8
Mehrere VLANs, ein VPN Tunnel
Hallo zusammen,
ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN und VLANs aneignen.
Nun habe ich aber folgendes Problem. Ich habe 2 VLANS in unserem Netzwerk, VLAN1 und VLAN2.
Mittels Inter-LAN routing können beide VLANs miteinander reden.
Wenn ich mich jetzt via VPN mit dem Netzwerk verbinde, kann ich mit allen Geräten in VLAN1 kommunzieren nicht aber mit den Geräten in VLAN2.
Gateway ist der gleiche Router. VLAN1 Gateway (192.168.1.1) VLAN2 Gateway (192.168.2.1)
Was habe ich da übersehen?
ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN und VLANs aneignen.
Nun habe ich aber folgendes Problem. Ich habe 2 VLANS in unserem Netzwerk, VLAN1 und VLAN2.
Mittels Inter-LAN routing können beide VLANs miteinander reden.
Wenn ich mich jetzt via VPN mit dem Netzwerk verbinde, kann ich mit allen Geräten in VLAN1 kommunzieren nicht aber mit den Geräten in VLAN2.
Gateway ist der gleiche Router. VLAN1 Gateway (192.168.1.1) VLAN2 Gateway (192.168.2.1)
Was habe ich da übersehen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394055
Url: https://administrator.de/contentid/394055
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
mehr Infos!!!!!
Was für ein Router?
Du musst in der VPN einstellen, was im Tunnel erlaubt ist und was nicht, dort zählen auch andere Subnetze.
Mit deinen dürftigen Infos wird es aber schwer dir zu helfen.
Was ist Inter-Lan Routing?
mehr Infos!!!!!
Was für ein Router?
Du musst in der VPN einstellen, was im Tunnel erlaubt ist und was nicht, dort zählen auch andere Subnetze.
Mit deinen dürftigen Infos wird es aber schwer dir zu helfen.
Was ist Inter-Lan Routing?
Ein Draytek Vigor Router.
der übernimmt das komplette VLAN-Routing. Dazu sind noch ein paar Cisco switche im Netzwerk, die aber alle richtig getagged sind.
VPN Einwahl erfolgt über eine Standleitung die direkt auf den Switch geht und dann auf den Router. Clients die via VPN verbunden sind erhalten intern eine IP im VLAN1 via DHCP.
Inter-VLAN Routing mein ich. Damit wird die Route ins andere VLAN gesetzt.
der übernimmt das komplette VLAN-Routing. Dazu sind noch ein paar Cisco switche im Netzwerk, die aber alle richtig getagged sind.
VPN Einwahl erfolgt über eine Standleitung die direkt auf den Switch geht und dann auf den Router. Clients die via VPN verbunden sind erhalten intern eine IP im VLAN1 via DHCP.
Inter-VLAN Routing mein ich. Damit wird die Route ins andere VLAN gesetzt.
VPN Einwahl erfolgt über eine Standleitung die direkt auf den Switch geht und dann auf den Router.
Kannst du das bitte mal zeichnen?
Du hast die VPN aufm Switch eingerichtet?
Entweder hab ich grad ein Brett vom Kopf, oder du hast was ganz gruseliges eingerichtet..
Normalerweise läuft das über den Router?
Was für Einstellungen hast du den in der VPN getroffen?
Inter-VLAN Routing
Das hast du auf dem Router oder aufm Switch gemacht?
VPN ist auf dem Router eingerichtet, über den erfolgt dann auch die Einwahl ins Netzwerk via VPN.
Sind alles nur L2 Switche. Da hab ich die VLAN ID eingetragen und die ensprechenden Ports getagged. Funktioniert auch alles wenn ich ganz normal im Netz arbeite. Nur über VPN halt nicht.
So funktioniert die Einwahl.
Sind alles nur L2 Switche. Da hab ich die VLAN ID eingetragen und die ensprechenden Ports getagged. Funktioniert auch alles wenn ich ganz normal im Netz arbeite. Nur über VPN halt nicht.
So funktioniert die Einwahl.
Du müsstest nur in den VPN-Einstellungen sagen, was im Tunnel erlaubt ist und was nicht.
Welches Modell vom Draytek hast du? Dann könnten wir mal in die Anleitung schauen..
Welches Modell vom Draytek hast du? Dann könnten wir mal in die Anleitung schauen..
Moin ,
ist dein VPN Netz ein eigenständiges Netz ?
Ist dem VPN Netz erlaubt, mit den anderen Netzen zu "sprechen" ?
Beim letzten Punkt hatte es bei mir und der UTM mal gehakt.
Gruss
ist dein VPN Netz ein eigenständiges Netz ?
