Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN (PPTP) Zugriff aufs LAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: SQLException

SQLException (Level 1) - Jetzt verbinden

07.04.2009, aktualisiert 22:28 Uhr, 8676 Aufrufe, 8 Kommentare

Roadwarrior (VPN) und Zugriff aufs LAN

Guten Tag!

Ich habe in einer Filiale ein VPN eingerichtet mit einem D-Link DI-804HV. Davor sitzt noch ein Linksys AG241 (DSL-Router mit integr. Modem).

www -> Linksys Router (öff. IP auf 192.168.1.1) -> D-Link VPN Router (192.168.1.2 auf 192.168.0.1, das Außendienstler sich im 0er Netz befinden (im 1er befinden sich noch andere Geräte wo diese nicht dran sollen) -> weitere PCs in unserem Netz (z. B. 192.168.0.10)

Wenn ich mich nun per VPN einwähle von hier (Zentrale) aus geht das auch, und ich bekomme die erste freie IP im 0er Netz zugewiesen. Den VPN Router kann ich mit seiner 192.168.0.1 auch anpingen, wobei das Web-Interface nicht geht. Ein Roadwarrior, der sich über VPN nun einwählt (so wie ich das gerade teste über die Netzwerkumgebung -> neue Verbindung erstellen) kommt also ins 0er Netz, aber nicht auf das Webinterface des D-Links (evtl. gewolltes Sicherheitsfeature? Egal erstmal!).

Was mir Bauchschmerzen bereitet: Jemand wählt sich ins VPN ein, bekommt beispielsweise die 192.168.0.5. Der D-Link VPN Router hat einen integrierten 4-Port Switch. Dort hängt beispielsweise ein PC mit der 192.168.0.10. Diese beiden Geräte befinden sich also beide im gleichen Netzwerk (192.168.0.x), der VPN-User von außen (0.5), sowie der Mitarbeiter vor Ort mit seinem PC, direkt am Switch des D-Links (0.10). Trotzdem finden sich die beiden nicht (ping geht nicht etc.)!

Warum ist das so? Macht im Moment noch keinen Sinn, wenn der Außendienstmitarbeiter sich zwar sind VPN wählen kann, aber dort dann an keinerlei PCs und Server gelangt. Es wäre fast so, als hätte das D-Link VPN Gerät intern zwei 192.168.0.x Netzte aufgebaut, eines "vor Ort" für die Geräte, die direkt am D-Link hängen, und ein weiteres 0er Netz für die Leute, welche sich per VPN einwählen von außen.

Irgendwie müsste ich diese beiden Netze miteinander verbinden (intern, nicht noch durch einen dritten Router hoffe ich!), damit die VPN-Einwähler den Rest im 0er Netz erreicht. Anbei ein paar Screenshots von der Konfiguration von dem Gerät, Tipps sind herzlich willkommen. Nach 2 Tagen Recherche bin ich langsam mit meinem Latein am Ende.

bb45c7fa5c62bc11cf9e7e5744f64df5-54254924virtserver - Klicke auf das Bild, um es zu vergrößern

7ffeb9b433fbc4218b07ebc7d1bea049-e3766728routing - Klicke auf das Bild, um es zu vergrößern

Mit freundlichen Grüßen

Tim
Mitglied: v-m-r-de
07.04.2009 um 18:18 Uhr
Hi...
irgendwie alles sehr verwirrend.
Hättest Du ein Bild mit den Netzwerk, Clients, Router und Co.?

Würde uns allen bestimmt das Denken vereinfachen.

Danke,
Volker
Bitte warten ..
Mitglied: Kmpec1
07.04.2009 um 20:20 Uhr
Hi,

deine Routeranordung erscheint mir etwas seltsam.
Aber der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz.
Im Normalfall bekommt er ja vom Internetprovider eine IP. Ein Router ist ja eben dafür geschaffen verschiedene Netze miteinander zu verbinden.
Also z.B. das Netz 192.168.0.xxx mit dem des Ausendiestlers z.B. 83.342.23.1 zu verbinden und die Datenpackete entsprechend zu Routen.
Wenn dein VPN-Cient (Ausendienstler) eine Adresse aus dem Subnetz 192.168.0.xxx bekommt gibt es für den Router nix zu Routen, Datenpackete im gleichen Netz werden nicht geroutet.
Also kommt auch nichts an.

Die Router die wir im Einsatz haben lassen sich alle nicht über eine VPN Verbindung Administrieren (Webinterface).

Mit freundlichen Grüßen

Kmpec1
Bitte warten ..
Mitglied: SQLException
07.04.2009 um 21:59 Uhr
Hallo!

danke für die Antworten. Hier das Schaubild.

http://pic.leech.it/pic.php?id=96da3b2vpn.jpg

Kein besonderer Aufbau nehme ich an. Kmpec1, im Handbuch des D-Links steht das was du sagst ("der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz"), wobei das noch nicht in mein Hirn geht warum das so ist. Ob sein PC jetzt schon im 192.168.0.x Netz ist sollte doch keine Rolle spielen. Für den Login in das VPN erstellt er sich unter Systemsteuerung -> Netzwerkverbinungen -> "Neue Verbindung erstellen" eine zweite LAN-Verbindung (bzw. VPN-Verbindung) und ob diese dann per DHCP von meinem D-Link VPN Router auch eine IP 192.168.0.x Netz bekommt sollte doch nichts ausmachen.

