachdenkt...!!!

Setzt du im VPN Client (erweiterte Netzwerk Eigenschaften) den Haken, das das VPN Gateway NICHT gleich default Gateway ist, kann der VPN Client auch immer problemlos in BEIDEN Netzen arbeiten lokal UND im VPN.
Auch das ist ein fataler Trugschluss von dir das das nicht ginge....
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 12:13 Uhr
Weil da ein ganzer Sack Geräte dran hängt, die nicht alle über DHCP laufen. Aber dann werde ich wohl nicht um die Änderung herumkommen. Dachte nur man könnte das durch einen Eintrag in der Routing-Tabelle ändern.

Gruß, MM
Bitte warten ..
Mitglied: aqui
05.03.2009 um 12:27 Uhr
Nicht denken, sondern nachdenken !!
Ein falsches IP Netzwerkdesign kann man niemals durch Frickeln an der Routingtabelle hinbiegen, das ist Unsinn ! Wie sollte ich doppelte IP Netze damit auch wegbekommen ???
Sorry für die drastischen Worte aber diese Annahme ist hier im Forum ein oft weit verbreiteter Trugschluss, der leider oft aus Unkenntniss über korrektes IP Networking resultiert !
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 13:19 Uhr
Okay, jetzt habe ich es verstanden. Das mit den Standard 192.168er Adressen kommt nur daher, weil wir vorher einen Router vom rosa Riesen hatten, und der wollte einfach keine anderen Adressen. Aber das Ding ist jetzt auch zum Glück in der Tonne.
Danke für die Informationen und für 's zusammensch...

Gruß

MM
Bitte warten ..
Mitglied: aqui
05.03.2009 um 16:02 Uhr
Nein....nicht zusamm... so war das nicht gemeint. Nur ein eindringlicher Appell an dich das Frickeln sein zu lassen (und dir damit Frust zu ersparen..) in so einem Umfeld
Und...Consumer Spielzeug für Sofasurfer vom rosa Riesen setzt man in einem Firmen VPN Umfeld ja auch nicht ein...aber diese Basis Lektion für angehende Netzwerk Admins hast du ja schon gelernt... !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: DO7LZ
05.03.2009 um 17:50 Uhr
Alles umgestellt. Alles läuft!
Vielen Dank für die Hilfe.
Gruß
MM
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN DrayTek Vigor 2960
Frage von ZappBrannigenRouter & Routing

Hallo, ich bin dabei einen Router einzurichten, es handelt sich um einen DrayTek Vigor 2960. Es funktioniert soweit fast ...

Router & Routing
Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)
Frage von natas78Router & Routing9 Kommentare

Hallo, habe folgendes Problem: Meine bisherige Konfiguration war die folgende: Im Draytek Router waren die Anmeldeinfos für den Provider ...

Router & Routing
Routing Draytek VIGOR 2960
Frage von bastij1507Router & Routing10 Kommentare

Hallo zusammen, ich habe ein Problem mit dem Routing an meinem Draytek Vigor 2960 Router. Ich habe zwei Netze ...

Router & Routing
VPN Konfiguration für Draytek Vigor direkt an SBS 2011
gelöst Frage von KLinnebankRouter & Routing4 Kommentare

Hallo zusammen, ich habe die Suchfunktion benutzt, leider kein Erfolg, deswegen traue ich mich mal meine Frage zu stellen: ...

Neue Wissensbeiträge
DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 2 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 6 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...