Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Tunnel mit verschiedene gateways

Frage Netzwerke

Mitglied: amersand

amersand (Level 1) - Jetzt verbinden

10.08.2006, aktualisiert 16.08.2006, 4629 Aufrufe, 19 Kommentare

Hallo @all

ich habe da ein problem ich möchte von zuhause mit meinem notebook und direkteinwahl ohne router (ip 192.168.1.174) über vpn in unser internes netzwerk (router Netgear FVL 328, ip 192.168.10.254) alles kein problem vpn verbindung steht kann meine router von der 192.168.10.254 seite aus administrieren.

nun das problem ich kann denn rest nicht pingen nur meinen linux server weil bei im der gateway 192.168.10.254 eingetragen ist. bei den andern brauche ich aber den gateway 192.168.10.5 für ein warenwirtschaftsprogramm das über ciscorouter und standleitung angebunden ist.

wie kann ich aber nun beide gateways von außen ansprechen bzw. welche routingtabelle muss ich im router eintragen um das zum laufen zu bringen
Mitglied: Timo20
10.08.2006 um 10:51 Uhr
Ich habe zwar keine Lösung zu deinem Problem, aber ist es sinnvoll deine richtige IP hier zu posten?

Gruß
Timo
Bitte warten ..
Mitglied: amersand
10.08.2006 um 10:54 Uhr
?? das sind meine richtigen ips zuhause habe ich den ipkreis 192.168.1.0 und in der firma 192.168.10.0 wie oben beschrieben
Bitte warten ..
Mitglied: AndreasHoster
10.08.2006 um 12:25 Uhr
Genau das war es ja, was Timo20 gemeint hat, die echten IPs sollte man nicht posten, da das einem Angreifer Informationen über Dein Netz liefert.
Und man weiß ja nie, wieviele Script-Kiddies administrator.de lesen.

Den Netzaufbau kann ich aus Deinem Posting nur halb erahnen, aber ich gehe mal davon aus, daß wir hier 3 Subnetze haben:
Dein Notebook 192.168.1.x
Deine Firma 192.168.10.x
und das Warenwirtschaftssystem ???.???.???.x
Richtig?

Und wenn Du von Gateway redest, meinst Du das Standard / Default Gateway, oder?

Ich würde jetzt vermuten wollen, daß auf dem Gateway 192.168.10.5 eine Route eingetragen werden muß, daß die IP-Bereiche des VPNs auf 192.168.10.254 geschickt werden.
Bitte warten ..
Mitglied: amersand
10.08.2006 um 13:14 Uhr
Ich habe zwar keine Lösung zu deinem
Problem, aber ist es sinnvoll deine richtige
IP hier zu posten?

Gruß
Timo

schrieb er doch

sorry aber e egal solange ich meine externe ip oder dns angebe wird es wohl für jeden schwer das zu missbrauch zudem meine e-mail adresse auch nicht zu dieser firma gehört.

aber zum thema ich kann ihn den cisco routern nichts ändern
kann ich das mit dem gateway nicht irgendwie anderst lösen????
Bitte warten ..
Mitglied: aqui
10.08.2006 um 13:22 Uhr
RFC 1918 Adressen (und dazu gehört alles was zwischen 192.168.0.0 bis .254.254 liegt) kann er doch sooft posten wie er will... Das sind private Adresse die im Internet nicht geroutet werden, kommen allso millionenmal vor auf der Welt. Wo sollte da ein Hacker denn anfangen zu suchen ??? Vom Internet sind diese Adressen wenigstens nie erreichbar !!!
Nebenbei bemerkt ist das die IP seines Ethernet Interfaces und nicht die des PPPoE Zugangs zum Carrier, der routet nämlich keine RFC 1918 Adressen !!! Natürlich ist es nicht sehr gut eine direkte Verbindung so zu etablieren aber erreichbar sind diese Adressen definitiv nicht !

