Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Verbindungen scheitern, wenn Client-IP und Netz des Standortes gleich sind

Frage Netzwerke

Mitglied: heparus

heparus (Level 1) - Jetzt verbinden

15.10.2008, aktualisiert 16.10.2008, 4213 Aufrufe, 6 Kommentare

Hallo zusammen,

ich hoffe dass man mir hier helfen kann, denn allmählich gehen mir die Ideen aus, wie ich das Problem lösen kann.

Zur Situation:

Ich habe einen Server mit 2 Netzwerkkarten, die mit verschiedenen IP's belegt sind.

1.NIC: 192.168.001.021

2.NIC: 192.168.071.021

Über die 1. NIC kommen die Anfragen aus dem Firmennetzwerk an den WEB-Datenbank-Server (WIN SBS 2k3 mit ISS, MSSQL 2005 und WSS3.0)

Die 2. NIC soll die Anfragen der VPN-Clients an den WEB-DB-Server managen.

Nun kann es vorkommen, wenn unsere Außendienstler unterwegs sind, dass diese Ihren Client in einem Netzwerk haben,
in dem sie ebenfalls eine IP-Adresse aus dem Bereich 192.168.001.000-192.168.001.255 beziehen. Mein Server hat nun das Problem,
dass er 2 mal den selben Netzbereich sieht. Die Folge währe, er bekommt die Anfrage, kann aber nicht antworten, da er den VPN-Client
im Netzwerkbereich der 1. NIC sucht. Der Außendienstler bekommt jetzt natürlich die Timeout-Fehlermeldung der Web-Anwendung.
Überschneiden sich die Netzwerkbereiche nicht, habe ich kein Problem den Server über die 192.168.71.21 zuerreichen.

Das Problem würde ja gelöst sein, in dem ich einfach die IP-Range des Firmennetzwerkes ändern würde. Leider ist dies zur Zeit nicht möglich,
da wir verschiedene selbstgeschriebene Programme haben, bei denen wir uns nicht sicher sein können, dass nicht irgendwo
eine feste IP im Quellcode steht. Die Anwendungen sind alle im Laufe der letzten 10 Jahre entstanden und nicht alle Entwickler sind
heute noch bei uns. Leider liegt auch keine Doku für die verschieden Programme vor, welche auf diesen Themen-Bereich eingeht und ein
Try-And-Error-Ausschluß-Verfahren können und wollen wir nicht durchführen.

Ich bin jetzt also auf der Suche nach einer Lösung, wie ich den Server dazu bringe auf Anfragen der Clients zu reagieren, obwohl eine Überschneidung
der IP-Adressen existieren könnte.

Eine Überlegung von mir war auf dem IIS die WEB-Anwendung 2x laufen zulassen (nur den HTML-Krempel nicht die DB), und jeder dieser Anwendungen eine eigene Netzwerkkarte
zuweisen zulassen. Ich bin mir aber nicht sicher ob dies der Schlüssel zum Erfolg währe. Da die Sharepoint-Services zu diesem Anwendungskonstrukt dazugehören, währe diese
Lösung sehr aufwendig. Ich weiss auch nicht ob sie funktionieren würde. Habt Ihr/ Haben Sie eine Idee, wie ich diese Problem recht zeitnah und ohne großen Aufwand lösen könnte.

Ich bedanke mich im Vorraus für eure / Ihre Antworten.
Mitglied: aqui
15.10.2008 um 19:41 Uhr
Ums gleich vorwegzunehmen: Du hast keine Chance !
Das ist eins der Grundregeln beim Einsatz von VPNs das diese IP Netze niemals gleich sein duerfen.
Damit schaffst du ein IP Routing Problem, denn der VPN Server kann niemals mehr unterscheiden in welches netz er routen soll !!

Stell dir vor du bist Brieftraeger und du hast 4 Briefe von Lieschen Mueller, Bergstrasse, Bergstadt Jetzt gibt es 3 Bergstadt in Deutschland, 10 in Amerika, 5 in Oesterreich und 4 in der Schweiz.
Was machst du nun ????
In genau dergleichen Situation steckt dein VPN Server !!!

