9
L2TP VPN mit DrayTek Vigor 2700V - Wie erreiche ich andere Rechner hinter dem Router?
VPN. Externer Teilnehmer erreicht den Router, kommt aber nicht weiter. NAT-Problem?
Hallo zusammen,
ich möchte, dass Teleworker per L2TP VPN auf mein Netzwerk zugreifen kann. Es soll also ein Server im eigenen Netz erreicht werden. Das Problem ist, dass Quell- und Zielnetz den gleichen Adressraum belegen. Wenn der Teleworker also eine andere IP aus seinem Adressbereich eingibt, bleibt er ja bei sich im Netz und erreicht nicht den Server in meinem. Hat sich der Teleworker verbunden, besitzt er eine eigene Adresse. Die liegt jedoch nicht im Adressraum meines LAN. Kann aber alles geändert werden. Die Verbindung zum Router klappt jedenfalls. Da sehe ich, wenn der Teleworker verbunden ist. Nur wie kommt er vom Router weiter? Ich vermute es hat etwas mit Routing oder NAT zu tun. Bin nur kein Profi in diesen Sachen. Mein Router stellt die VPN-Verbindung zur Verfügung. Ich stell mir das so vor: Der externe Benutzer wählt eine IP an (z.B. 192.168.2.208) und der Router setzt diese IP dann als 192.168.1.208 um und ermöglicht so den Zugriff auf den Teilnehmer im lokalen Netz. Zum besseren Verständnis noch mal eine kurze bildliche Beschreibung über den aktuellen Zustand:
Ich bitte um Hilfe und hoffe, dass ich genug Informationen geben konnte.
Gruß
MM
Hallo zusammen,
ich möchte, dass Teleworker per L2TP VPN auf mein Netzwerk zugreifen kann. Es soll also ein Server im eigenen Netz erreicht werden. Das Problem ist, dass Quell- und Zielnetz den gleichen Adressraum belegen. Wenn der Teleworker also eine andere IP aus seinem Adressbereich eingibt, bleibt er ja bei sich im Netz und erreicht nicht den Server in meinem. Hat sich der Teleworker verbunden, besitzt er eine eigene Adresse. Die liegt jedoch nicht im Adressraum meines LAN. Kann aber alles geändert werden. Die Verbindung zum Router klappt jedenfalls. Da sehe ich, wenn der Teleworker verbunden ist. Nur wie kommt er vom Router weiter? Ich vermute es hat etwas mit Routing oder NAT zu tun. Bin nur kein Profi in diesen Sachen. Mein Router stellt die VPN-Verbindung zur Verfügung. Ich stell mir das so vor: Der externe Benutzer wählt eine IP an (z.B. 192.168.2.208) und der Router setzt diese IP dann als 192.168.1.208 um und ermöglicht so den Zugriff auf den Teilnehmer im lokalen Netz. Zum besseren Verständnis noch mal eine kurze bildliche Beschreibung über den aktuellen Zustand:
Ich bitte um Hilfe und hoffe, dass ich genug Informationen geben konnte.
Gruß
MM
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110574
Url: https://administrator.de/contentid/110574
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
funktioniert bei mir mit nem 2820 einwandfrei, musst nur dafür sorgen, dass der teleworker vom vpn-router ebenfalls eine adresse des 1er netzes erhält und keine adresskonflikte auftreten können.
Ok, also sehe ich das richtig, wenn der Teleworker eine Adresse 192.168.1.x vom Router bekommt, das er beim Anwählen einer Adresse nicht nur sein lokales Netz durchsucht, sondern auch die andere Seite des VPN? Angenommene Lage:
Der Teleworker bekommt die Adresse 192.168.1.250 und er will über einen Browser die Adresse 192.168.1.208 erreichen. Dann sucht der Rechner erst in seinem lokalen Netz, und wenn es die Adresse da nicht gibt, dann sucht er im VPN?
Wenn beide Netzwerke die Adresse 192.168.1.208 benutzen, funktioniert das ganze nicht, richtig?
Zur Information: IP-Routing und RIP sind bei mir im Router deaktiviert.
