5
Routing VPN-Tunnel anderes Netzwerk
Hallo zusammen,
ich bin Entwickler und helfe einem Bekannten bei seiner Kleinen Firma bei EDV Dingen aus.
Meine Idee war hierzu, dass ich mich von meinem PC (Windows 8.1) via Fritz Box ins Internet verbinde.
Dann verbinde ich mich über VPN Tunnel mittels L2TP mit einem Windows 2012 R2 Server (virtuelle Maschine mitttels VMWare) der hinter einem Vodafone Router steckt.
Wenn ich dort gelandet bin möchte ich dort mit einem Client Verbinden können, da dort eine Datenbank läuft.
Ich habe es schon hinbekommen, dass ich ich mit dem Server verbinden kann und seine "normale" IP anpingen kann.
Leider hat der Bekannte die 2te Netzwerkkarte auf dem Server gelöscht und bevor ich nun alles durcheinander bringe, möchte ich euch gerne Fragen wie ich das denn nun richtig einrichten muss, damit ich auch den CLient im Fremden Netzwerk erreichen kann.
Ich bin kein techniker, deswegen bitte ich um etwas Nachsicht, wenn ich evtl die ein oder andere Wichtige Info "vergesse".
Netzwerk 1 (Mein Netz)
-Client 1 (Windows 8.1)
- 192.168.178.48
- 255.255.255.0
- Gateway 192.168.178.1
- DNS 192.168.5.20 | 192.168.178.1
- VPN Adapter
- 192.168.5.23
- 255.255.255.255
- Gateway X
- DNS 192.168.5.20 | 192.168.2.1
--Router (Fritz Box)
--192.168.178.1
--255.255.255.0
---INTERNET
Netzwerk 2 (Fremdes Netz)
--Router (EasyBox)
--192.168.2.1
--255.255.255.0
-Server (Windows 2012 R2)
- Nic 1
- 192.168.2.100
- 255.255.255.0
- Gateway 192.168.2.1
- DNS 192.168.2.100 | 192.168.2.1
- Nic 2 leider gelöscht
- VPN Adapter bzw. RAS Einstellung (da steht so viel)
- Allgemein
- IPv4-Router aktiv - LAN und Routing wählen bei Bedarf
- IPv4-RAS Server aktiv
- IPc4
- IPc4-Weiterleitung aktiv
- Statischer Adresspool 192.168.5.20 bis 192.168.5.25
-Client 2 (Windows 7)
- 192.168.2.103
- 255.255.255.0
- Gateway 192.168.2.1
- DNS 192.168.2.100 | 192.168.2.1
Mittels route add 192.168.2.0 MASK 255.255.255.0 192.168.5.20 habe ich eine Route erstellt, hiernach kann ich den Server auch nun anpingen.
Wenn ich das richtig verstanden habe, ist nun der Weg frei um vom Win 8.1 Client 1 auf den Server zu kommen. Aber wie komme ich denn nun auf den Win 7 Client 2?
Soweit ich das verstanden habe brauche ich nun eine "Route zurück" ? Also quasi vom Client 2 zum Server und dann zum Client 1?
Aber wie, da hörts dann bei mir leider auf.
ich bin Entwickler und helfe einem Bekannten bei seiner Kleinen Firma bei EDV Dingen aus.
Meine Idee war hierzu, dass ich mich von meinem PC (Windows 8.1) via Fritz Box ins Internet verbinde.
Dann verbinde ich mich über VPN Tunnel mittels L2TP mit einem Windows 2012 R2 Server (virtuelle Maschine mitttels VMWare) der hinter einem Vodafone Router steckt.
Wenn ich dort gelandet bin möchte ich dort mit einem Client Verbinden können, da dort eine Datenbank läuft.
Ich habe es schon hinbekommen, dass ich ich mit dem Server verbinden kann und seine "normale" IP anpingen kann.
Leider hat der Bekannte die 2te Netzwerkkarte auf dem Server gelöscht und bevor ich nun alles durcheinander bringe, möchte ich euch gerne Fragen wie ich das denn nun richtig einrichten muss, damit ich auch den CLient im Fremden Netzwerk erreichen kann.
