Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN über 2 VPN-Router - Zugriffsproblem

Frage Netzwerke

Mitglied: FabianWill

FabianWill (Level 1) - Jetzt verbinden

01.11.2008, aktualisiert 03.11.2008, 5135 Aufrufe, 9 Kommentare

Hallo allerseits.

Ich bin neu hier, zumindest schreibenderweise, weil ich nach zwei Tagen Recherche mit Google und diesem Archiv hier, immernoch keine Lösung habe.

Ich möchte zwei Netzwerke über einen VPN Tunnel verbinden.
Subnetz 1 hat den IP-Bereich 192.158.202.x, Subnetz 2 den Bereich 192.168.203.x. 2 Speedport 400p VPN-Router stehen zur Verfügung.
Subnetz 2 hat eine feste DSL-IP, das andere wird über DynDNS gefunden.

Ich habe erfolgreich ein LAN2LAN L2TP/IPSec-Tunnel erstellen können. Subnetz 1 wählt sich in Subnetz 2 ein und erhält eine IP für Subnetz 2.

Von Subnetz 1 aus kann ich problemlos den Router im Subnetz 2 anpingen und auch administrieren.

Das wars aber auch schon. Alle anderen Rechner und Drucker in Subnetz 2 sind von Subnetz 1 aus nicht pingbar. Ein IP-Scanner findet nur der Router und die IP des eingewählten Subnetz 1.

Firewalls sind auf beiden Routern ausgeschaltet. Weitere Router befinden sich in beiden Netzwerken nicht.

Was hab ich übersehen?

Vielen Dank für Ideen und einen schönen Samstagabend wünscht

Fabian Will
Mitglied: Tobbel
01.11.2008 um 22:17 Uhr
Hi, also ich glaube das sollte schnell gelöst sein.
Du musst bei der Routing und RAS Konsole in den Einstellungen von deinem VPN das "IP-Routing" aktivieren und am besten auch noch die "Broadcast auflösung" Dann solltest du nicht nur den Router sondern auch das Netz sehen.

Gruß Tobi
Bitte warten ..
Mitglied: FabianWill
01.11.2008 um 22:47 Uhr
Hallo Tobi,

vielen Dank für die schnelle Antwort.
Ich dachte mir schon, dass es an so etwas ähnlichem liegt.
Leider liegt das Problem zwischen meinen Ohren.
Ich hab nochmal im Netz gesucht und in der Bedienungsanleitung des Speedports geblättert. Aber ich finde nirgendwo eine Einstellung zum IP-Routing und Broadcast-Auflösung.
Das, was mir am ehesten im Konfigurationsmenü so aussieht, sind "Statische Routen". Ist es das?

hier mal ein Link zur BDA des Routers (http://www.t-home.de/dlp/eki/downloads/Speedport/speedport_400p_bedanl_ ... ), vielleicht hast du ja kurz Zeit mal reinzuschauen, wo der Knopf ist, an dem ich drehen muss.

Vielen Dank für die Hilfe.

Fabian Will
Bitte warten ..
Mitglied: Tobbel
02.11.2008 um 09:50 Uhr
Ok, da du das VPN nur mit dem Router direkt machst und nicht mit deinen PC's was im übrigen auch geht, ist es ein bisschen schwerer. Ich hab mir auch mal kurz die Anleitung angeschaut und hab mir noch folgende Fragen gestellt.

- Sind die Router so konfiguriert das sie IP dynamisch vergeben, oder ist NAT aktiviert?

Könnte es vielleicht einfach sein die PC's keine IP's von dem Router bekommen oder sollen sie das garnicht? Falls nicht musst du wirklich mal deine statischen Routen überprüfen. Ich glaube dafür gab es einen extra "Reiter" für. Du musst aber auch die Pakete angeben die durchgehen sollen.

Viel erfolg beim suchen.
Bitte warten ..
Mitglied: aqui
02.11.2008 um 12:25 Uhr
Umgekehrt wird ein Schuh draus: Mit den PCs VPNs zu bauen ist meist schwieriger da du damit immer die Port Forwarding Problematik am Hals hast was bei VPN Routern komplett entfällt !
Von den Energiekosten einmal ganz abgesehen die eine PC basierte VPN Lösung verbrät...

Der Aufbau mit VPN Routern ist also in jedem Falle die technisch bessere Lösung !

