Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Networks Routers & Routing

GELÖST

Netzwerk und VirtualBox: über VPN auf Gast-VM zugreifen

Mitglied: jutzin

jutzin (Level 1) - Jetzt verbinden

2015/06/28, aktualisiert 2015/07/01, 1265 Aufrufe, 11 Kommentare

Problem: Ich kann nicht mehr über VPN auf meine VMs im Firmennetzwerk zugreifen.

Zuvor: Ich befinde mich mit meiner Workstation z.B. im Heimnetzwerk (10.10.20.0/24) und verbinde mich per VPN auf das Firmennetzwerk (192.168.0.0/24). Im Firmennetzwerk befindet sich ein VM Host mit VM Guests, die über Bridged-Adapter im gleichen Netzwerksegment wie der Host (192.168.0.0/24) sind. Ich kann den Host und alle VMs pingen, remoten etc..

Dann: VPN Clients werden seit einigen Tagen auf ein anderes Netzwerksegment gelegt (192.168.1.0/24) und eine statische Route ermöglicht den Zugriff auf das 192.168.0.0/24 Netz.

Seitdem: Ich kann immer noch alle Metall-Maschinen im 192.168.0.0/24 Segment erreichen, aber ich kann seitdem auf keine VM im gleichen Segment mehr zugreifen.

Skizze: So ist die Lage seit der Umstellung der VPN Clients auf das 192.168.1.0/24 Segment: 7df502c6654a428bac57548a2a64134b - Klicke auf das Bild, um es zu vergrößern

Frage: Kann mir jemand sagen, wie ich am einfachsten die Verbindung auf meine VMs wiederherstellen kann?
Mitglied: aqui
2015/06/28 um 20:29 Uhr
und verbinde mich per VPN auf das Firmennetzwerk
WIE machst du das ?? Deine Workstation ist VPN Client und wählt sich remiote ein oder dein Router machet ein Site to Site VPN ?? Welches VPN Protokoll ?? IPsec, PPTP, L2TP, SSL ???
Ich kann den Host und alle VMs pingen, remoten etc..
OK, zeigt das alles soweit korrekt ist !
VPN Clients werden seit einigen Tagen auf ein anderes Netzwerksegment gelegt
OK, zeigt das der Netzwerk Admin am VPN Gateway, Router oder Firewall wissentlich die Konfig verändert hat so das Clients andere IPs bekommen.
und eine statische Route ermöglicht den Zugriff auf das 192.168.0.0/24 Netz.
Statische Route WO ?? Im Client oder im VPN Gateway das diese Route dynamisch auf deinen Client distribuiert ??
aber ich kann seitdem auf keine VM im gleichen Segment mehr zugreifen.
Gut, das ist erstmal vermutlich nocrmal, denn du kommst nun mit einer fremden IP Absenderadresse dort an !
Da schägt dann sofort die lokale Firewall dieser Maschinen zu, denn die merkt das das keine lokale IP Adresse sondern eine aus einem Fremdnetz ist und blockiert sofort diesen Zugriff !
Fazit: Lokale Firewall entsprechend customizen !
Zweite Fehleroption: Die VMs haben kein oder ein falsches Gateway konfiguriert, so das ein Routing auf das 192.168.1.0er Netz des Clients nicht gewährleistet ist.
Hier ust Traceroute oder Pathping dein Freund beim Troubleshooten !
Bitte warten ..
Mitglied: jutzin
2015/06/29 um 09:14 Uhr
Moin, erstmal besten Dank für den Input!

Zitat von aqui:

WIE machst du das ?? Deine Workstation ist VPN Client und wählt sich remiote ein oder dein Router machet ein Site to Site VPN
?? Welches VPN Protokoll ?? IPsec, PPTP, L2TP, SSL ???

Layer2 mit IPSec

Statische Route WO ?? Im Client oder im VPN Gateway das diese Route dynamisch auf deinen Client distribuiert ??

Im VPN Gateway / Firewall werden alle von außen eingehenden Verbindungen auf das 192.168.1.0/24 Segment geroutet (zuvor kamen VPN Clients in das 192.168.0.0/24 Segment).

