Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN über 2 VPN-Router - Zugriffsproblem

Frage Netzwerke

Mitglied: FabianWill

FabianWill (Level 1) - Jetzt verbinden

01.11.2008, aktualisiert 03.11.2008, 5069 Aufrufe, 9 Kommentare

Hallo allerseits.

Ich bin neu hier, zumindest schreibenderweise, weil ich nach zwei Tagen Recherche mit Google und diesem Archiv hier, immernoch keine Lösung habe.

Ich möchte zwei Netzwerke über einen VPN Tunnel verbinden.
Subnetz 1 hat den IP-Bereich 192.158.202.x, Subnetz 2 den Bereich 192.168.203.x. 2 Speedport 400p VPN-Router stehen zur Verfügung.
Subnetz 2 hat eine feste DSL-IP, das andere wird über DynDNS gefunden.

Ich habe erfolgreich ein LAN2LAN L2TP/IPSec-Tunnel erstellen können. Subnetz 1 wählt sich in Subnetz 2 ein und erhält eine IP für Subnetz 2.

Von Subnetz 1 aus kann ich problemlos den Router im Subnetz 2 anpingen und auch administrieren.

Das wars aber auch schon. Alle anderen Rechner und Drucker in Subnetz 2 sind von Subnetz 1 aus nicht pingbar. Ein IP-Scanner findet nur der Router und die IP des eingewählten Subnetz 1.

Firewalls sind auf beiden Routern ausgeschaltet. Weitere Router befinden sich in beiden Netzwerken nicht.

Was hab ich übersehen?

Vielen Dank für Ideen und einen schönen Samstagabend wünscht

Fabian Will
Mitglied: Tobbel
01.11.2008 um 22:17 Uhr
Hi, also ich glaube das sollte schnell gelöst sein.
Du musst bei der Routing und RAS Konsole in den Einstellungen von deinem VPN das "IP-Routing" aktivieren und am besten auch noch die "Broadcast auflösung" Dann solltest du nicht nur den Router sondern auch das Netz sehen.

Gruß Tobi
Bitte warten ..
Mitglied: FabianWill
01.11.2008 um 22:47 Uhr
Hallo Tobi,

vielen Dank für die schnelle Antwort.
Ich dachte mir schon, dass es an so etwas ähnlichem liegt.
Leider liegt das Problem zwischen meinen Ohren.
Ich hab nochmal im Netz gesucht und in der Bedienungsanleitung des Speedports geblättert. Aber ich finde nirgendwo eine Einstellung zum IP-Routing und Broadcast-Auflösung.
Das, was mir am ehesten im Konfigurationsmenü so aussieht, sind "Statische Routen". Ist es das?

hier mal ein Link zur BDA des Routers (http://www.t-home.de/dlp/eki/downloads/Speedport/speedport_400p_bedanl_ ... ), vielleicht hast du ja kurz Zeit mal reinzuschauen, wo der Knopf ist, an dem ich drehen muss.

Vielen Dank für die Hilfe.

Fabian Will
Bitte warten ..
Mitglied: Tobbel
02.11.2008 um 09:50 Uhr
Ok, da du das VPN nur mit dem Router direkt machst und nicht mit deinen PC's was im übrigen auch geht, ist es ein bisschen schwerer. Ich hab mir auch mal kurz die Anleitung angeschaut und hab mir noch folgende Fragen gestellt.

- Sind die Router so konfiguriert das sie IP dynamisch vergeben, oder ist NAT aktiviert?

Könnte es vielleicht einfach sein die PC's keine IP's von dem Router bekommen oder sollen sie das garnicht? Falls nicht musst du wirklich mal deine statischen Routen überprüfen. Ich glaube dafür gab es einen extra "Reiter" für. Du musst aber auch die Pakete angeben die durchgehen sollen.

Viel erfolg beim suchen.
Bitte warten ..
Mitglied: aqui
02.11.2008 um 12:25 Uhr
Umgekehrt wird ein Schuh draus: Mit den PCs VPNs zu bauen ist meist schwieriger da du damit immer die Port Forwarding Problematik am Hals hast was bei VPN Routern komplett entfällt !
Von den Energiekosten einmal ganz abgesehen die eine PC basierte VPN Lösung verbrät...