Zurück zum eigentlichen Problem:
Was sagt denn ein traceroute oder pathping in beide netze bzw. wo bleibt das hängen ??
Da ist dann meist auch das Problem !

Kannst du alle PCs lokal pingen. Ggf. wird dein ICMP Protokoll geblockt und du musst das noch freigeben.
Du musst ganz sicherstellen, das deine FW wirklich aus ist, denn da du nun von einem Fremdnetz (andere IP) kommst blockt deine FW solche Zugriffe natürlich !
Oder du trägst eben das remote Netz in die Ausnahme ein !
Bitte warten ..
Mitglied: FabianWill
02.11.2008 um 17:36 Uhr
Hallo Aqui,

ich dachte ehrlich gesagt auch, mit 2 VPN-Routern wäre die sauberere Lösung.

Noch als Ergänzung, in beiden Subnetzen befinden sich hauptsächlich fest vergebene IPs ein paar Laptops haben aber auch dynamisch zugewiesene. Jeder Router führt auch alle an ihn angeschlossene Hosts in der Liste der vorbundenen Hosts.

Lokal kann ich alle pingen.
Die Firewall ist sicher aus.
Ich hab mal Tracerouting-Programm geschaut. Trace ich den entfernten Router im Subnetz 2 erhalte ich zwei Hops. Der erste ist der lokale VPN-Router, der zweite der am anderen Ende des Tunnels. Soweit so schön. Trace ich einen anderen Host im Subnetz 2 (ein Layer-3 Switch, der ist definitiv online im Subnetz 2 und hängt auch gleich hinter dem VPN-Router, bekomme ich wieder 2 Hops. Der erste ist der lokale VPN-Router und als zweiter Eintrag folgt 127.0.0.39. Dannach ist Ende. Scheinbar irgendeine localhost-IP des Routers.
Allerdings fraglich warum?

Was ist das denn???

Ich habe auch wenig mit statischen Routen herumgespielt, allerdings bekomme ich, wenn ich zum Bespiel eine statische Route im Subnetz 1 einrichte, das alle IPs aus Subnetz 2 an den Router im Subnetz 2 weitergeleitet werden sollen, die Fehlermeldung, dass diese Route bereits existiert (Ich weiß allerdings auch nicht, ob ich das so richtig gemacht habe).

Immerhin bin ich bei der fortwährenden Fehlersuch im Internet darauf gestossen, dass der Speedport 400p unter der Haube ein Billion BIPAC 7402V2 ist. Das hilft mir aber auch nix, die Bedienungsanleitung ist dieselbe... keine neuen Fakten.

Vielen Dank für jeglich erdenklich Hilfe
Fabian Will
Bitte warten ..
Mitglied: emporio-divine
03.11.2008 um 11:27 Uhr
Hallo Fabian,

kontrolliere doch nochmal deine Einstellungen.


Lokales Netzwerk Subnet1: 192.158.202.0 Subnet2: 192.168.203.0
Remote Netzwerk Subnet1: 192.168.203.0 Subnet1: 192.158.202.0
Sind beide 24er Netze?

Dein Problem ist nach wie vor dass du clients hinter router2 (subnet2) nicht erreichen kannst, richtig?

Geht es denn umgekehrt? Kannst du von Subnet2 die Clients in Subnet1 erreichen?
Bitte warten ..
Mitglied: aqui
03.11.2008 um 12:53 Uhr
...ein Layer-3 Switch, der ist definitiv online im Subnetz 2..

Aha...da kommen wir der Sache näher. Das hast du uns ja verschwiegen !!!
Die Frage ist jetzt WO haben diese Clients im Subnetz 2 ihre Gateways eingetragen ??

Etwa auf den Layer 3 (Routing) Switch ???
Dann musst du HIER auf dem Switch natürlich noch eine statische Route definieren mit dem Next Hop Gateway auf den VPN Router, denn der Switch wird vermutlich deine VPN Netze nicht kennen....woher auch ?!
Generell stellt sich die Frage wenn du im Subnetz 2 einen Layer 3 Switch hast: Wer routet hier ?? Vermutlich ist es nämlich der Switch, was ja auch sinnvoll ist. Dem musst du dann nur deine VPN Netze bekannt geben !

Wenn ein tracert oder patchping am 2ten Router stoppt gehts von da nicht mehr weiter bzw. der kennt den Weg nicht mehr...