Ich bin kein techniker, deswegen bitte ich um etwas Nachsicht, wenn ich evtl die ein oder andere Wichtige Info "vergesse".
Netzwerk 1 (Mein Netz)
-Client 1 (Windows 8.1)
- 192.168.178.48
- 255.255.255.0
- Gateway 192.168.178.1
- DNS 192.168.5.20 | 192.168.178.1
- VPN Adapter
- 192.168.5.23
- 255.255.255.255
- Gateway X
- DNS 192.168.5.20 | 192.168.2.1
--Router (Fritz Box)
--192.168.178.1
--255.255.255.0
---INTERNET
Netzwerk 2 (Fremdes Netz)
--Router (EasyBox)
--192.168.2.1
--255.255.255.0
-Server (Windows 2012 R2)
- Nic 1
- 192.168.2.100
- 255.255.255.0
- Gateway 192.168.2.1
- DNS 192.168.2.100 | 192.168.2.1
- Nic 2 leider gelöscht
- VPN Adapter bzw. RAS Einstellung (da steht so viel)
- Allgemein
- IPv4-Router aktiv - LAN und Routing wählen bei Bedarf
- IPv4-RAS Server aktiv
- IPc4
- IPc4-Weiterleitung aktiv
- Statischer Adresspool 192.168.5.20 bis 192.168.5.25
-Client 2 (Windows 7)
- 192.168.2.103
- 255.255.255.0
- Gateway 192.168.2.1
- DNS 192.168.2.100 | 192.168.2.1
Mittels route add 192.168.2.0 MASK 255.255.255.0 192.168.5.20 habe ich eine Route erstellt, hiernach kann ich den Server auch nun anpingen.
Wenn ich das richtig verstanden habe, ist nun der Weg frei um vom Win 8.1 Client 1 auf den Server zu kommen. Aber wie komme ich denn nun auf den Win 7 Client 2?
Soweit ich das verstanden habe brauche ich nun eine "Route zurück" ? Also quasi vom Client 2 zum Server und dann zum Client 1?
Aber wie, da hörts dann bei mir leider auf.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 241472
Url: https://administrator.de/contentid/241472
Printed on: April 23, 2024 at 13:04 o'clock
5 Comments
Latest comment
Hallo,
Würde ich aber den Router machen lassen. Und du kommst auf das GANZE Netz drauf, einfach so VPN per Server ist heute nicht mehr State of the Art. Als es noch keine Fritzbox gab, war es noch üblich dazu einen Server zu nehmem, sogar einen DC... heute ein Bäh....
Überlass den Routern das Routing.
Gruß,
Peter
Zitat von @LandorCaeyran:
gerne Fragen wie ich das denn nun richtig einrichten muss, damit ich auch den CLient im Fremden Netzwerk erreichen kann.
VPN richtig einrichten und auch alle Firewalls entsprechend anpassen. gerne Fragen wie ich das denn nun richtig einrichten muss, damit ich auch den CLient im Fremden Netzwerk erreichen kann.
Ich bin kein techniker,
Daher mein Rat an dich und dein Freund, der ein Firma betreibt. Nimm dort ebenfalls ein Router welcher VPN beherscht. Selbst ein Frittenschn´miede dort ist besser als dein gebastel. Dann hast du LAN-2-LAN per IPSec und viele Kopfschmerzen weniger. Du kannst auch eine PFSense oder Monowall oder Sophos UTM (gibt es auch als Software oder VM) oder sonstwas nehmen. Allemal besser als deine VPN gehversuche direkt auf einen Server 2012R2 und dann noch mit L2TP.- DNS 192.168.5.20 | 192.168.178.1
Nur dein DNS dort rein. Der DNS des entfernten Netzes wird doch nur benötigt solange das VPN läuft.- VPN Adapter
Welcher dort erst mit erfolgreichen VPN zustande kommt.- DNS 192.168.5.20 | 192.168.2.1
Wenn dann schon den DNS vom Server 192.168.2.100. Am entfernten ende läuft ja wohl eine Domäne.--Router (EasyBox)
Ersetzen. Kleinen VPN Router marke eigenbau (ALIX etc). Selbst ein Frittenkiste ist hier noch besser. Und dann LAN-LAN VPN.- DNS 192.168.2.100 | 192.168.2.1
Die 192.168.2.1 raus. Bringt dir eh nix.- Nic 2 leider gelöscht
Ist doch nicht Schlimm. Sollte da teaming oder Failover oder Loadbalancing oder so etwas gemacht werden? Sonst weg lassen.- VPN Adapter bzw. RAS Einstellung (da steht so viel)
Nicht wirklich Würde ich aber den Router machen lassen. Und du kommst auf das GANZE Netz drauf, einfach so VPN per Server ist heute nicht mehr State of the Art. Als es noch keine Fritzbox gab, war es noch üblich dazu einen Server zu nehmem, sogar einen DC... heute ein Bäh....- Statischer Adresspool 192.168.5.20 bis 192.168.5.25
Und die Clients im Firmennetz blocken dieses Netz mit ihrer Firewall. Macht euch das leben nicht unnötig schwer.- DNS 192.168.2.100 | 192.168.2.1
Bitte nur den 192.168.2.100. Dort läuft doch eine Domäne, oder? Und wenn der DNS nicht läuft, sollen dann alle nur noch Surfen können ? Mittels route add
Machs richtig, dann braucht ihr keine manuellen Routen zu setzen etc.Aber wie, da hörts dann bei mir leider auf.
