11
Im Hotel: zufällig Client-IP u. Ziel-IP identisch, aber unterschiedliche Netze - kein Routing durchs VPN
Hi zusammen,
Subnetting und Routing sind mir jetzt nicht ganz unbekannt - wenngleich ich bestimmt kein Profi drin bin...
Aber ich steh grad richtig auf dem Schlauch.... und hoffe, dass ihr mir vielleicht helfen könnt.
Folgende Situation:
Bin im Hotel und wähle mich über VPN (OpenVPN) in unser Netz ein und kann dann das 3CX-Phone gegen unsere PBX verbinden.
Dieses mal geht es einfach nicht und ich glaube, ich kenne die Ursache - aber kein Plan, ob ich das überhaupt lösen kann.
Die Rechner im Hotel bekommen über DHCP ihre IP.
Diese ist aus dem Netz 192.168.30.0 MASK 255.255.255.0 also /24.
Gateway ist die 192.168.30.254.
Das VPN-Interface bekommt die IP 10.0.11.6 aus dem Netz 10.0.11.0 255.255.255.0.
Gateway ist die 10.0.11.1
Das IF ist ein "dev tun" und tunnelt über udp.
Die Ziel-IP lautet 192.168.30.21. Dort ist das Netz aber ein 192.168.16.0 MASK 255.255.240.0 - also ein /20 Supernet bis einschl. 192.168.30.255.
Gateway ist 192.168.30.250
Das Problem:
In meinem SIP-Phone ist als SIP-Server 192.168.30.19 eingetragen. Diese IP wäre somit im lokalen IP-Bereich des WLANs des Hotels gelegen und der Host tunnelt nicht über das VPN.
Delikat: seit dem letzten Release habe ich sogar noch ausgerechnet die 192.168.30.19 als lokale IP vom DHCP bekommen.
Kann mir jemand sagen, ob ich ne Chance hab, trotzdem auf die PBX zu kommen? Ich werde hier in nächster Zeit öfters sein, daher wird mich das Problem jetzt immer wieder tangieren. Da die PBX über UDP angesprochen wird, und noch dazu viele Ports dynamisch geöffnet werden, kann ich nicht einfach ein SSH Forwarding machen, was ich auch schon als Idee hatte.
Ich kann doch aber auch nicht einfach im Routing des Rechners das 192.168.30.0/24er löschen, und auf das 192.168.16.0/20 umbiegen, denn damit kappe ich mir ja quasi auch die Verbindung zum Standardgateway... richtig?
Hat jemand von euch noch ne Idee?
Das würde mir echt weiterhelfen!
Danke schon mal in dem Moment.
Gruß Kai
Subnetting und Routing sind mir jetzt nicht ganz unbekannt - wenngleich ich bestimmt kein Profi drin bin...
Aber ich steh grad richtig auf dem Schlauch.... und hoffe, dass ihr mir vielleicht helfen könnt.
Folgende Situation:
Bin im Hotel und wähle mich über VPN (OpenVPN) in unser Netz ein und kann dann das 3CX-Phone gegen unsere PBX verbinden.
Dieses mal geht es einfach nicht und ich glaube, ich kenne die Ursache - aber kein Plan, ob ich das überhaupt lösen kann.
Die Rechner im Hotel bekommen über DHCP ihre IP.
Diese ist aus dem Netz 192.168.30.0 MASK 255.255.255.0 also /24.
Gateway ist die 192.168.30.254.
Das VPN-Interface bekommt die IP 10.0.11.6 aus dem Netz 10.0.11.0 255.255.255.0.
Gateway ist die 10.0.11.1
Das IF ist ein "dev tun" und tunnelt über udp.
Die Ziel-IP lautet 192.168.30.21. Dort ist das Netz aber ein 192.168.16.0 MASK 255.255.240.0 - also ein /20 Supernet bis einschl. 192.168.30.255.
Gateway ist 192.168.30.250
Das Problem:
In meinem SIP-Phone ist als SIP-Server 192.168.30.19 eingetragen. Diese IP wäre somit im lokalen IP-Bereich des WLANs des Hotels gelegen und der Host tunnelt nicht über das VPN.
Delikat: seit dem letzten Release habe ich sogar noch ausgerechnet die 192.168.30.19 als lokale IP vom DHCP bekommen.