Der Aufbau mit VPN Routern ist also in jedem Falle die technisch bessere Lösung !

Zurück zum eigentlichen Problem:
Was sagt denn ein traceroute oder pathping in beide netze bzw. wo bleibt das hängen ??
Da ist dann meist auch das Problem !

Kannst du alle PCs lokal pingen. Ggf. wird dein ICMP Protokoll geblockt und du musst das noch freigeben.
Du musst ganz sicherstellen, das deine FW wirklich aus ist, denn da du nun von einem Fremdnetz (andere IP) kommst blockt deine FW solche Zugriffe natürlich !
Oder du trägst eben das remote Netz in die Ausnahme ein !
Bitte warten ..
Mitglied: FabianWill
02.11.2008 um 17:36 Uhr
Hallo Aqui,

ich dachte ehrlich gesagt auch, mit 2 VPN-Routern wäre die sauberere Lösung.

Noch als Ergänzung, in beiden Subnetzen befinden sich hauptsächlich fest vergebene IPs ein paar Laptops haben aber auch dynamisch zugewiesene. Jeder Router führt auch alle an ihn angeschlossene Hosts in der Liste der vorbundenen Hosts.

Lokal kann ich alle pingen.
Die Firewall ist sicher aus.
Ich hab mal Tracerouting-Programm geschaut. Trace ich den entfernten Router im Subnetz 2 erhalte ich zwei Hops. Der erste ist der lokale VPN-Router, der zweite der am anderen Ende des Tunnels. Soweit so schön. Trace ich einen anderen Host im Subnetz 2 (ein Layer-3 Switch, der ist definitiv online im Subnetz 2 und hängt auch gleich hinter dem VPN-Router, bekomme ich wieder 2 Hops. Der erste ist der lokale VPN-Router und als zweiter Eintrag folgt 127.0.0.39. Dannach ist Ende. Scheinbar irgendeine localhost-IP des Routers.
Allerdings fraglich warum?

Was ist das denn???

Ich habe auch wenig mit statischen Routen herumgespielt, allerdings bekomme ich, wenn ich zum Bespiel eine statische Route im Subnetz 1 einrichte, das alle IPs aus Subnetz 2 an den Router im Subnetz 2 weitergeleitet werden sollen, die Fehlermeldung, dass diese Route bereits existiert (Ich weiß allerdings auch nicht, ob ich das so richtig gemacht habe).

Immerhin bin ich bei der fortwährenden Fehlersuch im Internet darauf gestossen, dass der Speedport 400p unter der Haube ein Billion BIPAC 7402V2 ist. Das hilft mir aber auch nix, die Bedienungsanleitung ist dieselbe... keine neuen Fakten.

Vielen Dank für jeglich erdenklich Hilfe
Fabian Will
Bitte warten ..
Mitglied: emporio-divine
03.11.2008 um 11:27 Uhr
Hallo Fabian,

kontrolliere doch nochmal deine Einstellungen.


Lokales Netzwerk Subnet1: 192.158.202.0 Subnet2: 192.168.203.0
Remote Netzwerk Subnet1: 192.168.203.0 Subnet1: 192.158.202.0
Sind beide 24er Netze?

Dein Problem ist nach wie vor dass du clients hinter router2 (subnet2) nicht erreichen kannst, richtig?

Geht es denn umgekehrt? Kannst du von Subnet2 die Clients in Subnet1 erreichen?
Bitte warten ..
Mitglied: aqui
03.11.2008 um 12:53 Uhr
...ein Layer-3 Switch, der ist definitiv online im Subnetz 2..

Aha...da kommen wir der Sache näher. Das hast du uns ja verschwiegen !!!
Die Frage ist jetzt WO haben diese Clients im Subnetz 2 ihre Gateways eingetragen ??