Daher, lass es die Router machen. Dann greifst du als Entwickler auch auf die Technik zurück die im Profesionellen Umfeld gemacht wird. Ein Router ist ein Router ist ein Router ist ein Router ist ein Router. Ein Client ist ein Client ist ein Client ist ein Client ist ein Client. Ein Server ist ein Server ist ein Server ist ein Server ist ein Server Überlass den Routern das Routing. Gruß,
Peter
Hallo LandorCaeyran, Willkommen auf Administrator.de!
Du hast hier mehrere Möglichkeiten um es zum laufen zu bringen:
a) Wie Peter schon sagt die Hardware das VPN erledigen lassen, ist die cleanste und zuverlässigste Lösung.
b) Den VPN Clients direkt eine IP aus dem LAN zu vergeben anstatt eines extra Subnetzes.(Routen entfallen)
c) Du aktivierst im Routing und RAS das NAT auf dem VPN, damit sich die VPN Clients mit einer einzigen LAN-IP(192.168.2.100) im LAN bewegen.
d) So wie deine jetzige Konstellation aussieht, benötigst du noch eine statische Route auf der Easybox für das VPN-Netz 192.168.5.0 mit 192.168.2.100 als Gateway.
Da auf den Clients die 192.168.2.1 als Gateway eingetragen ist und die Easybox das VPN Subnetz nicht kennt, laufen sonst alle Antwort-Pakete auf deine Pings ins Nirvana, bzw. kommen nicht zu dir zurück !
Routing aus vmnet1 über router und dsl modemrouter ins wan
Und die Firewalls auf den Clients müssen natürlich auch den Traffic aus dem VPN Netz zulassen...
Grüße Uwe
Du hast hier mehrere Möglichkeiten um es zum laufen zu bringen:
a) Wie Peter schon sagt die Hardware das VPN erledigen lassen, ist die cleanste und zuverlässigste Lösung.
b) Den VPN Clients direkt eine IP aus dem LAN zu vergeben anstatt eines extra Subnetzes.(Routen entfallen)
c) Du aktivierst im Routing und RAS das NAT auf dem VPN, damit sich die VPN Clients mit einer einzigen LAN-IP(192.168.2.100) im LAN bewegen.
d) So wie deine jetzige Konstellation aussieht, benötigst du noch eine statische Route auf der Easybox für das VPN-Netz 192.168.5.0 mit 192.168.2.100 als Gateway.
Da auf den Clients die 192.168.2.1 als Gateway eingetragen ist und die Easybox das VPN Subnetz nicht kennt, laufen sonst alle Antwort-Pakete auf deine Pings ins Nirvana, bzw. kommen nicht zu dir zurück !
Routing aus vmnet1 über router und dsl modemrouter ins wan
Und die Firewalls auf den Clients müssen natürlich auch den Traffic aus dem VPN Netz zulassen...
Grüße Uwe
Hallo Peter, Hallo Uwe,
erst einmal vielen vielen Dank für eure Antworten.
