noxridee
Nov 28, 2018
view9923
view8
0
Goto Top

Mehrere VLANs, ein VPN Tunnel

GermansolvedQuestionLAN, WAN, WirelessNetworks
Hallo zusammen,

ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN und VLANs aneignen.

Nun habe ich aber folgendes Problem. Ich habe 2 VLANS in unserem Netzwerk, VLAN1 und VLAN2.
Mittels Inter-LAN routing können beide VLANs miteinander reden.

Wenn ich mich jetzt via VPN mit dem Netzwerk verbinde, kann ich mit allen Geräten in VLAN1 kommunzieren nicht aber mit den Geräten in VLAN2.
Gateway ist der gleiche Router. VLAN1 Gateway (192.168.1.1) VLAN2 Gateway (192.168.2.1)
Was habe ich da übersehen?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 394055

Url: https://administrator.de/contentid/394055

Printed on: April 25, 2024 at 11:04 o'clock

8 Comments
Latest comment
Goto Top
Member: wuurian
wuurian Nov 28, 2018 at 14:18:21 (UTC)
Goto Top
Hallo,

mehr Infos!!!!!
Was für ein Router?

Du musst in der VPN einstellen, was im Tunnel erlaubt ist und was nicht, dort zählen auch andere Subnetze.
Mit deinen dürftigen Infos wird es aber schwer dir zu helfen.

Was ist Inter-Lan Routing?
Member: Noxridee
Noxridee Nov 28, 2018 at 14:25:44 (UTC)
Goto Top
Ein Draytek Vigor Router.
der übernimmt das komplette VLAN-Routing. Dazu sind noch ein paar Cisco switche im Netzwerk, die aber alle richtig getagged sind.

VPN Einwahl erfolgt über eine Standleitung die direkt auf den Switch geht und dann auf den Router. Clients die via VPN verbunden sind erhalten intern eine IP im VLAN1 via DHCP.

Inter-VLAN Routing mein ich. Damit wird die Route ins andere VLAN gesetzt.
Member: wuurian
wuurian Nov 28, 2018 at 14:32:55 (UTC)
Goto Top
VPN Einwahl erfolgt über eine Standleitung die direkt auf den Switch geht und dann auf den Router.

Kannst du das bitte mal zeichnen?
Du hast die VPN aufm Switch eingerichtet?
Entweder hab ich grad ein Brett vom Kopf, oder du hast was ganz gruseliges eingerichtet..
Normalerweise läuft das über den Router?
Was für Einstellungen hast du den in der VPN getroffen?

Inter-VLAN Routing
Das hast du auf dem Router oder aufm Switch gemacht?
Member: Noxridee
Noxridee Nov 28, 2018 at 14:42:08 (UTC)
Goto Top
VPN ist auf dem Router eingerichtet, über den erfolgt dann auch die Einwahl ins Netzwerk via VPN.
Sind alles nur L2 Switche. Da hab ich die VLAN ID eingetragen und die ensprechenden Ports getagged. Funktioniert auch alles wenn ich ganz normal im Netz arbeite. Nur über VPN halt nicht.

So funktioniert die Einwahl.
Member: wuurian
wuurian Nov 28, 2018 at 14:50:12 (UTC)
Goto Top
Du müsstest nur in den VPN-Einstellungen sagen, was im Tunnel erlaubt ist und was nicht.
Welches Modell vom Draytek hast du? Dann könnten wir mal in die Anleitung schauen..
Member: itisnapanto
itisnapanto Nov 28, 2018 at 14:58:01 (UTC)
Goto Top
Moin ,

ist dein VPN Netz ein eigenständiges Netz ?
Ist dem VPN Netz erlaubt, mit den anderen Netzen zu "sprechen" ?

Beim letzten Punkt hatte es bei mir und der UTM mal gehakt.

Gruss
Member: areanod
Solution areanod Nov 28, 2018 at 20:40:56 (UTC)
Goto Top
Zitat von @Noxridee:

Hallo zusammen,

ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN und VLANs aneignen.

Nun habe ich aber folgendes Problem. Ich habe 2 VLANS in unserem Netzwerk, VLAN1 und VLAN2.
Mittels Inter-LAN routing können beide VLANs miteinander reden.