Zurück zu deinem Problem:
So wie es aussieht hast du hier ein Routing Problem. Dein VPN Tunnel endet auf dem Netgear, der ist also Ausgangspunkt für deine Verbindungen.
Wenn du nun in deinem Netz noch andere Router mit Standleitungen o.ä. hast dann musst du dem netgear natürlich statisch diese Routen zu den Zielnetzen wo sich dein Warenwirtschaftssystem befindet mitteilen. Also im statischen Routing Setup des Routers muss sowas stehen wie
Zielnetz WWS, Maske, next hop gateway
Andersherum musst du diesen Routern dann aber auch mitteilen das der netgear jetzt mit einmal dein Hausnetz kennt und damit das gateway dafür ist. Im Cisco muss dann sowas stehen wie:

ip route 192.168.1.0 255.255.255.0 (ip adresse NetGear)

Ohne diese statischen Routen kannst du immer nur Hop by Hop arbeiten was auf die Dauer aber zu "nervig" ist. Man kann sich das Leben auch erleichtern wenn ihr dynamisch routen solltet, dann werden all diese Routen dynamisch propagiert und du musst dies Protokoll ggf. am NetGear einstellen.
Leider können Consumer Systeme wie die von NetGear entweder gar keine oder nur ein Protokoll nämlich RIP (Routing Information Protokoll) wenn man Glück hat sogar RIP2. Das müsstest du mal prüfen. Der Cisco kann natürlich (fast) alles was es gibt.
Wenn du Admin dieser Systeme bist kannst du das ggf. umstellen.
Bitte warten ..
Mitglied: amersand
10.08.2006 um 13:43 Uhr
wieso kann ich meinen notebook nicht in den 192.168.10.0 bereich mitaufnehmen benutze als vpn client prosafe wenn ich das tue kann ich gar nichts pingen????
Bitte warten ..
Mitglied: aqui
10.08.2006 um 13:57 Uhr
Das liegt wahrscheinlich daran das dein XP per se nicht routet, sprich Packete aus dem 10er Tunnel auf dein Ethernetsegment im 1er netz zu routen. Ggf. hilft es das Routing bei XP zu aktivieren:
www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_pro_EnableForwarding.htm
Wenn es der VPN Treiber nicht eh schon gemacht hat....
Bitte warten ..
Mitglied: Timo20
10.08.2006 um 14:15 Uhr
[...] aber ist es sinnvoll deine richtige
IP hier zu posten?

Nichts für ungut. Ich habe außerdem eine Frage und keine Aussage formuliert

Timo
Bitte warten ..
Mitglied: amersand
10.08.2006 um 14:15 Uhr
alle wenn ich jetzt mir einen router mit rip reinstelle z.b. pix 501 vererbt er die routingtabell mit meinen anderer cisco routern und dann solllte das laufen oder wie????
Bitte warten ..
Mitglied: amersand
10.08.2006 um 14:21 Uhr
ja sorry bin heute noch einwenig wirr im kopf
wer lesen kann ist immer im vorteil
hab mich bei dir verlesen
Bitte warten ..
Mitglied: aqui
10.08.2006 um 17:24 Uhr
Wenn du RIP nutzen willst musst du das auf allen Layer 3 Maschinen (also allen Routern) anschalten. Achte darauf das das alte RIP nicht mit CIDR gesubnetteten Netzen umgehen kann. Es versteht also nur die klassischen Class A, B oder C Adressen und die dazugehörigen Netze. Hast du ein classless gesubnettetes Segment irgendwo musst du unbedingt RIP Version II verwenden. Ich meine aber das kam bei dir nicht vor im Netz also sollte RIP es dann auch tun.
RIP tauscht dann alle Routen dynamisch aus und dein netz ist dann Layer 3 seitig voll transparent ohne das du was statisch einstellen musst.
Bitte warten ..
Mitglied: amersand
11.08.2006 um 08:05 Uhr
super danke werd das mal versuchen
Bitte warten ..
Mitglied: amersand
15.08.2006 um 14:06 Uhr
Hi also klappt einfach nicht
kann ich meinen linux server nicht auch zu routen hernehmen????
Bitte warten ..
Mitglied: AndreasHoster
15.08.2006 um 15:31 Uhr
Sicher kann auch ein Linux Server routen, aber nur dann, wenn die zu routenden Pakete überhaupt bei ihm vorbeikommen.

Wie schon weiter oben erwähnt, vermutlich schickt das Gateway 192.168.10.5, an welchem das Warenwirtschaftssystem angeschlossen ist, die zurückgehenden VPN-Pakete NICHT an 10.168.10.254 weiter.
Daher eine Route auf dem Gateway 192.168.10.5 einrichten, welche den Adressbereich des VPN zu 10.168.10.254 weiterschickt (Falls ich Deinen Netzaufbau richtig verstanden habe).
Bitte warten ..
Mitglied: amersand
15.08.2006 um 15:43 Uhr
ja das denke ich auch das der 192.168.10.5 nicht weis wo der 192.168.10.254 steht

daher habe ich eigendlich die idee den gateway 192.168.10.5 über den linux gehen soll das währe ja dann so als wenn er selber an die 192.168.10.5 eine anfrage stellt und der cisco ha mit der antwort an den linux zuückgeht und dann über den 192.168.10.254 rausgeht

kann man beim linux auch mehere gateways einrichten wie beim windows???
Bitte warten ..
Mitglied: AndreasHoster
15.08.2006 um 16:34 Uhr
Syntax Error bei Parsing Sentence: No commas or dots found
Punkt und Komma erleichtert es, die zusammengehörigen Satzteile zu erkennen, ich blick wieder mal nicht, was Du wohin schicken willst, es klingt aber sehr nach einem Zirkelschluß beim Routing.

Aber mal zurück:
Natürlich weiß der 192.168.10.5 wo der 192.168.10.254 steht, namlich im gleichen Subnetz. Er weiß nur nicht, daß Pakete für den VPN-Bereich 192.168.1.xxx über den gehen müssen. Pakete direkt zum 192.168.10.254 kommen sicherlich an.
Ein Gateway hat mehrere Netze zu verbinden und muß daher wissen, welches IP Paket er über welche Netzwerkkarte zu welchem Rechner schickt.
Daher kannst Du nicht einfach alles von 192.168.10.5 an den 192.168.10.254 schicken, dann kämst Du auf Dein Warenwirtschaftssystem nicht mehr drauf, weil die Pakete dann auch zum 192.168.10.254 gehen würden.

Und was mehrere Gateways angeht und eintragen, das was bei Windows im TCP/IP unter Standardgateway kommt, da mag man zwar bei jeder Netzwerkkarte was eintragen können, es gibt aber immer nur EIN aktives Standardgateway.
Man kann bei allem was IP verwendet nur ein Standardgateway definieren und beliebig viele Routen dazu. Also auch bei Linux.

Zusammenfassend:
Richte auf dem 192.168.10.5 eine Route für das Subnetz 192.168.1.xxx mit Ziel 192.168.10.254 ein.
Das sollte genügen um die Rechner im 192.168.10.xxx Netz vom VPN Notebook aus zu erreichen (immer noch unter der Vorraussetzung, daß ich den Netzaufbau halbwegs richtig aus den Postings rausgelesen habe).
Bitte warten ..
Mitglied: amersand
15.08.2006 um 16:46 Uhr
hi danke für deine antworten

mein problem ist nur das ich bei den cisco routern für das warenwirtschaftssystem nichts einrichten kann.da ich keine rechte für diese router habe. daher versuche ich eine möglichkeit zufinden mein netzwerk so zu routen das ich bei dem cisco router nichts einstellen brauche. daher das ganze problem der rest funk ja einwandfrei.
Bitte warten ..
Mitglied: aqui
15.08.2006 um 21:42 Uhr
Du kannst lediglich Maschinen im 192.168.10er Netz administrieren, da den anderen Routern dein internes (VPN) Netz nicht bekannt ist. Das heisst auch wenn du einseitig Routen eintragen würdest kämen die Packete dahin aber nicht zurück, da der Cisco deine Route nicht kennt oder ggf. eine andere Default Route hat und die Packete damit ins Nirwana schickt.
Du müsstest an den Cisco ran und ihm dein Netz bekannt geben.
Solange du nichts anderes veränderst könntest du dich ja abends nach Feierabend mal mit einem seriellen Kabel "bewaffnen" an den Cisco dein Laptop mit z.B. TeraTerm als Terminalprogramm anschliessen (9600 Baud, N81), den Cisco kaltstarten und bei der Bootmeldung ein "B" drücken (Break Signal senden). Danach kannst du den Cisco ohne Passwort hochfahren, ihm eine Riute verpassen:
ip route 192.168.1.0 255.255.255.0 192.168.10.254
Dann kennt er deine Route
Hier:
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_no ...
kannst du nochmal genau nachlesen wie es geht bei eurem Router Modell.

Geht das alles nicht bleibt dir nur noch deine 192.168.1er Adresse aus deinem VPN per NAT zu translaten auf eine freie 192.168.10er Adresse. Du "versteckst" dich dann gewissermaßen hinter dieser Adresse und damit dürften die Router ohne Probleme und Konfig Eingriff klarkommen.... Das sollte mit Linux eigentlich kein Problem sein eine Adrersse aus dem 1er Bereich zu NATen !!!
Bitte warten ..
Mitglied: amersand
16.08.2006 um 07:58 Uhr
super vielen danke für deine vielen antworten
ich hoffe ich werd mit dem material nun doch zu einer lösung kommen


gruß und danke
amersand
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...