Ist dem VPN Netz erlaubt, mit den anderen Netzen zu "sprechen" ?
Beim letzten Punkt hatte es bei mir und der UTM mal gehakt.
Gruss
Zitat von @Noxridee:
Hallo zusammen,
ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN und VLANs aneignen.
Nun habe ich aber folgendes Problem. Ich habe 2 VLANS in unserem Netzwerk, VLAN1 und VLAN2.
Mittels Inter-LAN routing können beide VLANs miteinander reden.
Wenn ich mich jetzt via VPN mit dem Netzwerk verbinde, kann ich mit allen Geräten in VLAN1 kommunzieren nicht aber mit den Geräten in VLAN2.
Gateway ist der gleiche Router. VLAN1 Gateway (192.168.1.1) VLAN2 Gateway (192.168.2.1)
Was habe ich da übersehen?
Hallo zusammen,
ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN und VLANs aneignen.
Nun habe ich aber folgendes Problem. Ich habe 2 VLANS in unserem Netzwerk, VLAN1 und VLAN2.
Mittels Inter-LAN routing können beide VLANs miteinander reden.
Wenn ich mich jetzt via VPN mit dem Netzwerk verbinde, kann ich mit allen Geräten in VLAN1 kommunzieren nicht aber mit den Geräten in VLAN2.
Gateway ist der gleiche Router. VLAN1 Gateway (192.168.1.1) VLAN2 Gateway (192.168.2.1)
Was habe ich da übersehen?
Hallo Noxridee,
Die Antwort auf deine Frage ist ganz einfach: Dein Rechner weiß (vermutlich) nicht, wie er mit dem zweiten VLAN kommunizieren soll. Je nachdem welche Technologie du für VPN verwendest, musst du dem Client natürlich sagen, wie er mit dem zweiten VLAN kommunizieren soll.
Zwei Beispiele dazu:
1.) Bei der Verwendung von IPSEC müsstest du die IPSEC Policy (Phase 2) so anpassen, dass der Router weiß, dass hier nicht nur ein IP-Subnetz übertragen werden darf, sondern zwei. Du kannst hier dann (je nach Router) entweder zwei IPSEC Policies anlegen, in welchen in einer das Netz 192.168.1.0/24 und in der Anderen 192.168.2.0/24 eingetragen ist. Damit hast du zwei Phasen 2 für beide VLANs angelegt.
Achtung: Manche Router brauchen dann noch das Level Unique gesetzt, damit für eine Phase 1 zwei Phasen 2 genutzt werden können.
2.) Du hast eine simple VPN Einwahl bei der ein eigener Terminationspunkt bzw. Netzwerkadapter angelegt wird. Das passiert z.B. bei SSTP, PPTP, usw. Dieser Netzwerkadapter bekommt nach erfolgreicher Einwahl vom VPN Server eine IP Adresse aus dem Zielnetz zugewiesen und die IP Information, wie er in das Zielnetz gelangen kann. Unter Windows kannst du dir das nach erfolgreich hergestellter Verbindung in einer CMD- oder Powershell Box anzeigen lassen mit dem Befehl
route printrouteWas dabei rauskommt kann dann z.B. so aussehen:
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 172.16.16.254 172.16.16.238 25
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.222 2
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
172.16.16.224 255.255.255.224 Auf Verbindung 172.16.16.238 281
172.16.16.238 255.255.255.255 Auf Verbindung 172.16.16.238 281
172.16.16.255 255.255.255.255 Auf Verbindung 172.16.16.238 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 172.16.16.238 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 172.16.16.238 281
===========================================================================Was du jetzt tun musst, damit du über Layer 3 (IP) auf das VLAN2 zugreifen zu können funktioniert unter Windows mit folgendem Befehl in einer CMD-Box mit Admin-Rechten(!):
route add 192.168.2.0 MASK 255.255.255.0 192.168.1.1route add 192.168.2.0/24 192.168.1.1Die Route ist jetzt einmalig bis zum nächsten Neustart deines Rechners eingetragen. Du könntest theoretisch einen permanenten Routen-Eintrag setzen indem du den Befehl mit einem nachfolgenden Switch -p ausführst, also:
route add 192.168.2.0/24 192.168.1.1 -pWichtig: Das von mir beschriebene Prozedere bezieht sich ausschließlich auf die reine Routingfunktionalität und nimmt auf Berechtigungen, z.B. in Form von Filterrules, oder Fähigkeiten des Routers selbst, keine Rücksicht.
lG
Areanod
Hat funktioniert. Habe davon schonmal gehört. Bin nur selber nicht draufgekommen.
Danke für deine Mühe.
Danke für deine Mühe.