Wenn diese Clients noch in anderen VLANs am L3 Switch hängen dann musst du an diesem VPN Router natürlich auch diese IP Netze mit einer statischen Route und Next Hop auf den Switch einstellen....

Du hast definitiv ein Routing Problem durch eine falsche Konfug.
Wichtig ist was die Clients in Subnetz 2 als Gateway eingetragen haben... bzw. wer da routet.
Bitte warten ..
Mitglied: FabianWill
03.11.2008 um 20:55 Uhr
Hallo allerseits,

also manchmal ist man ja so dämlich, dass man sich selbst schlagen könnte. Ich hab heute morgen dann im Hauptbüro nochmals alles kontrolliert.
Der Switch war tatsächlich das Problem, bzw. ich eigentlich natürlich. Der ist zwar nicht bei den relevanten Clients als Gateway eingetragen, aber dem Switch habe ich einfac ein falsches Gateway gegeben. Dank Tippfehler ein nicht Existentes.
Ich frage mich nur, warum das im Subnetz 2 nicht früher aufgefallen ist. Es funktionierte lokal trotzdem alles.
Ich hab mich ja vielleicht geärgert...
Jetzt ist alles so, wie es sein sollte. Alle relevanten Clients erreichbar, VNC läuft.

Eine abschliessende Frage noch zum Tunneling. Die Router haben drei Tunnel-Varianten PPTP, L2TP und IPSec. PPTP scheidet wegen der fehlenden Verschlüsselung aus.
Momentan hab ich sowohl einen IPSec-Tunnel und einen L2TP-Tunnel mit zusätzlicher IPSec-Verschlüsselung eingerichtet, die beide parallel laufen. Ich dachte mir, wenn einer ausfällt, läuft wenigstens einer. Ist das so sinnvoll, oder stören die sich eher?

Hoffentlich erbarmt sich trotz meines Anfängerfehlers noch jemand zur Antwort

Vielen, vielen Dank für die Lösungsvorschläge. Aqui hats ja von der Ferne fast schneller gelöst als ich vor Ort. Wobei ich auch entschuldigend hinzufügen muss, dass ich erst heute wieder ins Hauptbüro konnte um die Seite des Netzes zu kontrollieren...

Grüße
Fabian
Bitte warten ..
Mitglied: FabianWill
03.11.2008 um 21:28 Uhr
Nachtrag.

Also irgendwo ist noch der Wurm drin. Nicht alle Clients sind pingbar. Einer ist sogar uber tcp80 erreichbar, aber nicht pingbar. Die Pins bleiben wieder bei 127.0.0.39 stecken...
Das ist recht wahllos verteilt. Einige Clients erreiche ich auch hinter dem Switch, andere nicht. Auch ein Drucker der direkt im Router steckt ist nicht pingbar, der der daneben drinsteckt ist pingbar und auch über tcp80 zu erreichen....
rätselhaft... aber wenigstens das Prinzip geht, können ja nur noch Konfigfehler sein.... wobei heut lokal alle vom Client am Router pingbar waren...

Grüße
Fabian
Bitte warten ..
Ähnliche Inhalte
Voice over IP
VPN Router hinter VoIP Router
Frage von baxxter333Voice over IP1 Kommentar

Hallo, ich habe das Problem, dass ich ein Firmennetzwerk mit über 30 per VPN angebundenen Außenstellen betreibe, und die ...

Router & Routing
2 Router , 2x Internet , ein Netzwerk und VPN
gelöst Frage von JingkoRouter & Routing8 Kommentare

Hallo, habe folgendes Problem: 2x Internet (1x ADSL, 1 xSDSL), 2x MonoWall als Firewall/Router, VPN über IPSec über beide ...

Debian
Raspberry Pi VPN Router
Frage von muxtuxDebian3 Kommentare

Hallo ich habe einen Raspberry Pi hinter meiner Fritz Box als VPN Gateway. Das ganze funktioniert ohne Probleme. Das ...

Switche und Hubs
VPN Router (client) VPN Tunnel Bauen
Frage von fundave3Switche und Hubs26 Kommentare

Hallo zusammen, ich habe mir ma wieder ein Projekt ageschafft. Da ich einen Server gemietet habe und nur ungern ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 10 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 14 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 14 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 17 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...