Wenn Profis wie ihr etwas empfehlen, dann möchte ich das natürlich berücksichtigen und auch korrekt umsetzen
Ich habe mal nach ALIX gesucht und dann dies hier gefunden, das scheint doch genau das zu sein was ich suche (?):
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Solange ich dies noch nicht habe, werde ich versuchen eure anderen Tipps umzusetzen.
Wenn ich das "saubere" Szenario anwenden möchte, dann werde ich dennoch die EasyBox ersetzen müssen, denn ich habe keine Option gefunden diese nur als Router zu nutzen.
Hierzu gleich noch eine Frage, da der Bekannte sich grade nach einem neuen Telefonanbieter umschaut, ergibt es Sinn Telefon und Internet direkt zu trennen oder kann das ruhig auf einer Leitung bleiben, wenn ich die "saubere" Lösung umsetzen möchte?
Ist nun ein anderes Thema, aber bevor wir nun etwas machen und uns damit einen Folgeschritt verbauen, frage ich lieber direkt mal nach.
Angedacht war, später einen Server aufzusetzen und "mobydick-voip" einzusetzen (das wiederum dann übers Lan läuft).
Ihr habt mir schon sehr geholfen und ich möchte hiermit kein 2tes Thema aufmachen, darum reicht mir ein ja oder nein, ob man alles auf einer Leitung lassen kann oder nicht und evtl den Hinweis, ob ich dafür eine FritzBox einsetzen kann oder lieber was anderes nehmen sollte.
Vielen Dank nochmal
erst einmal vielen vielen Dank für eure Antworten.
Wenn Profis wie ihr etwas empfehlen, dann möchte ich das natürlich berücksichtigen und auch korrekt umsetzen
Ich habe mal nach ALIX gesucht und dann dies hier gefunden, das scheint doch genau das zu sein was ich suche (?):
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Solange ich dies noch nicht habe, werde ich versuchen eure anderen Tipps umzusetzen.
Wenn ich das "saubere" Szenario anwenden möchte, dann werde ich dennoch die EasyBox ersetzen müssen, denn ich habe keine Option gefunden diese nur als Router zu nutzen.
Hierzu gleich noch eine Frage, da der Bekannte sich grade nach einem neuen Telefonanbieter umschaut, ergibt es Sinn Telefon und Internet direkt zu trennen oder kann das ruhig auf einer Leitung bleiben, wenn ich die "saubere" Lösung umsetzen möchte?
Ist nun ein anderes Thema, aber bevor wir nun etwas machen und uns damit einen Folgeschritt verbauen, frage ich lieber direkt mal nach.
Angedacht war, später einen Server aufzusetzen und "mobydick-voip" einzusetzen (das wiederum dann übers Lan läuft).
Ihr habt mir schon sehr geholfen und ich möchte hiermit kein 2tes Thema aufmachen, darum reicht mir ein ja oder nein, ob man alles auf einer Leitung lassen kann oder nicht
und evtl den Hinweis, ob ich dafür eine FritzBox einsetzen kann oder lieber was anderes nehmen sollte.Vielen Dank nochmal
Hallo,
Ja und nein. Wir kennen nicht euren Bedarf, wir kennen nicht eure Fähigkeiten usw. Ob dies für euch das richtige ist könnt nur ihr entscheiden. Aber es kann VPN (und noch vieles mehr) und es funktioniert.
Ist es z.B. eine Apotheke dann ist eine telefonische Erreichbarkeit auch ohne Internet irgendwie Pflicht. Dem Amtsapotheker gefällt es ganz und gar nicht wenn dort kein Telefon mehr funktioniert. Ebenso akzeptiert der auch kein "Wir haben heute geschlossen weil unsere EDV nicht geht". Daher wird dort fasst immer ISDN und seperates Internet gefahren. Auch ISDN kann ausfallen, aber doch wirklich selten und bei Business Anschlüßen der Telekom ist doch recht zügig alles wieder OK. Internet kann schon öfter ausfallen (und tut es auch) aber dann geht eben der Grosshandel nicht (kann aber immer per Telefon angerufen werden) oder eben das VPN zu anderen Apotheken geht halt nicht.