Gut, das ist erstmal vermutlich nocrmal, denn du kommst nun mit einer fremden IP Absenderadresse dort an !
Da schägt dann sofort die lokale Firewall dieser Maschinen zu, denn die merkt das das keine lokale IP Adresse sondern eine
aus einem Fremdnetz ist und blockiert sofort diesen Zugriff !
Fazit: Lokale Firewall entsprechend customizen !

Lokale FW (auf VM Host und Guest) sind zum Testen deaktiviert; leider kein Erfolg. Könnte das Problem auch darin bestehen, dass Port 1521 in der Firmen-FW zwischen 192.168.0.0/24 und 192.168.1.0/24 geschlossen ist? Habe leider keine Möglichkeit, das zu prüfen (Admin im Urlaub, Vertretung "traut sich nicht").

Zweite Fehleroption: Die VMs haben kein oder ein falsches Gateway konfiguriert, so das ein Routing auf das 192.168.1.0er Netz des
Clients nicht gewährleistet ist.
Hier ust Traceroute oder Pathping dein Freund beim Troubleshooten !

Jep, das wird heute Abend gleich mal getestet.
Bitte warten ..
Mitglied: aqui
LÖSUNG 2015/06/29, aktualisiert 2015/07/01
Im VPN Gateway / Firewall werden alle von außen eingehenden Verbindungen auf das 192.168.1.0/24 Segment geroutet (zuvor kamen VPN Clients in das 192.168.0.0/24 Segment).
Gib einfach am Client mit aktiver VPN Einwahl mal ein route print (Winblows) ein !
Anhand der Routing Tabelle kannst du ganz genau sehen welche Netze über den VPN Tunnel geroutet werden !
Diese Info wäre wichtig hier zu wissen !
dass Port 1521 in der Firmen-FW
Was denn UDP oder TCP und was soll dieser Port sein ?? Ein Standardport ist das wenigstens nicht ! Wozu ist oder soll der gut sein ?
Bitte warten ..
Mitglied: jutzin
2015/07/01, aktualisiert um 12:47 Uhr
Was denn UDP oder TCP und was soll dieser Port sein ?? Ein Standardport ist das wenigstens nicht ! Wozu ist oder soll der gut sein
?

TCP 1521 ist z.B. Oracle TNS. Was natürlich nicht erklärt, warum ich gar nicht mehr auf die VMs zugreifen kann.
Bitte warten ..
Mitglied: jutzin
2015/07/01 um 12:51 Uhr
Gib einfach am Client mit aktiver VPN Einwahl mal ein route print (Winblows) ein !
Anhand der Routing Tabelle kannst du ganz genau sehen welche Netze über den VPN Tunnel geroutet werden !

route print zeigt erwartungsgemäß die Route vom 192.168.1.0/24 Segment ins 192.168.0.0/24 Segment an. Wie gesagt, Host und Guests sind alle im 192.168.0.0/24 Segment und der Host ist auch nach wie vor erreichbar, nicht aber die VMs im gleichen Segment. Die Firewall auf dem Host ist deaktiviert. Keine IPTables auf dem Guest.
Bitte warten ..
Mitglied: aqui
2015/07/01, aktualisiert um 17:45 Uhr
route print zeigt erwartungsgemäß die Route vom 192.168.1.0/24 Segment ins 192.168.0.0/24 Segment an.
Auch mit dem korrekten Next Hop Gateway ??
Das die Firewall angeblich deaktiviert ist erzählen sie hier immer alle....?!
Lass einen Wireshark auf den VMs laufen oder tcpdump und check mal was da überhaupt vom Netz ankommt ?! Kann ja dann fast nur die interne Bridging Funktion des Hypervisors sein wenn du wirklich die FW sicher ausschliessen kannst.
Bitte warten ..
Mitglied: MojoTec
2018/01/12 um 22:26 Uhr
hi Justin,
kannst du mir vl. nen Screen oder wie die Config der Bridged VMs aussieht ?
Weil siehe https://www.administrator.de/content/detail.php?id=360898#comment-125626 ...
Wir haben ein kleines Problem mit den VMs das sie Traffic rein und raus lassen ins netz, oder vl selber den Ultimativen Tipp.
Weil eigl. heißt es, Bridged, und du bist drin. Wir sind (Ich haupsächlich xDD) sind ja nun auch eigl nicht Doof. Ich habe mich heute echte 9 Stunden damit einen abgeärgert, mit zig configs und Systemen. überall das gleiche, siehe Threat, vor allem unten.

