Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mehrere VPN-Gegenstellen mit gleichem IP-Kreis

Frage Netzwerke

Mitglied: pcg1984

pcg1984 (Level 1) - Jetzt verbinden

16.06.2010, aktualisiert 18.10.2012, 9209 Aufrufe, 14 Kommentare

Moin moin,
kurze Frage zu einem neuen Firewall Router bzw. UTM

Folgende Konstellation:

wir möchten eine Verbindung per VPN IPSEC (Dial-UP oder Standverbindung) zu mehrere Kunden ( 5-6 mit ZyWall 2+ oder Checkpoint)realisieren nun das kleine/große Problem mind. 4 von denen haben alle den gleichen IP-Kreis 192.168. 100.XX (bevor jmd. was sagt, ich weiss dass das schwachsinnig ist aber da war ja ein Glück jmd anderes Schuld ). Daher kann man z.B. bei einem Netgear ProSafe 318 und 338 nur eine VPN Verbindung einrichten, da er danach erkennt, dass es schon eine VPN Verbindung mit dem gleichen IP-Kreis gibt.

Nun benötigen wir einen Router/UTM wo man die VPN Kreise umbiegen kann. (Bei Zyxell USG 200 und 300 geht das, aber 900- 1200 € sind ja auch net von schlechten Eltern )

Wäre über Anregungen erfreut.

Bis dann
Mitglied: goscho
16.06.2010 um 14:30 Uhr
Hallo pcg1984,

wenn die Netze die selben IP-Adress-Bereiche haben, dann wird dir dein Vorhaben nicht gelingen.
Das Umbiegen der VPN-Kreise (was immer das auch sein soll) bringt wohl nicht sehr viel.

Wenn du die IP-Adresse 192.168.100.1 für einen Server in deinem Netz hast und dein Kunde hat die selbe für einen seiner Server, dann bekommst du per VPN nicht auf den Server des Kunden. Das liegt daran, dass die Anfrage gar nicht erst zu deinem VPN-Server (und von diesem dann zur Gegenstelle) geschickt wird, weil ja eigener Adressbereich und intern erreichbar.

Mir würde jetzt spontan keine Möglichkeit einfallen, dies per LAN-LAN-VPN zu realisieren.
Bitte warten ..
Mitglied: Midivirus
16.06.2010 um 14:53 Uhr
goscho hat genau ins schwarze getroffen.

Ein VPN klappt nur, wenn alle Netze eindeutig erkennbar sind.

Und dazu ein Beitrag von meinem Freund aqui:
Allgemeine Tipps zum VPN Design
Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.

Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig, auch aus Unwissen oder Unkenntniss, diese Standard Einstellungen !
Die Folge davon ist, das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann dadurch IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !

Es ist daher dringend angeraten schon beim Aufbau und Planung von VPN Zugängen vorausschauend zu planen und etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und damit einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren !!

Sieht man sich einmal den RFC-1918 (Liste der Privaten IP Adressen) etwas genauer an, der die IP Adresskontingente für Private Netze global festlegt:
Private Adresse bei Wiki
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden, banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und den gesamten 10er Bereich zur freien Verfügung hat. Massenweise IP Netze also....
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die IP Adressierung seine lokalen Netzes oder der lokalen Netze wenn es mehrere Subnetze gibt wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze (Wenn das remote Clientnetzwerk gleich ist) doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an so mit einem cleveren und vorausschauenden IP Adress Design sicher aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !
Quelle: VPNs einrichten mit PPTP

Falls du ähnliches Problem hast:
Absturz Netgear ProSafe VPN Firewall FVS318v3 wöchentlich

Grüße
Midivirus
Bitte warten ..
Mitglied: pcg1984
16.06.2010 um 14:53 Uhr
Hallo Goscho,

sorry falls ausgedrückt. Mein IP-Kreis unterscheidet sich natürlich von den anderen.

z.B:
Mein IP Kreis (10.10.0.0/24) --VPN IPSEC Tunnel -- Kunde A (IP-Kreis: 192.168.100.0 / 24)
--VPN IPSEC Tunnel -- Kunde B (IP-Kreis: 192.168.100.0/24)
--VPN IPSEC Tunnel -- Kunde C (IP-Kreis: 192.168.100.0 / 24)
--VPN IPSEC Tunnel -- Kunde D (IP-Kreis: 192.168.200.0/24)

So sieht das aus . Theroitsch würde Kunde C und Kunde D funktionieren, Kunde A und B jedoch nicht, da die IPSEC Verbindung ja erkennt dass es einen Tunnel schon mit der Remote-ID vorhanden ist.
Bitte warten ..
Mitglied: pcg1984
16.06.2010 um 15:04 Uhr
Hey Midvirus,