Ist es ein Schuhhandel, dann ist es vollkommen wurscht ob Telefonie noch geht wenn Internet einen Rülpser hat und umgekehrt.
Ist es ein Börsenmakler dann ist er Pleite wenn kein Komminikation mehr geht.
Welchen Stellenwert hat also Telefonie für deinen bekannten der eine Firma betreibt?
VOIP nur Intern oder VOIP nur Extern oder VOIP Intern UND Extern usw? ISDN? Anolog? Anlagenanschluß mit Rufnummernblock? Zusammengewürfelte Rufnummern? Will nur noch mi Mobiltelefone arbeiten (und auch die Kohle dafür jeden Monat locker machen) oder was? Auch mischen der Techniken ist möglich und je nach Bedarf auch angeraten.
Warum einen grünen Wassermalkasten kaufen wenn ich nur mit Ölfarben male aber niemals Aquarelle?
Und nur weil SnapOn auf die Werkzeuge steht heisst genausowenig wie wenn ein fähige Schrauber nur Müll als Werkzeug bekommt. Und ob dort eine Frittenkiste reicht oder nicht ist nicht eine Frage des Anschaffungspreises.
Als Entwickler nutzt du doch sicherleich eine an deine Fähigkeiten und Aufgaben und können angepassten Entwicklungsumgebung mit dem du klarkommst, oder?
Gruß,
Peter
Ja und nein. Wir kennen nicht euren Bedarf, wir kennen nicht eure Fähigkeiten usw. Ob dies für euch das richtige ist könnt nur ihr entscheiden. Aber es kann VPN (und noch vieles mehr) und es funktioniert.
Wenn ich das "saubere" Szenario anwenden möchte, dann werde ich dennoch die EasyBox ersetzen müssen
Klar, mit einer EasyBox gibt es eben keine saubere Lösung habe keine Option gefunden diese nur als Router zu nutzen.
Bei manchen SOLL es gehen, bei anderen geht es und bei anderen geht es nicht ergibt es Sinn Telefon und Internet direkt zu trennen oder kann das ruhig auf einer Leitung bleiben
Auch hier, wir kennen euren Bedarf nicht. Und mit Infos wie "mein bekannter hat eine Firma" können wir dir auch nicht helfen deine Antworten zu finden.Ist es z.B. eine Apotheke dann ist eine telefonische Erreichbarkeit auch ohne Internet irgendwie Pflicht. Dem Amtsapotheker gefällt es ganz und gar nicht wenn dort kein Telefon mehr funktioniert. Ebenso akzeptiert der auch kein "Wir haben heute geschlossen weil unsere EDV nicht geht". Daher wird dort fasst immer ISDN und seperates Internet gefahren. Auch ISDN kann ausfallen, aber doch wirklich selten und bei Business Anschlüßen der Telekom ist doch recht zügig alles wieder OK. Internet kann schon öfter ausfallen (und tut es auch) aber dann geht eben der Grosshandel nicht (kann aber immer per Telefon angerufen werden) oder eben das VPN zu anderen Apotheken geht halt nicht.
Ist es ein Schuhhandel, dann ist es vollkommen wurscht ob Telefonie noch geht wenn Internet einen Rülpser hat und umgekehrt.
Ist es ein Börsenmakler dann ist er Pleite wenn kein Komminikation mehr geht.
Welchen Stellenwert hat also Telefonie für deinen bekannten der eine Firma betreibt?
VOIP nur Intern oder VOIP nur Extern oder VOIP Intern UND Extern usw? ISDN? Anolog? Anlagenanschluß mit Rufnummernblock? Zusammengewürfelte Rufnummern? Will nur noch mi Mobiltelefone arbeiten (und auch die Kohle dafür jeden Monat locker machen) oder was? Auch mischen der Techniken ist möglich und je nach Bedarf auch angeraten.
Warum einen grünen Wassermalkasten kaufen wenn ich nur mit Ölfarben male aber niemals Aquarelle?
und evtl den Hinweis, ob ich dafür eine FritzBox einsetzen kann
Kann: ja - weil die eben auch VPN kann und es geht. Musst? Kannst nur du entscheiden. Wir kennen nicht den Bedarf und was dort gemacht bzw. was nicht gemacht wird bzw. was sich hinter ein "einen benkannten der eine Firma hat" verbirgt. Könnte ja ein NSA Außenposten seinwas anderes nehmen sollte.