Ich meine nämlich, dass ich diese Konfiguration schon ausprobiert habe, und das Problem dabei liegt, dass vom Teleworker nur sein lokales Netz beachtet wird.
Gibt es eine Möglichkeit, die Adresskonflikte zu umgehen? Evt wie von mir oben angedacht. Der Teleworker bekommt eine 192.168.2.x Adresse und sieht alle Geräte hinter dem Router als 192.168.2.x ?
Gruß
MM
Der Teleworker bekommt die Adresse 192.168.1.250 und er will über einen Browser die Adresse 192.168.1.208 erreichen. Dann sucht der Rechner erst in seinem lokalen Netz, und wenn es die Adresse da nicht gibt, dann sucht er im VPN?
Wenn beide Netzwerke die Adresse 192.168.1.208 benutzen, funktioniert das ganze nicht, richtig?
Zur Information: IP-Routing und RIP sind bei mir im Router deaktiviert.
Ich meine nämlich, dass ich diese Konfiguration schon ausprobiert habe, und das Problem dabei liegt, dass vom Teleworker nur sein lokales Netz beachtet wird.
Gibt es eine Möglichkeit, die Adresskonflikte zu umgehen? Evt wie von mir oben angedacht. Der Teleworker bekommt eine 192.168.2.x Adresse und sieht alle Geräte hinter dem Router als 192.168.2.x ?
Gruß
MM
Es ist ja der Lehrsatz des VPN, daß die sich verbindenen Netze unterschiedliche adressen haben müssen. Warum änderst Du diese nicht???
Gruß, Arch Stanton
Gruß, Arch Stanton
Absolut richtig !!!
Ziel und Quellnetz müssen zwangsweise UNTERSCHIEDLICHE IP Netze haben ansonsten ist ein VPN technisch unmöglich (jeden falls nicht mit Consumer Equipment) zu realisieren.
Was du oben in der Zeichnung schilderst ist ein absolutes KO Kriterium und NO GO für VPNs.
Ohne IP Redesign der Netzadresse kommst du da nie raus ! Vergiss das also ganz schnell !!
Der Grund leuchtet jedem Laien auch sofort ein: Wie soll der Router noch routen, also eine saubere Wegewahl finden, wenn du ihm 2 mal die gleichen IP Netzwerke konfigurierst...???!!
Wenn man keine dümmlichen 192.168er Adressen für den VPN Server (Draytek) wählt sondern etwas im großen Bereich der freien RFC 1918 IP Netz sich tummelt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Dann wählt man trefflicherweise ein 172.16-32.x.x Adresse mit einer 24 Bit Maske und hat keine Probleme mit Teleworkern die kritiklos immer einfach die IP default Einstellungen ihrer Heimrouter mit 192.168.x.x übernehmen.
Vermutlich ist auch das genau immer dein Problem, das du immer wieder in die Problematik gleicher IP Netze im Teleworker Heimnetz rennst weil du schlicht und einfach beim IP Netzdesign des VPN Servers (Draytek) nicht nachgedacht hast....sorry !
Nimm was ip-technisch Krummes wie z.B. 172.27.137.0 mit einer 24 Bit Maske (255.255.255.0) und du hast keine Probleme mehr mit deinen Teleworkern im Massen 192.168er Bereich !!!
Der Draytek ist mit 3 Mausklicks auf diese IP Adresse umgestellt !!
So einfach kann eine Lösung aussehen wenn man nur etwas nachdenkt...!!!
Setzt du im VPN Client (erweiterte Netzwerk Eigenschaften) den Haken, das das VPN Gateway NICHT gleich default Gateway ist, kann der VPN Client auch immer problemlos in BEIDEN Netzen arbeiten lokal UND im VPN.
Auch das ist ein fataler Trugschluss von dir das das nicht ginge....
Ziel und Quellnetz müssen zwangsweise UNTERSCHIEDLICHE IP Netze haben ansonsten ist ein VPN technisch unmöglich (jeden falls nicht mit Consumer Equipment) zu realisieren.
Was du oben in der Zeichnung schilderst ist ein absolutes KO Kriterium und NO GO für VPNs.
Ohne IP Redesign der Netzadresse kommst du da nie raus ! Vergiss das also ganz schnell !!
