Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Roadwarrior OpenVPN Verbindung zwischen zwei gleichen Netzen

Frage Netzwerke

Mitglied: 48829

48829 (Level 1)

23.09.2008, aktualisiert 24.09.2008, 7968 Aufrufe, 4 Kommentare

Es geht um eine Roadwarrior VPN Verbindung mittels OpenVPN über SSL, bei dem sich der VPN- Client und Server zufälligerweise das gleiche Netz haben.

Hallo zusammen,

folgende Situation:

Es gibt ein Netzwerk mit der Netzwerkadresse 192.168.1.0 in dem sich ein Terminalserver, Windows Domänenkontroller, E-Mail Server etc. befindet.
Als Firewall wird eine Gateprotect GP-125 verwendet, die auch die Einwahl ins Internet regelt.

Wir haben nun 2 OPenVPN over SSL Verbindungen für Notebooks eingerichtet, die sich mit dem Gateprotect VPN Client in dieses Netz einwählen und auf dem Terminalserver arbeiten. Wenn die Notebooks WLAN zur Verfügung haben, dann wählen sie sich über WLAN und wenn nicht, dann über T-Mobile ein. Grundsätzlich klappt das auch einwandfrei.

Nun haben wir aber gelegentlich das Problem, dass sich das Notebook über WLAN (z.b. im Hotel) im Internet befindet und hier dann das gleich Netz 192.168.1.0 ist. Wir bekommen dann die VPN Verbindung zwar auf gebaut, aber man kann nicht auf die andere Seite per RDP oder ping zugreifen, was logischerweise auf das gleiche Netz zurück zu führen ist.

Leider ist das Netz für die Hauptzentrale mit 192.168.1.0, im nachhinein betrachtet, nicht sehr gut gewählt, weil es ein Netz ist, welches sehr viele als Privates Netz verwenden. Aber nun ist es so und das zu ändern ist doch sehr aufwändig und nicht unproblematisch.

Gibt es von Euch vielleicht ein paar Cracks, die mir sagen können, ob ich das Problem vielleicht dennoch gelöst bekomme?
Ich habe mir schon mal überlegt auf den Notebooks eine Route zu erstellen, die gezielt nur für die IP- Adresse des Terminalserver gelten soll.
In der Gateprotect gibt es die Funktion, dass ich dem VPN- Client eine Route puschen kann. Hier hatte ich dann die IP- Adresse des Terminalservers angegeben. Aber das Route Adding schlägt fehl. Vermutlich, erkennt es hier eine Kollision.

Dann habe ich auf dem Notebook versucht eine Route zu definieren. Dazu habe ich folgendes eingetragen:
route add 192.168.1.151 mask 255.255.255.0 192.168.254.1 if 2

192.168.1.151 (Terminalserver)
192.168.254.1 (Gateway des VPN- Adapters auf dem Notebook)
if 2 (der LAN- Adapter hat die 0x2 bei route print stehen)

Ich bekomme aber immer die Rückmeldung, dass das Hinzufügen der Route fehlgeschlagen ist. der angegebene MAskenparameter ist ungültik. (Ziel & Maske) !=Ziel

Weiß jemand, ob man es überhaupt hinbekommt die gleichen Netze zu verbinden oder ist das Sinnloss zu versuchen?

Mit freundlichen Grüßen

Binzisback
Mitglied: aqui
23.09.2008 um 17:24 Uhr
Nein, da ist generell nicht hinzubekommen bei IP Netzgleichheit, da damit ein sauberes Routing per se vollkommen ausgeschlossen ist, da die Endgeräte ja logischerweise nicht mehr zwischen den IP Netzen unterscheiden können, was sie ja einzig anhand der IP Netzadrese machen !!