Ich selbst bin kein Freund von Frittenschleudern in Firmenumfeld und versuche die auch grundsätzlich dort zu vermeiden. Geht nicht immer (leider). Und wenn möglich wird dann eine Sophos UTM (Hardware, Software oder VM) genommen weil heutzutage eben doch mehr benötigt wird als nur eine NAT Firewall welche eben nicht in den Datenströmen nach unerwünschtes suchen kann. Ein Firmenumfeld ist eben kein Privatumfeld. Mit Firmen soll Geld verdient werden. Und die EDV ist dort nur noch ein Werkzeug. Und Internet und Telefonie dient dort nur dazu damit irgendeiner dort seinen Job machen kann. Ein Autoschrauber kann auch nicht seinen Job machen wenn sein Werkzeug kaputt ist. Und nur weil SnapOn auf die Werkzeuge steht heisst genausowenig wie wenn ein fähige Schrauber nur Müll als Werkzeug bekommt. Und ob dort eine Frittenkiste reicht oder nicht ist nicht eine Frage des Anschaffungspreises.Als Entwickler nutzt du doch sicherleich eine an deine Fähigkeiten und Aufgaben und können angepassten Entwicklungsumgebung mit dem du klarkommst, oder?
Gruß,
Peter
Hi LandorCaeyran,
für Dein Problem hast Du ja bereits einige Lösungsvorschläge und Tipps erhalten.
Ohne Änderungen an Deiner Hardware, wird das wohl aber nicht viel bringen,
zumindest wird das keine saubere Sache.
Ist letztlich immer eine Frage des Geldes, was man zum Einsatz bringt.
Ob Du dann L2TP/IPsec verwendest oder Dich für OpenVPN entscheidest, ist Ansichtssache,
funktionieren und sicher genug ist beides.
Einfachste Lösung wäre meiner Ansicht nach, ein Router hinter der EasyBox, der einen OpenVPN-Server
an Bord hat.
Auf Deinem privaten Windows8.1 Client, dann der OpenVPN-Client. Hier brauchst Du an Deiner Fritte
nichts zu ändern.
Für einen Zugriff auf das Netz Deines Bekannten, sollte das reichen.
Ein ALIX wie hier von Dir schon erwähnt...
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
...ein Router mit DD-WRT oder ein Router-OS ist machbar.
Zumindest ist das die Preiswertere Alternative zur teuren VPN-Router/Firewall.
Ob Du die EasyBox dann nur als Modem betreiben kannst, wird wohl auch von Deinem Provider und
dessen Anschluß abhängen, der nachfolgende Router ist für die Einwahldaten zuständig
und macht VPN und das Routing im Netz.
Gruß orcape
für Dein Problem hast Du ja bereits einige Lösungsvorschläge und Tipps erhalten.
Ohne Änderungen an Deiner Hardware, wird das wohl aber nicht viel bringen,
zumindest wird das keine saubere Sache.
Ist letztlich immer eine Frage des Geldes, was man zum Einsatz bringt.
Ob Du dann L2TP/IPsec verwendest oder Dich für OpenVPN entscheidest, ist Ansichtssache,
funktionieren und sicher genug ist beides.
Einfachste Lösung wäre meiner Ansicht nach, ein Router hinter der EasyBox, der einen OpenVPN-Server
an Bord hat.
Auf Deinem privaten Windows8.1 Client, dann der OpenVPN-Client. Hier brauchst Du an Deiner Fritte
nichts zu ändern.
Für einen Zugriff auf das Netz Deines Bekannten, sollte das reichen.
Ein ALIX wie hier von Dir schon erwähnt...
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
...ein Router mit DD-WRT oder ein Router-OS ist machbar.
Zumindest ist das die Preiswertere Alternative zur teuren VPN-Router/Firewall.
Ob Du die EasyBox dann nur als Modem betreiben kannst, wird wohl auch von Deinem Provider und
dessen Anschluß abhängen, der nachfolgende Router ist für die Einwahldaten zuständig
und macht VPN und das Routing im Netz.
Gruß orcape
