markowitsch
Goto Top

VPN Tunnel - Client bekommt falsche IP Adresse

Hallo liebe Netzwerker,

ich habe einen Kunden der am Eingang zum Firmennetz eine Zyxel Zywall USG20 stehen hat.
Diese hat eine statische öffentliche IP Adresse, eine 192.168.100.254 LAN Adresse und soweit funktioniert die Firewall einwandfrei.
Nun habe ich auf einen Windows 10 Client den Zyxel VPN Client installiert um einen VPN Tunnel herzustellen.

Client Version : ZyWALL IPSec VPN Client_3.6.204.61.4

Dabei habe ich mich an folgende Anleitung gehalten :

https://www.zyxel.ch/de/support/download/58550_1

Nun, der VPN Tunnel öffnet sich auf anhieb, allerdings bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.

Ich habe jetzt bereits vieles Versucht, komme aber nicht auf den Fehler.
Kann mir von Euch bitte jemand helfen, den VPN herzustellen?

Vielen Dank

Marko

Content-Key: 305217

Url: https://administrator.de/contentid/305217

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: michi1983
michi1983 23.05.2016 um 16:37:36 Uhr
Goto Top
Hallo,

Zitat von @Markowitsch:
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.
Warum sollte er das? Das ist netzwerktechnisch eher suboptimal.
Das passt schon so wie es ist.

Gruß
Mitglied: Markowitsch
Markowitsch 23.05.2016 um 17:05:22 Uhr
Goto Top
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Suboptimal ist es wie es jetzt ist.
Mitglied: michi1983
michi1983 23.05.2016 um 17:13:19 Uhr
Goto Top
Zitat von @Markowitsch:
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Mit Firewall Regeln?

Suboptimal ist es wie es jetzt ist.
Na jeder wie er es gern hat.

Gruß
Mitglied: Markowitsch
Markowitsch 23.05.2016 um 17:17:34 Uhr
Goto Top
Lieber Michi,

bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.

Vielen Dank
Mitglied: 129413
129413 23.05.2016 aktualisiert um 17:27:55 Uhr
Goto Top
Zitat von @Markowitsch:
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Durch den Zyxel-Client, der weiß welches Subnetz sich am anderen Ende des Tunnels befindet, und dieser fügt eine entsprechend Route für dieses Remote-Netz am Client hinzu.

Welche Subnets dem Client mitgeteilt werden kann man auch am VPN-Responder definieren.

@michi1983 hat absolut recht, die VPN Clients sollte man möglichst immer in ein separates Subnetz packen! Das hat verschiedene gute Gründe auch performance technisch. Stichwort: Broadcast-Traffic.

Gruß skybird
Mitglied: michi1983
michi1983 23.05.2016 um 17:27:08 Uhr
Goto Top
Zitat von @Markowitsch:

Lieber Michi,

bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.

Vielen Dank
Nix zu danken, werde deine Zeit nicht weiter verschwenden face-smile
Mitglied: 129413
129413 23.05.2016 aktualisiert um 17:29:53 Uhr
Goto Top
Zitat von @michi1983:
Vielen Dank
Nix zu danken, werde deine Zeit nicht weiter verschwenden face-smile
Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser face-wink. Unbelehrbar bleibt meist unbelehrbar.
Mitglied: michi1983
michi1983 23.05.2016 um 17:34:55 Uhr
Goto Top
Zitat von @129413:
Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser face-wink. Unbelehrbar bleibt meist unbelehrbar.
Aus dem Alter bin ich raus, dass ich mir wegen sowas Gedanken mach face-wink
Auf Seite 6 seines verlinkten Tutorials steht übrigens die Lösung, aber was weiß ich schon face-smile
Mitglied: Markowitsch
Markowitsch 23.05.2016 um 17:53:13 Uhr
Goto Top
Ich entschuldige mich für meine nicht sehr nette Ausdrucksweise von vorhin Michi.
Es ist halt schwirig wenn man schon so viel Zeit investiert, dann ein Forum fragt und eigentlich keine richtige Antwort bekommt.
Passiert hier leider immer wieder - aber trotzdem ist es von mir auch keine nette Art mich mitzuteilen.
Hoffe Du nimmst meine Entschuldigung an.

Zum Problem dass ich habe - warum wird mir die 10.10.10.10 Adresse an den Client vergeben?
Wie schaffe ich es, dass der Client gleich die 192.168.100.x Adresse zugewiesen bekommt?

Seite 6 vom Tutorial hatte ich versucht, allerding habe ich eine neuere Firmware auf meine Zywall und da schaut nicht jede Konfig. genau so aus wie im Tutorial.

Danke
Mitglied: michi1983
michi1983 23.05.2016 um 18:15:15 Uhr
Goto Top
Ich bin nicht nachtragend, also Schwamm drüber.