Der Grund leuchtet jedem Laien auch sofort ein: Wie soll der Router noch routen, also eine saubere Wegewahl finden, wenn du ihm 2 mal die gleichen IP Netzwerke konfigurierst...???!!
Wenn man keine dümmlichen 192.168er Adressen für den VPN Server (Draytek) wählt sondern etwas im großen Bereich der freien RFC 1918 IP Netz sich tummelt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Dann wählt man trefflicherweise ein 172.16-32.x.x Adresse mit einer 24 Bit Maske und hat keine Probleme mit Teleworkern die kritiklos immer einfach die IP default Einstellungen ihrer Heimrouter mit 192.168.x.x übernehmen.
Vermutlich ist auch das genau immer dein Problem, das du immer wieder in die Problematik gleicher IP Netze im Teleworker Heimnetz rennst weil du schlicht und einfach beim IP Netzdesign des VPN Servers (Draytek) nicht nachgedacht hast....sorry !
Nimm was ip-technisch Krummes wie z.B. 172.27.137.0 mit einer 24 Bit Maske (255.255.255.0) und du hast keine Probleme mehr mit deinen Teleworkern im Massen 192.168er Bereich !!!
Der Draytek ist mit 3 Mausklicks auf diese IP Adresse umgestellt !!
So einfach kann eine Lösung aussehen wenn man nur etwas nachdenkt...!!!
Setzt du im VPN Client (erweiterte Netzwerk Eigenschaften) den Haken, das das VPN Gateway NICHT gleich default Gateway ist, kann der VPN Client auch immer problemlos in BEIDEN Netzen arbeiten lokal UND im VPN.
Auch das ist ein fataler Trugschluss von dir das das nicht ginge....
Weil da ein ganzer Sack Geräte dran hängt, die nicht alle über DHCP laufen. Aber dann werde ich wohl nicht um die Änderung herumkommen. Dachte nur man könnte das durch einen Eintrag in der Routing-Tabelle ändern.
Gruß, MM
Gruß, MM
Nicht denken, sondern nachdenken !!
Ein falsches IP Netzwerkdesign kann man niemals durch Frickeln an der Routingtabelle hinbiegen, das ist Unsinn ! Wie sollte ich doppelte IP Netze damit auch wegbekommen ???
Sorry für die drastischen Worte aber diese Annahme ist hier im Forum ein oft weit verbreiteter Trugschluss, der leider oft aus Unkenntniss über korrektes IP Networking resultiert !
Ein falsches IP Netzwerkdesign kann man niemals durch Frickeln an der Routingtabelle hinbiegen, das ist Unsinn ! Wie sollte ich doppelte IP Netze damit auch wegbekommen ???
Sorry für die drastischen Worte aber diese Annahme ist hier im Forum ein oft weit verbreiteter Trugschluss, der leider oft aus Unkenntniss über korrektes IP Networking resultiert !
Okay, jetzt habe ich es verstanden. Das mit den Standard 192.168er Adressen kommt nur daher, weil wir vorher einen Router vom rosa Riesen hatten, und der wollte einfach keine anderen Adressen. Aber das Ding ist jetzt auch zum Glück in der Tonne.
Danke für die Informationen und für 's zusammensch...
Gruß
MM
Danke für die Informationen und für 's zusammensch...
Gruß
MM
Nein....nicht zusamm... so war das nicht gemeint. Nur ein eindringlicher Appell an dich das Frickeln sein zu lassen (und dir damit Frust zu ersparen..) in so einem Umfeld
Und...Consumer Spielzeug für Sofasurfer vom rosa Riesen setzt man in einem Firmen VPN Umfeld ja auch nicht ein...aber diese Basis Lektion für angehende Netzwerk Admins hast du ja schon gelernt... !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Und...Consumer Spielzeug für Sofasurfer vom rosa Riesen setzt man in einem Firmen VPN Umfeld ja auch nicht ein...aber diese Basis Lektion für angehende Netzwerk Admins hast du ja schon gelernt... !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Alles umgestellt. Alles läuft!
Vielen Dank für die Hilfe.
Gruß
MM
Vielen Dank für die Hilfe.
Gruß
MM