Kann mir jemand sagen, ob ich ne Chance hab, trotzdem auf die PBX zu kommen? Ich werde hier in nächster Zeit öfters sein, daher wird mich das Problem jetzt immer wieder tangieren. Da die PBX über UDP angesprochen wird, und noch dazu viele Ports dynamisch geöffnet werden, kann ich nicht einfach ein SSH Forwarding machen, was ich auch schon als Idee hatte.
Ich kann doch aber auch nicht einfach im Routing des Rechners das 192.168.30.0/24er löschen, und auf das 192.168.16.0/20 umbiegen, denn damit kappe ich mir ja quasi auch die Verbindung zum Standardgateway... richtig?
Hat jemand von euch noch ne Idee?
Das würde mir echt weiterhelfen!
Danke schon mal in dem Moment.
Gruß Kai
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 227810
Url: https://administrator.de/contentid/227810
Printed on: April 25, 2024 at 00:04 o'clock
11 Comments
Latest comment
Hallo Kai,
wenn du da öfters verweilst und das Hotel nicht gerade 500 Zimmer hat, probier es mit Human enginieering. D.h rede mit den Leuten, da lässt sich bestimmt eine Lösung finden.
LG
wenn du da öfters verweilst und das Hotel nicht gerade 500 Zimmer hat, probier es mit Human enginieering. D.h rede mit den Leuten, da lässt sich bestimmt eine Lösung finden.
LG
nee.. sorry. ist nicht möglich. Ist zwar ein kleines Hotel aber die haben keine Ahnung von dem Thema sondern beauftragen den Dienstleister. Und nur meinetwegen das Netz umkonfigurieren? Dann hat vielleicht ein anderer das Problem 
Nun ich betreue selbst Hotels und ich denke wenn ein öfter kommender Kunde deswegen weniger Probleme hat würden sie und ich da gerne Abhilfe schaffen.
LG
LG
Moin,
Nachdem die einafch regel "Ip-netze müssen disjunkt sein" hier nciht eingehalten wird, kann das so ohne weietres nicht funktionieren.
Du könntest aber einen workaround machen, indem Du einfach eien Routerkaskade aufbaust, d.h. Du hängst Dich mit einem einfachen Plaste-Router (ggf einer, der auch wlan-client spielen kann), an das Hotelnetz und läßt den Router Maskerading machen. Dann kannst Du in Deinem "privaten" Teil des Netzes beliebige IP-Adressen enstellen, die sich sowohl vom Hotelnetz, als auch vom heimnetz unterscheiden.
lks
PS: Deswegen nimmt man bei LANs, die per VPN von "Wanderarbeitern" erreichbar sein müssen keine Netze aus 192.168.0.0/16 sondern aus 172.16.0.0/12 oder 10.0.0.0/8, um IP-konflikte mit den "Gastnetzen" zu vermeiden.
Nachdem die einafch regel "Ip-netze müssen disjunkt sein" hier nciht eingehalten wird, kann das so ohne weietres nicht funktionieren.
Du könntest aber einen workaround machen, indem Du einfach eien Routerkaskade aufbaust, d.h. Du hängst Dich mit einem einfachen Plaste-Router (ggf einer, der auch wlan-client spielen kann), an das Hotelnetz und läßt den Router Maskerading machen. Dann kannst Du in Deinem "privaten" Teil des Netzes beliebige IP-Adressen enstellen, die sich sowohl vom Hotelnetz, als auch vom heimnetz unterscheiden.
lks
PS: Deswegen nimmt man bei LANs, die per VPN von "Wanderarbeitern" erreichbar sein müssen keine Netze aus 192.168.0.0/16 sondern aus 172.16.0.0/12 oder 10.0.0.0/8, um IP-konflikte mit den "Gastnetzen" zu vermeiden.
1
Gegen solche IP Adress Designfehler kannst du nichts machen außer deinem VPN eine recht exotische IP Kombination zu geben !
Erklärt wird das im folgenden Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Kapitel Wichtige Tipps zum VPN IP Adress Design
Erklärt wird das im folgenden Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Kapitel Wichtige Tipps zum VPN IP Adress Design
Moin,
und wenn man nun der IP 192.168.30.19 manuell das Gateway 10.0.11.1 vorschreibt, klappt das dann nicht?
Also eine direkte Hostroute.
Oder übersehe ich da was (wahrscheinlich)?
VG
Deepsys
und wenn man nun der IP 192.168.30.19 manuell das Gateway 10.0.11.1 vorschreibt, klappt das dann nicht?
Also eine direkte Hostroute.
Oder übersehe ich da was (wahrscheinlich)?