Der Kardinalsfehler ist schon viel frueher gemacht worden beim IP Design des Firmennetzes.
Es zeugt nicht gerade von profundem Fachwissen und Nachdenken mit IP Planungshorizont gerade das duemmste und schlechteste aller RFC 1918 Netzwerke naemlich 192.168.1.x als Firmennetzwerk zu verwenden ! Sorry....
Jeder popelige Router vom Bloedmarkt vom Grabbeltisch verwendet auch dieses IP Netzwerk so das VPN Probleme damit automatisch vorprogrammiert sind... Wie gesagt..kurzsichtiger Planungsfehler vermutlich durch Unwissen des NetAdmins !!

Der RFC 1918 gibt allen eine weitreichende IP Wahlmoeglichkeit:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Es waere also weitaus schlauer gewesen 172.16 - 32 er oder 10er Adressen zu verwenden als nun gerade die dummen 192.168er Adressen die dich festnageln, gerade beim VPN Einsatz.

Fazit: Keine Chance !! Firmennetzwerk in der IP umstellen oder als einzige machbare Alternative den VPN Host mit einem Router (z.B. Linksys WRT54G) isolieren vom Firmennetz, ihm eine neue gescheite IP zum Firmennetz zu geben und NAT zum Firmennetz zu machen. Das waere der einzige Workaround den du hast mit allen Problemen die dir dann Port Forwarding vom Firmennetz zum Server beschert.

Das saehe dann so aus:

(Firmennetz)---192.168.1.0---(NAT Router)---172.31.1.0---(VPN-Server)---192.168.71.0---(VPN-Dialin)
Bitte warten ..
Mitglied: oh2204
16.10.2008 um 08:10 Uhr
Hi,

oder du verpasst dem Notebook eine UMTS- Karte


Gruß
Bitte warten ..
Mitglied: heparus
16.10.2008 um 08:13 Uhr
Hallo aqui,


vielen Dank für deine Information. Es ist also wie ich befürchtet habe und so wie es mein Vorgesetzter ablehnt. Ein Redesign des Netzes ist zur Zeit nicht möglich, da wir lange noch nicht alle Leichen im Keller gefunden haben. Die Firma ist in den letzten Jahren explodiert, ohne dass der IT genügend Zeit eingeräumt wurde, die entsprechenden Änderungen vorzunehmen. Und seit man meinem Brötchengeber den Floh mit dem Dokumentenmanagemnt-System, welches über VPN ja für alle erreichbar ist, ins Ohr gesetzt hat. Kämpfen wir mit den Nachwehen, was in den letzten 10 Jahren alles versäumt wurde.
Bitte warten ..
Mitglied: heparus
16.10.2008 um 08:20 Uhr
Zitat von oh2204:
Hi,

oder du verpasst dem Notebook eine UMTS- Karte


Gruß

Hallo oh2204,

gute Idee, aber dafür sind es leider zuviele "Nootbooks". Ich habe zur Zeit 2 Niederlassungen in Übersee, eine dritte ist für nächstes Jahr in Kanada geplant und rund 40 Außendienstler in Deutschland. Für die Niederlassungen konnte ich Klasse B-Netze einrichten, da dieser erst letztes Jahr entstanden sind. Probleme machen mir die kleinen Hotel- und Pansionsnetze, wenn sich abends meine Außendienstler zu uns einwählen wollen.

Gruß

Elmar
Bitte warten ..
Mitglied: oh2204
16.10.2008 um 08:31 Uhr
Hi,

hmm naja aber da gibts doch für Firmen extra Verträge wenn du so viele Notebooks im Einsatz hast. Ich kenne viele die sich über UMTS ins Firmennetz einklicken und so schlecht finde ich das auch nicht. Vorteil ist natürlich das der Nutzer sich von (fast) überall auf der Welt (China ist eine ausnahme) verbinden kann, doch dass Notebook darf halt nicht verloren gehen

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: heparus
16.10.2008 um 10:11 Uhr
Du magst recht haben, aber dann müssten alle Außendienstler auch Angestellte der Firma sein. Wir haben aber auch Cooperationspartner, Freiberufler und Co. im Einsatz, die auf das Dokumentenmanagmentsystem zugreifen sollen, und die haben leider nicht nur Laptops.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Netzwerke
VPN Fragen wegen privater IP (Mobilfunk) (5)

Frage von LittleNo zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst VPN Tunnel - Client bekommt falsche IP Adresse (16)

Frage von Markowitsch zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...