Aber ich hab dir in meinem 1. Kommentar schon die Antwort gegeben.

Es ist vollkommen üblich, dass VPN Clients in einem anderen Netz untergebracht werden als das produktiv LAN. Das passt also schon, dass du eine 10.10.10.0/24 Adresse erhältst .

Auf der Zyxel USG musst du jetzt nur noch die passenden Firewall Regeln/Policies anlegen, damit das VPN Netz oder eben nur bestimmte VPN Clients Zugriff auf entweder das komplette LAN oder eben nur bestimmte IPs des LANs erhalten.

Gruß
Mitglied: ArnoNymous
ArnoNymous 23.05.2016 um 18:21:30 Uhr
Goto Top
Michi hat recht. Kannst ihm glauben face-smile
Mitglied: aqui
aqui 23.05.2016 aktualisiert um 18:57:01 Uhr
Goto Top
bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Das ist bei einem natove IPsec VPN Client in der Tat richtig, denn die werden immer geroutet.
Du machst ja kein L2TP wo ein Bridging Szenario verwendet wird. Kollege Michi hat also Recht hier.
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Na ja Routing eben... face-wink Sieh dir die Routing Tabelle der Zyxel Gurke an, dann weisst du es !
Der Zyxel Client kann vermutlich kein Split Tunneling und redirected das Default Gateway in den Tunnel bei aktivem Client.
Abgesehen davon...ist es ja auch letztlich völlig Egal welche Client IP der VPN Client hat solange du deine Endgeräte erreichen kannst.
Ansonsten musst du auf L2TP wechseln als VPN Protokoll.
Mitglied: Markowitsch
Markowitsch 23.05.2016 aktualisiert um 19:58:13 Uhr
Goto Top
OK, danke erstmal für die Hilfe.
Jetzt ist es aber so, dass nicht nur der Client auf den Server im Firmennetzwerk zugreifen soll, sonder auch umgekehrt.
Lasst mich das erklären :

Der Client befindet sich in der Aussenstelle des Betriebes und dient als Registrierkasse.
Im Firmennetzwerk intern funktioniert das folgendermasen :

Es wird eine Rechnung im Programm das am Server läuft erstellt.
Dannach sendet der Server den Druckauftrag direkt zum Kassencomputer, an welchem der Bondrucker hängt - der Bon kommt raus.

Jetzt steht der Client extern, trotzdem muss der Auftrag vom Server an den Client gesendet werden können.
Meine Vermutung ist nun, wenn der Client per VPN am Netzwerk angebunden ist und eine interne IP Adresse im Bereich 192.168.100.x bekommt, kann der Client den Server direkt anpingen, aber auch der Server müsste den Client per Ping erreichen - stimmt das so oder bin ich da sowieso auf den Holzweg?

Ich habe mal vor Jahren mit der Zywall eine VPN Verbindung hergestellt und da hat der Client gleich die echte IP Adresse bekommen.

Ich bin erst am testen - wenns nicht funktioniert muss ich mir was anderes überlegen.
Mitglied: 129413
129413 23.05.2016 aktualisiert um 20:11:31 Uhr
Goto Top
Auch wenn der VPN-Client eine Adresse aus einem anderen Subnetz hat, kann ihn dein Server problemlos erreichen wenn er als DefaultGW den Router eingetragen hat, der Router kennt dann ja seinerseits bereits das 10.10.10.x Netz und kann die Pakete korrekt an den VPN-Client routen. Bei Windows -Clients sollte man nur beachten das die Firewall ICMP und SMB Pakete per Default aus anderen Subnetzen blockt, aber das lässt sich sehr einfach in der Client bzw. Serverfirewall freischalten!

Ein Layer2-VPN bei dem der VPN-Client mit im Netz des Servers hängt ist Performance-Technisch immer suboptimal, da dann auch Broadcasttraffic die VPN-Verbindung unnötig belastet.
Mitglied: Markowitsch
Markowitsch 24.05.2016 um 10:24:53 Uhr
Goto Top
Hallo,

nach einigen Versuchen funktioniert nun der VPN Tunnel.
Ja, der PC bekommt die IP Adresse 10.10.10.10, kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Wie schon Michi sagte steht auf Seite 6 die Lösung - man muss bei Related Settings die Zone auf das jeweilige LAN ändern - in meinem Fall auf LAN1.

Dann Funktionierts auch mit VPN.

Danke nochmals für Eure Hilfe face-smile
Mitglied: aqui
aqui 25.05.2016 um 09:56:40 Uhr
Goto Top
kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Das ist das tägliche Wunder von IP Routing face-wink
Glücklicherweise gibts ja noch andere Lösungen mit weniger Fussfallen....
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a