VG
Deepsys
1Ja, die grundlegende Regel:
IP-netze und -Adressen müssen disjunkt sein!
lks
Nachtrag: Die Lösung mit einem NAT-Router, der dich in ein anderes Netz als das 192.168.30.0/20 steckt soltle Dein Problem deutlich entschärfen. Und die 20€ bis 40€ ersparnis für so einen Router ist den Aufwand grundlegende IP-Mechanismen aushebeln zu wollen nicht wert.
lks
1
Naja, ich benutze so ein Scenario aber schon.
Ein Ping soll IMMER die LWL nutzen und nicht die Backup-Strecke nutzen. Damit kann dann erkannt werden, ob die LWL-Strecke noch voll da ist.
Dafür kommt dann auf einem (jetzt wieder) bintec-Router eine erweiterte Host-Route zum Einsatz.
Diese hat, für diese eine IP, Vorrang vor der Netzwerk-Route.
Und das funktioniert
Ein Ping soll IMMER die LWL nutzen und nicht die Backup-Strecke nutzen. Damit kann dann erkannt werden, ob die LWL-Strecke noch voll da ist.
Dafür kommt dann auf einem (jetzt wieder) bintec-Router eine erweiterte Host-Route zum Einsatz.
Diese hat, für diese eine IP, Vorrang vor der Netzwerk-Route.
Und das funktioniert
Zitat von @Deepsys:
> Zitat von @Lochkartenstanzer:
> IP-netze und -Adressen müssen disjunkt sein!
Naja, ich benutze so ein Scenario aber schon.
Ein Ping soll IMMER die LWL nutzen und nicht die Backup-Strecke nutzen. Damit kann dann erkannt werden, ob die LWL-Strecke noch
voll da ist.
Dafür kommt dann auf einem (jetzt wieder) bintec-Router eine erweiterte Host-Route zum Einsatz.
Diese hat, für diese eine IP, Vorrang vor der Netzwerk-Route.
Und das funktioniert
> Zitat von @Lochkartenstanzer:
> IP-netze und -Adressen müssen disjunkt sein!
Naja, ich benutze so ein Scenario aber schon.
Ein Ping soll IMMER die LWL nutzen und nicht die Backup-Strecke nutzen. Damit kann dann erkannt werden, ob die LWL-Strecke noch
voll da ist.
Dafür kommt dann auf einem (jetzt wieder) bintec-Router eine erweiterte Host-Route zum Einsatz.
Diese hat, für diese eine IP, Vorrang vor der Netzwerk-Route.
Und das funktioniert
Moment, da hast du aber nicht gleiche Ip-netze /-Adressen auf zwei Seiten einer Verbindung, sondern nur zwei Wege auf die andere Seite. Das ist mit dem o.g. Szenario wo auf beiden Seiten des VPN-tunnels gleiche Adressen und Netze auftauchen nicht vergleichbar.
lks
Zitat von @Lochkartenstanzer:
Moment, da hast du aber nicht gleiche Ip-netze /-Adressen auf zwei Seiten einer Verbindung, sondern nur zwei Wege auf die andere
Seite. Das ist mit dem o.g. Szenario wo auf beiden Seiten des VPN-tunnels gleiche Adressen und Netze auftauchen nicht
vergleichbar.
Und genau da ist mein Denkfehler ..... zwei Seiten .... OK, danke! Moment, da hast du aber nicht gleiche Ip-netze /-Adressen auf zwei Seiten einer Verbindung, sondern nur zwei Wege auf die andere
Seite. Das ist mit dem o.g. Szenario wo auf beiden Seiten des VPN-tunnels gleiche Adressen und Netze auftauchen nicht
vergleichbar.
VG
Deepsys
Sofern Windows:
VPN Adapter als erste Verbindung und gut ist
Bei Verbindung wird der VPN Adapter verwendet, unabhängig vom lokalen Netzwerk
Gibt es keine Verbindung wird der 2.,3. Adapter verwendet.
Network Connections / Advanced / Advanced Settings / Connections
Dort die Reihenfolge der Netzwerke ändern.
VPN Adapter als erste Verbindung und gut ist
Bei Verbindung wird der VPN Adapter verwendet, unabhängig vom lokalen Netzwerk
Gibt es keine Verbindung wird der 2.,3. Adapter verwendet.
Network Connections / Advanced / Advanced Settings / Connections
Dort die Reihenfolge der Netzwerke ändern.