Mit Verlaub gesagt es zeugt auch von ziemlicher Blauäugigkeit oder einfach Unwissenheit ein zentrales Netzwerk mit VPN Nutzung, wo man ja ganz genau im Vorfeld weiss das man es mit externen Netzen zu tun bekommt, mit so einem banalen und dumm gewähltem IP Netzwerk wie 192.168.1.0 einzurichten !
Jeder Grundschüler weiss, das das per Default in jedem Billigrouter vom Blödmarkt vom Grabbeltisch implementiert ist und auch z-B. Windows das per Default bei ICS Design benutzt !!
Eine Netzwerkgleichheit ist dann nur noch eine Frage von Tagen bei VPN Nutzung.

Mit ein bischen Nachdenken und dem Studium des RFC 1918 der private Netzwerke beschreibt:

http://de.wikipedia.org/wiki/Private_IP-Adresse

hätte man gesehen das es erheblich intelligenter gewesen wäre den zentralen Netzwerk sowas wie 172.27.1.0 /24 zu vergeben oder was auch immer. Der RFC 1918 hält ja noch eine Menge mehr IP Netzwerke zur Benutzung bereit.
Warum muss man sich allso immer nur auf diese für VPN dümmlichen 192.168er Netze stürzen wie jeder andere auch ??

Ganz unterdrückt hätte das die IP Netzwerkgleichheits Gefahr zwar nicht aber auf einen absoluten Zufall der so gut wie nie eintritt reduziert.

Fazit: Dumm gelaufen, nicht nachgedacht beim Design

Wenn du DHCP benutzt in deinem TS Netz ist eine Lösung ganz einfach. Stell einfach die IP auf einer der 172er Adressen um und gut ist.
Je eher desto besser damit du beim nächsten nicht schon wieder in das problem tappst !!!
Bitte warten ..
Mitglied: 51705
23.09.2008 um 19:03 Uhr
Hallo,

mit einer etwas phantasievollen Nutzung von NAT lässt sich das durchaus bewerkstelligen...

Ich bekomme aber immer die Rückmeldung, dass das Hinzufügen der Route fehlgeschlagen
ist. der angegebene MAskenparameter ist ungültik. (Ziel & Maske) !=Ziel

Die Maske ist falsch. Richtig wäre für eine Host-Route 255.255.255.255.

Grüße, Steffen
Bitte warten ..
Mitglied: 48829
24.09.2008 um 08:30 Uhr
Hallo zusammen,

vielen Dank für eure Beiträge. Zu meiner Verteidigung muss man sagen, dass das Netz aus einem Peer-to-Peer Netz mit 2 Rechnern gewachsen ist. Es war überhaubt nicht der Gedanke vom Kunden, dass er mal einen Terminalserver, Firewall und VPN nutzt und für uns sah es auch absolut danach aus, weil nur ganz sporadisch das Internet genutzt wurde. Mitlerweile ist das ganze auch ziemlich gewachsen. Selbst die Telefonanlage war nach einem halben Jahr (etwas übertrieben) nicht mehr zu gebrauchen, weil Sie schon an die Kapazitätsgrenzen kam.

Mir ist selbst noch eine Lösung eingefallen. Da die Gateprotect noch 2 weitere LAN- Interfaces hat, werde ich den Terminalserver einfach in ein anderes Netz setzen. DIe Netztrennung hätte ja dann Sicherheitstechnisch auch noch einen Vorteil, weil alles was zwischen Terminalserver und Hauptnetz an Daten verkehrt, läuft über die Firewall und ich kann nur die benötigten Dienste freischalten.

Das sollte doch funktionieren, oder?
Bitte warten ..
Mitglied: aqui
24.09.2008 um 12:38 Uhr
Ja das ist der richtige Weg !
Aber bei der IP Adresse: Finger weg von den unsäglichen 192.168er Netzen !!!
172.x.x.x ist dein Freund !!
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Router & Routing
gelöst VPN-Verbindung zwischen zwei Fritzboxen bricht sehr häufig ab (14)

Frage von mabue88 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...