Wäre cool wenn du mal nen Auge drauf wirfst.

Thx, und gn8 (euch allen)

Hoffe dein Problem wurde/wird schnell gelöst.
Bitte warten ..
Mitglied: jutzin
2018/01/16 um 11:20 Uhr
Moin,

ich habe das Problem seinerzeit nicht gelöst bekommen, der neue Admin hatte das aber gleich im Griff. Soweit ich mich erinnere, hing es bei uns an der Corporate FW. Ansonsten: Ja, an sich hatte ich mit Bridged Adapter nie Probleme. Toi toi toi.

jutzin
Bitte warten ..
Mitglied: MojoTec
2018/01/16 um 23:31 Uhr
Wireshark bzl. (oder der einfachheit glasswire, is bei uns sehr beliegt, wohl weils so schick schick ist und er einige vom support ganz cool sind.)
wer ich ich mal testen, hatte einen notfall / ausfall. Das hatte priorität bekommen. Wir sind ja auch noch klein und jung (Firma/ Team).

Aber das werd ich auf jeden fall abchecken!
Bitte warten ..
Mitglied: MojoTec
2018/01/16 um 23:41 Uhr
@ jutzin erstmal danke für dein toi toi toi xD. Wie schon erwähnt konnte ich leider nich nicht weiter machen!
Aber wir gesagt, das ist ein isoliertes test netz.
Und ich ich habe überall und auf alles volle Admin rechte. Wir haben aber schon für die das Test netzwerk die komplette Infrastruktur, ausgewechselt! Andere Switches, einen Theoretischen Internet zugriff (Standart OFF) Aber Somit ein Simuliertes Gateway.

Naja wir haben das Netz nochmal, man könnte sagen vereinfacht (Alle Cat.s durchgemessen ob die Kabel alle in ordnung sind.
Denke Morgen werde ich das nochmal in ruhe Abchecken. Ich kenne es ebenso Bridged und gut ist.

Das mit den Firewalls (Software) werde ich auch nochmal Kontrollieren, ggf. neuinstallalationen der OS durchführen, muss ich sowieso wenns läuft. Und da ist nichts überflüssiges drauf, Hardware firewalls haben wir aus dem netz raus gekickt!

Ich halte euch auf dem Laufenden, der Notfall wurde natürlich durch meine gesegneten Hände schnell geregelt!

Danke und Grüße
Gute Nacht White Hats xD
Bitte warten ..
Mitglied: aqui
2018/01/17 um 13:38 Uhr
Hardware firewalls haben wir aus dem netz raus gekickt!
Eine fatale Fehlentscheidung ! Kein Netzwerker der auf wirkliche Sicherheit bedacht ist macht sowas, denn dafür gibt es eine Vielzahl guter Gründe.
Man will sich lieber nicht vorstellen was passiert wenn Angreifer dort ausbrechen und ihnen liegt ein kompletter Hypervisor Server zu Füßen. Gerade in einer Microsoft Umgebung....
Aber jeder muss ja selber wissen was er tut...
Bitte warten ..
Ähnliche Inhalte
Virtualisierung
Installation eines Spiels auf einer VirtualBox-VM
gelöst Frage von honeybeeVirtualisierung6 Kommentare

Hallo, ich versuche gerade, Europa Universalis auf eine VM unter VirtualBox zu installieren. Beim Starten kam diese u. g. ...

Virtualisierung
Virtualbox Vm Datei auf NAS
Frage von Jocki278Virtualisierung5 Kommentare

Gras eich! Folgendes Schema! Um auf die Vm immer zugreifen zu können, liegt sie auf dem Nas. Da in ...

Server
Download aus einer VM langsam (Virtualbox)
Frage von thepandapiServer2 Kommentare

Guten Morgen alle Zusammen! ich hätte da mal eine Frage. Ich habe auf meinem Server via Virtualbox eine VM ...

Virtualisierung
VirtualBox: Gast kracht weg - woran kann es liegen?
Frage von QQR700Virtualisierung7 Kommentare

Hallo, ich habe VirtualBox auf einem ubuntu-server (14.04.2) installiert. Ziel ist es, verschiedene Systeme im HeadlessModus laufen zu lassen. ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen7 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...