Somit hätte der Außenstehende unter "Netzwerkverbindungen" zwei Verbindungen, beide im Netz 192.168.0.x (nämlich 192.168.0.123 lokal, und 192.168.0.2 durch das VPN). Genauso gut könnte ich auch zwei Netzwerkkarten in einen Rechner stecken und beide in das 0.x Netz stellen, das wäre doch das gleiche?

Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.

Zusammengefasst: der Außendienstler soll per VPN an den Server 192.168.0.11 und 192.168.0.12 kommen. Einloggen ins VPN geht, Ping von 192.168.0.2 (PC Außendienst) an 192.168.0.1 (VPN Router) funktioniert, Ping an 0.11 und 0.12 aber nicht.
Bitte warten ..
Mitglied: v-m-r-de
07.04.2009 um 23:23 Uhr
Hallo,

mal ein paar Fragen zum VPN-Router.
- Welches VPN-Verfahren nutzt Du bei ihm?
- Hast Du IKE Einstellungen gemacht? Wenn ja welche? Insbesondere bei Lokales und entferntes Subnetz.

Ich vermute mal Du nutzt L2TP.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:

Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.

Gruß,
Volker

PS: Danke fürs Bild... jetzt ist zumindest der Aufbau klar zu verstehen.
Bitte warten ..
Mitglied: SQLException
08.04.2009 um 01:08 Uhr
Hallo,

- Bei ihm? Wem? PPTP. Beidseitig.
- IKE ist laut Recherche Teil von IPSec, und IPSec wird bei L2TP verwendet.

>welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
>Denn laut Handbuch:

>Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.

Der L2TP-Server ist deaktiviert. Das Subnetz des D-Link VPN Router (VPN-Gateway/PPTP-Server, ist vermutlich das gleiche?) ist die 192.168.1.9 (siehe Bild), im VPN ist er unter der 192.168.0.1 zu erreichen.

Den L2TP-Server könnte man auch gar nicht ins gleiche Subnetz stellen wie den PPTP-Server, das lässt die Eingabemaske schon gar nicht zu.
Bitte warten ..
Mitglied: v-m-r-de
08.04.2009 um 01:17 Uhr
Hi,

Du nutzt also PPTP.
Dann heitß es im Handbuch auf Seite 56:

Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.

Was für eine Adresse hast Du hier gewählt?

Bei IKE ist also ncihts konfiguriert?

Grüße,
Volker
Bitte warten ..
Mitglied: Kmpec1
08.04.2009 um 12:09 Uhr
Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.

Genau hier liegt dein Denkfehler ein Router verbindet Netze z.B. das Netz 192.168.0.xxx mit dem Netz 192.168.3.xxx.
Er schickt also deinen Ping nicht weiter weil der Ping aus dem Netz "0"ins gleiche Netz "0" geht also gibt es für den Router nichts zu tun.
Stelle den Router so ein das der Ausendienstler eine IP aus z.B. 192.168.3.x bekommt.
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz 192.168.0.x
Allerdings musst du beachten das du die PC´s mit der IP Adresse und nicht mit dem Namen ansprechen musst also "Ping 192.168.0.xxx" nicht "Ping MEINRECHNER".
Wenn der Ping dann Funktioniert ist deine VPN Verbindung I.O.
Aber die PC´s hinter dem Router sind nicht in der Netzwerkumgebung zu sehen, Sie können aber über die IP-Adresse angesprochen werden, einfach im Explorer oben die IP-Adresse eingeben.

Mit freundlichen Grüßen

Kmpec1
Bitte warten ..
Mitglied: SQLException
10.04.2009 um 01:20 Uhr
Zitat von Kmpec1:
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz
192.168.0.x

Das war der richtige Denkanstoss.

http://pic.leech.it/i/8aa89/c492d629vpn.jpg

Die VPN-User bekommen jetzt eine IP aus einem anderen Netz, und ein "route add 192.168.0.0 mask 255.255.255.0 192.168.3.2" (nicht 3.1...!?) nach der VPN-Einwahl macht jetzt den Rest.

Vielen Dank!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Raspberry PI als VPN Client - Zugriff auf VPN LAN (8)

Frage von PeterH96 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Fritzbox 7490 - WLAN Geräte zugriff auf LAN Kamera hinter SONICWALL (25)

Frage von GoriBoy zum Thema LAN, WAN, Wireless ...

Windows Server
RAS-VPN nur Zugriff auf per DHCP geleaste IPs (10)

Frage von lucarenner zum Thema Windows Server ...

Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN (1)

Frage von macjolo zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...