Etwa auf den Layer 3 (Routing) Switch ???
Dann musst du HIER auf dem Switch natürlich noch eine statische Route definieren mit dem Next Hop Gateway auf den VPN Router, denn der Switch wird vermutlich deine VPN Netze nicht kennen....woher auch ?!
Generell stellt sich die Frage wenn du im Subnetz 2 einen Layer 3 Switch hast: Wer routet hier ?? Vermutlich ist es nämlich der Switch, was ja auch sinnvoll ist. Dem musst du dann nur deine VPN Netze bekannt geben !

Wenn ein tracert oder patchping am 2ten Router stoppt gehts von da nicht mehr weiter bzw. der kennt den Weg nicht mehr...

Wenn diese Clients noch in anderen VLANs am L3 Switch hängen dann musst du an diesem VPN Router natürlich auch diese IP Netze mit einer statischen Route und Next Hop auf den Switch einstellen....

Du hast definitiv ein Routing Problem durch eine falsche Konfug.
Wichtig ist was die Clients in Subnetz 2 als Gateway eingetragen haben... bzw. wer da routet.
Bitte warten ..
Mitglied: FabianWill
03.11.2008 um 20:55 Uhr
Hallo allerseits,

also manchmal ist man ja so dämlich, dass man sich selbst schlagen könnte. Ich hab heute morgen dann im Hauptbüro nochmals alles kontrolliert.
Der Switch war tatsächlich das Problem, bzw. ich eigentlich natürlich. Der ist zwar nicht bei den relevanten Clients als Gateway eingetragen, aber dem Switch habe ich einfac ein falsches Gateway gegeben. Dank Tippfehler ein nicht Existentes.
Ich frage mich nur, warum das im Subnetz 2 nicht früher aufgefallen ist. Es funktionierte lokal trotzdem alles.
Ich hab mich ja vielleicht geärgert...
Jetzt ist alles so, wie es sein sollte. Alle relevanten Clients erreichbar, VNC läuft.

Eine abschliessende Frage noch zum Tunneling. Die Router haben drei Tunnel-Varianten PPTP, L2TP und IPSec. PPTP scheidet wegen der fehlenden Verschlüsselung aus.
Momentan hab ich sowohl einen IPSec-Tunnel und einen L2TP-Tunnel mit zusätzlicher IPSec-Verschlüsselung eingerichtet, die beide parallel laufen. Ich dachte mir, wenn einer ausfällt, läuft wenigstens einer. Ist das so sinnvoll, oder stören die sich eher?

Hoffentlich erbarmt sich trotz meines Anfängerfehlers noch jemand zur Antwort

Vielen, vielen Dank für die Lösungsvorschläge. Aqui hats ja von der Ferne fast schneller gelöst als ich vor Ort. Wobei ich auch entschuldigend hinzufügen muss, dass ich erst heute wieder ins Hauptbüro konnte um die Seite des Netzes zu kontrollieren...

Grüße
Fabian
Bitte warten ..
Mitglied: FabianWill
03.11.2008 um 21:28 Uhr
Nachtrag.

Also irgendwo ist noch der Wurm drin. Nicht alle Clients sind pingbar. Einer ist sogar uber tcp80 erreichbar, aber nicht pingbar. Die Pins bleiben wieder bei 127.0.0.39 stecken...
Das ist recht wahllos verteilt. Einige Clients erreiche ich auch hinter dem Switch, andere nicht. Auch ein Drucker der direkt im Router steckt ist nicht pingbar, der der daneben drinsteckt ist pingbar und auch über tcp80 zu erreichen....
rätselhaft... aber wenigstens das Prinzip geht, können ja nur noch Konfigfehler sein.... wobei heut lokal alle vom Client am Router pingbar waren...

Grüße
Fabian
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

LAN, WAN, Wireless
gelöst VPN Router Cisco oder Andere (5)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Mikrotik VPN - Router hat Zugriff, Client nicht (28)

Frage von BirdyB zum Thema Router & Routing ...

Voice over IP
VPN Router hinter VoIP Router (1)

Frage von baxxter333 zum Thema Voice over IP ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...