wie schon beschrieben habe ich mich falsch ausgedrückt auf meiner Seite ist ein ganz anderer IP-Kreis, siehe Antwort auf Goscho.
ProSafe ist noch nie bei uns abgestürzt
Und IP Design kenne ich sehr gut, dass Problem ist, die Umstellung der IPs bei den Kunden wäre mit erheblichen Aufwand verbunden, was ich ganz gerne vermeiden möchten.
Meine Netzwerke welche ich plane und implementiere sind nach Richtlinien und auch so dokumentiert, dass ich IP-Kreise bei keinem Kunden 2x vergebe. Nur die 3-4 neuen Kunden habe ich von anderen Firmen übernommen und da war es leider so eingerichtet.
Bitte warten ..
Mitglied: Midivirus
16.06.2010 um 15:19 Uhr
Kommentar Midivirus schreibt am 16.06.2010, 14:53:32 Uhr
Kommentar pcg1984 schreibt am 16.06.2010, 14:53:52 Uhr

konnte ich nicht merken ;)
Bitte warten ..
Mitglied: pcg1984
16.06.2010 um 15:24 Uhr
jupp leider zu schnell geschrieben
Bitte warten ..
Mitglied: dog
16.06.2010 um 16:05 Uhr
Ich würde mir einen Mikrotik 450G nehmen und da über Metarouter mehrere virtuelle Instanzen laufen lassen.
Jede baut einen VPN-Tunnel auf und benutzt dann IP-Range-NAT - fertig

Problem ist nur die unvollständige IPSec-Implementation von MT.
Bitte warten ..
Mitglied: goscho
17.06.2010 um 06:59 Uhr
Mir würde ganz spontan einfallen, immer nur die benötigte VPN-Verbindung zu aktivieren.
Also alle VPNs anlegen und inaktiv lassen (A,B,C -> D ist ja egal)
Jetzt darfst du immer nur die VPN-Verbindung aktivieren, die benötigt wird.
Aber parallel klappt das so nicht.

Besser: Ändere die IP-Bereiche bei deinen Kunden - fertig.
Bitte warten ..
Mitglied: pcg1984
17.06.2010 um 07:06 Uhr
Guten morgen goscho,

auch ein guten Lösungsansatz. Habe aber eine weitere Möglichkeit gefunden, da ich sowohl beim Server als auch bei den Zyxel Routern (ZyWall 2/5 und 35) alternative IP-Kreise anlegen kann, werde ich das für den VPN Tunnel vornehmen.

Vorteil dabei wäre, dass ich das Netz nicht umändern muss (Warum schwierig denken wenn es auch einfach geht

Aber vielen Dank für die Hilfe.
Bitte warten ..
Mitglied: aqui
17.06.2010, aktualisiert 18.10.2012
Das wäre die Lösung um die doppelten IP Netze remote betreiben zu können !
Besser ist ein korrektes IP Design. Sie die regeln dazu hier:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Ansonsten benötigst du zwingend einen static NAT fähigen VPN Router wie dog oben bereits bemerkt hat !
Bitte warten ..
Mitglied: Midivirus
17.06.2010 um 09:32 Uhr
@aqui: hab das obige aus deinem Artikel schon kopiert gehabt ;)
Bitte warten ..
Mitglied: aqui
17.06.2010 um 09:37 Uhr
Ooops, sorry, übersehen.... Na ja, doppelt hält besser !! Ist ja ein immer wiederkehrendes Problem nicht intelligenter oder gar nicht vorhandener IP Adressplanung !!
Bitte warten ..
Mitglied: pcg1984
17.06.2010 um 11:10 Uhr
Ja wie schon gesagt, wie ein vernüftiges IP Design aussieht weiß ich ja, kann ja nichts dafür dass andere Kollegen leider sich nicht damit auseinander setzen

Standard ist ja immer schön leicht und überlegung für die Zkunft braucht man ja nicht (so ne Aussage habe ich schon bekommen)
Bitte warten ..
Mitglied: sk
17.06.2010 um 15:35 Uhr
Zitat von pcg1984:
wir möchten eine Verbindung per VPN IPSEC (Dial-UP oder Standverbindung) zu mehrere Kunden ( 5-6 mit ZyWall 2+ oder
Checkpoint)realisieren nun das kleine/große Problem mind. 4 von denen haben alle den gleichen IP-Kreis 192.168. 100.XX
...
Nun benötigen wir einen Router/UTM wo man die VPN Kreise umbiegen kann. (Bei Zyxell USG 200 und 300 geht das, aber 900- 1200
€ sind ja auch net von schlechten Eltern )
Hallo,

also NAT auf dem Tunnel ist ja schon als Lösung diskutiert worden. Allerdings sollte man bedenken, dass nicht sämtliche Protokolle NAT-friendly sind. Es wäre also wichtig zu erfahren, _was genau_ über den Tunnel laufen soll. Sofern es ohnehin nur nur um gelegentlichen Remotesupport geht, kämen vielleicht auch Client-to-Site-VPNs statt Site-to-Site-VPNs in Betracht.
Bzgl. der Kosten für eine USG: Zum Einen gibt es die wesentlich günstigere und für die meisten Zweigstellen ausreichende USG100 und zum Anderen kommen voraussichtlich im 3. oder 4. Quartal die USG20 und USG50 auf den Markt. Deren Spezifikationen sind mir allerdings noch nicht bekannt.

Gruß
sk
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Netzwerkmanagement
VPN: mehrere TCP Verbindungen pro Session

Frage von twoDarkMessiah zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...