Wenn ich mich jetzt via VPN mit dem Netzwerk verbinde, kann ich mit allen Geräten in VLAN1 kommunzieren nicht aber mit den Geräten in VLAN2.
Gateway ist der gleiche Router. VLAN1 Gateway (192.168.1.1) VLAN2 Gateway (192.168.2.1)
Was habe ich da übersehen?

Hallo Noxridee,

Die Antwort auf deine Frage ist ganz einfach: Dein Rechner weiß (vermutlich) nicht, wie er mit dem zweiten VLAN kommunizieren soll. Je nachdem welche Technologie du für VPN verwendest, musst du dem Client natürlich sagen, wie er mit dem zweiten VLAN kommunizieren soll.

Zwei Beispiele dazu:
1.) Bei der Verwendung von IPSEC müsstest du die IPSEC Policy (Phase 2) so anpassen, dass der Router weiß, dass hier nicht nur ein IP-Subnetz übertragen werden darf, sondern zwei. Du kannst hier dann (je nach Router) entweder zwei IPSEC Policies anlegen, in welchen in einer das Netz 192.168.1.0/24 und in der Anderen 192.168.2.0/24 eingetragen ist. Damit hast du zwei Phasen 2 für beide VLANs angelegt.
Achtung: Manche Router brauchen dann noch das Level Unique gesetzt, damit für eine Phase 1 zwei Phasen 2 genutzt werden können.

2.) Du hast eine simple VPN Einwahl bei der ein eigener Terminationspunkt bzw. Netzwerkadapter angelegt wird. Das passiert z.B. bei SSTP, PPTP, usw. Dieser Netzwerkadapter bekommt nach erfolgreicher Einwahl vom VPN Server eine IP Adresse aus dem Zielnetz zugewiesen und die IP Information, wie er in das Zielnetz gelangen kann. Unter Windows kannst du dir das nach erfolgreich hergestellter Verbindung in einer CMD- oder Powershell Box anzeigen lassen mit dem Befehl
route print
Auch wenn ich davon ausgehe, dass du den Befehl kennst wenn du ein Linuxer bist, der korrekte Befehl dafür in Debian z.B. lautet nur 
route

Was dabei rauskommt kann dann z.B. so aussehen:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    172.16.16.254    172.16.16.238     25
	192.168.1.0    255.255.255.0	 Auf Verbindung	   192.168.1.222	 2
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
    172.16.16.224  255.255.255.224   Auf Verbindung     172.16.16.238    281
    172.16.16.238  255.255.255.255   Auf Verbindung     172.16.16.238    281
    172.16.16.255  255.255.255.255   Auf Verbindung     172.16.16.238    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung     172.16.16.238    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung     172.16.16.238    281
===========================================================================

Was du jetzt tun musst, damit du über Layer 3 (IP) auf das VLAN2 zugreifen zu können funktioniert unter Windows mit folgendem Befehl in einer CMD-Box mit Admin-Rechten(!):
route add 192.168.2.0 MASK 255.255.255.0 192.168.1.1
oder, wenn dir wie mir die CIDR Notation besser gefällt:
route add 192.168.2.0/24 192.168.1.1

Die Route ist jetzt einmalig bis zum nächsten Neustart deines Rechners eingetragen. Du könntest theoretisch einen permanenten Routen-Eintrag setzen indem du den Befehl mit einem nachfolgenden Switch -p ausführst, also:
route add 192.168.2.0/24 192.168.1.1 -p

Wichtig: Das von mir beschriebene Prozedere bezieht sich ausschließlich auf die reine Routingfunktionalität und nimmt auf Berechtigungen, z.B. in Form von Filterrules, oder Fähigkeiten des Routers selbst, keine Rücksicht.

lG
Areanod
Member: Noxridee
Noxridee Nov 30, 2018 at 18:26:38 (UTC)
Goto Top
Hat funktioniert. Habe davon schonmal gehört. Bin nur selber nicht draufgekommen.
Danke für deine Mühe.
GermansolvedQuestionLAN, WAN, WirelessNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments