Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Verständnisfrage - Rückantwort auf UDP o. TCP- Paket aus Firmennetz

Frage Netzwerke Router & Routing

Mitglied: peeage

peeage (Level 1) - Jetzt verbinden

12.10.2012 um 00:12 Uhr, 2669 Aufrufe, 3 Kommentare, 1 Danke

Hallo zusammen,

eins vorweg: Ich bin absoluter Neuling in diesem Gebiet ;)

Ich baue von zuhause aus eine VPN- Verbindung in unser Firmennetz auf. Mir stellt sich dabei folgende Frage:

Privates Netzwerk: 192.168.2.0/24
Firmen Netzwerk: 10.2.1.0/24

Pakete an 10.2.1.0/24 werden in meinem privaten Netzwerk ins VPN- Netz geroutet. Wenn ich nun bspw. von meinem Rechner aus mit der IP- Adresse 192.168.2.20 ein TCP- o. UDP- Paket ins Firmennetz an 10.2.1.20 schicke, wird dieses IP- Paket in ein weiteres IP- Paket mit veränderter Quell- und Ziel- IP verpackt, um dieses ins Firmennetz transportieren zu können. Auf der Gegenseite wird dieses Paket wieder entpackt und an das Ziel (10.2.1.20) weitergegeben. Alles schön und gut. Wenn der Empfänger (10.2.1.20) nun auf dieses Paket antworten will, sendet er die Antwort an die Quell- IP des IP- Pakets (192.168.2.20). Im Firmennetz besteht keine Regel, dass Pakete an 192.168.2.0/24 über das VPN- Netz geroutet werden sollen. Wie findet dieses Paket den Weg zurück zu meinem Rechner?
Mitglied: notyyy
12.10.2012 um 02:56 Uhr
Das Zauberwort heisst icmp redirect.

http://en.wikipedia.org/wiki/ICMP_Redirect_Message
Bitte warten ..
Mitglied: Deepsys
12.10.2012, aktualisiert um 08:40 Uhr
Guten Morgen,


Zitat von peeage:
(192.168.2.20). Im Firmennetz besteht keine Regel, dass Pakete an 192.168.2.0/24 über das VPN- Netz geroutet werden sollen.
Wie findet dieses Paket den Weg zurück zu meinem Rechner?
Du hast aber einen Standartgateway, und ich tippe mal das ist genau der Router zu dem du auch das VPN aufbaust,oder?
Also wenn der 10.2.1.20 das Paket an die 192.168.2.x schickt, geht das an den Standartgateway und der sollte wissen wohin damit.
Ist er der VPN-Router, schickt er das per VPN zurück, fertig!

ICMP Redirect wird hier wohl nicht verwendet, es sei denn der Standartgateway ist nicht der VPN-Router. Dann kann das Standartgateway dem Host, also 10.2.1.20, mitteilen, das dieser sein Paket an 192.168.2.x besser an den VPN-Router sendet und nicht über ihn.
Da ICMP-Redirect aber auch als Sicherheitsrisiko gilt und abgeschaltet werden kann, kann auch der Standartgateway einfach alle Pakete an den VPN-Router senden, ohne ICMP-Redirect.

VG
Deepsys
Bitte warten ..
Mitglied: peeage
12.10.2012 um 11:24 Uhr
@Deepsys: Richtig, mein Standard- Gateway (privates Netz) ist eine einfache Fritzbox auf welcher ein OpenVPN- Client läuft. Auf der anderen Seite (Firmennetz) könnte es auch der Fall sein, dass das Gateway auch der VPN- Server ist (ich bin mir aber nicht sicher). Wenn dem so wäre und der VPN- Router (Firmennetz) das Paket einfach zurücksendet, würde er dass anhand irgendwelcher Routing- Tabellen machen, oder? Mir ist aber aufgefallen, dass ich vom Firmennetz aus nicht die 192.168.2.20 (Privatnetz) anpingen kann.. also ist das Stanard- Gateway höchstwarsch. nicht der VPN- Server.

Ich habe das ganze mal getestet und ein UDP- Paket versendet und mit WireShark auf beiden Seiten mitgesnifft:

IP- Paket auf meiner Seite (Privatnetz):

Quell- IP: 192.168.2.20
Quell- Port: 50166
Ziel- IP: 10.20.10.117
Ziel- Port: 33446

IP- Paket auf Gegenseite (Firmennetz):

(Der Rechner mit der 10.20.10.117 (Firmennetz) hat als Gateway die 10.20.0.1 eingetragen)

Quell- IP: 172.16.0.51
Quell- Port: 63200
Ziel- IP: 10.20.10.117
Ziel- Port: 33446


Da hier die Quell- IP und der Quell- Port des ankommenden Pakets angepasst wurde, gehe ich davon aus, dass die 172.16.0.51 der VPN- Router ist. Das würde also bedeuten, dass das eingetragene Gateway mit der 10.20.0.1 nicht der VPN- Router ist. Zudem wurde kein ICMP Redirect gesendet um die Routing- Tabelle anzupassen. Hat der VPN- Router das Original- IP- Paket so modifiziert, dass auch dieser die Antwort erhalten würde?
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
Problem durch Konvertierung von TCP zu UDP
Frage von LostInNetNetzwerkprotokolle2 Kommentare

Hallo Administratoren, ich habe folgenden Aufbau, damit man das Problem dann auch versteht: Softgate <TCP> SBC (Session Border Controller) ...

Netzwerke
VPN, Lager, Firmennetz
Frage von DomFryNetzwerke6 Kommentare

Hallo zusammen, aktuell würde ich gerne folgende Anforderung erfüllen: VPN-Verbindung zwischen Lager (Dyndns, Fritzbox 7390) und Hauptgebäude (Fixe Ip, ...

LAN, WAN, Wireless
Multi-SSID WLAN für Firmennetz über VLAN. Verständnisfrage
Frage von oliver84LAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich WLAN einstellungen. Ich habe mich zwar schon intensiv damit beschäftigt, habe aber ...

Verschlüsselung & Zertifikate
VPN über Firmennetz zum Heimnetz herstellen
gelöst Frage von DogukannVerschlüsselung & Zertifikate4 Kommentare

Hallo zusammen, Ich habe die Fritz!Box 7360. Ich habe eine VPN Verbindung auf meine Fritz eingerichtet die auch getestet, ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 3 StundenBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 5 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 20 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 21 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...

Server-Hardware
Braucht ein Server eine Grafikkarte?
gelöst Frage von lcer00Server-Hardware13 Kommentare

Hallo zusammen, habe gerade 3 Stunden gebraucht, um herauszubekommen, dass die Remotemanagement-Console von Intel (RMM4) nur funktioniert, wenn die ...