2
Mesh-VPN Subnet-Routen tailscale
Hallo zusammen,
ich stehe vor einem Problem und bin für jede Hilfe dankbar:
In einem Rechenzentrum steht ein ubuntu Server und ein Windows Server im 192.168.202.xxx-Netz.
Am anderen Ende stehen ein ubuntu Server, drei Windows-Clients und ein Drucker im 192.168.201.xxx-Netz
Auf den ubuntu Servern ist tailscale installiert und das jeweilige Netz vor als Subnet konfiguriert.
Der Plan ist es mit tailscale ein Mesh-VPN aufzubauen, sodass alle Geräte kommunizieren können. Tailscale sollte nur auf den beiden ubuntu Servern laufen.
Vom Windows Server (192.168.202.xxx) aus kann ich über dieses Konstrukt aber lediglich Drucker und Fritzbox im anderen Netz (192.168.201.xxx) pingen.
Die Windows Clients können über dieses Konstrukt auch den Windows Server nicht erreichen.
Das Ganze funktioniert, wenn ich tailscale auf allen Clients installiere, was ich jedoch vermeiden möchte.
Kann mir jemand erklären, warum der Server FritzBox und Drucker im anderen Netz pingen kann die Clients jedoch nicht? Es ist das Ziel, dass alle Clients den Server per RDP erreichen.
Könnte es evtl. eine Windows-Firewall-Einstellung sein, da ja alle Geräte auf denen kein Windows läuft kommunizieren können. Bspw. Client darf nicht in einem Subnetz kommunizieren.
Ich hoffe es ist nicht all zu verwirrend geschrieben und bedanke mich schon vorab für jegliche Hilfe!
ich stehe vor einem Problem und bin für jede Hilfe dankbar:
In einem Rechenzentrum steht ein ubuntu Server und ein Windows Server im 192.168.202.xxx-Netz.
Am anderen Ende stehen ein ubuntu Server, drei Windows-Clients und ein Drucker im 192.168.201.xxx-Netz
Auf den ubuntu Servern ist tailscale installiert und das jeweilige Netz vor als Subnet konfiguriert.
Der Plan ist es mit tailscale ein Mesh-VPN aufzubauen, sodass alle Geräte kommunizieren können. Tailscale sollte nur auf den beiden ubuntu Servern laufen.
Vom Windows Server (192.168.202.xxx) aus kann ich über dieses Konstrukt aber lediglich Drucker und Fritzbox im anderen Netz (192.168.201.xxx) pingen.
Die Windows Clients können über dieses Konstrukt auch den Windows Server nicht erreichen.
Das Ganze funktioniert, wenn ich tailscale auf allen Clients installiere, was ich jedoch vermeiden möchte.
Kann mir jemand erklären, warum der Server FritzBox und Drucker im anderen Netz pingen kann die Clients jedoch nicht? Es ist das Ziel, dass alle Clients den Server per RDP erreichen.
Könnte es evtl. eine Windows-Firewall-Einstellung sein, da ja alle Geräte auf denen kein Windows läuft kommunizieren können. Bspw. Client darf nicht in einem Subnetz kommunizieren.
Ich hoffe es ist nicht all zu verwirrend geschrieben und bedanke mich schon vorab für jegliche Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2416999633
Url: https://administrator.de/contentid/2416999633
Printed on: April 19, 2024 at 02:04 o'clock
2 Comments
Latest comment
Hallo,
Und im FAQ dort gelesen und Verstanden? It enables encrypted point-to-point connections using the open source WireGuard protocol, which means only devices on your private network can communicate with each other... Unlike traditional VPNs, which tunnel all network traffic through a central gateway server, Tailscale creates a peer-to-peer mesh network (called a tailnet). https://tailscale.com/kb/1151/what-is-tailscale/
Und auch mal hier lesen: https://tailscale.com/blog/how-tailscale-works/
https://tailscale.com/contact/support/
Auch Lesenswert: https://tailscale.com/kb/1019/subnets/ Auszug: Subnet routers respect features like access control policies, which make it easy to migrate a large network to Tailscale without installing the app on every device... Devices behind a subnet router do not count toward your pricing plan’s device limit. However, we encourage you to install Tailscale directly on devices wherever possible, for better performance, security, and a zero-configuration setup.
Gruß,
Peter
Zitat von @smudo-test:
Kann mir jemand erklären, warum der Server FritzBox und Drucker im anderen Netz pingen kann die Clients jedoch nicht? Es ist das Ziel, dass alle Clients den Server per RDP erreichen.
Mal mit einen Wireshark nachgeschaut?Kann mir jemand erklären, warum der Server FritzBox und Drucker im anderen Netz pingen kann die Clients jedoch nicht? Es ist das Ziel, dass alle Clients den Server per RDP erreichen.
Könnte es evtl. eine Windows-Firewall-Einstellung sein, da ja alle Geräte auf denen kein Windows läuft kommunizieren können. Bspw. Client darf nicht in einem Subnetz kommunizieren.
Nein, aber dein Wireshark wird dir das auch sagen bzw. noch mehr.Und im FAQ dort gelesen und Verstanden? It enables encrypted point-to-point connections using the open source WireGuard protocol, which means only devices on your private network can communicate with each other... Unlike traditional VPNs, which tunnel all network traffic through a central gateway server, Tailscale creates a peer-to-peer mesh network (called a tailnet). https://tailscale.com/kb/1151/what-is-tailscale/
Und auch mal hier lesen: https://tailscale.com/blog/how-tailscale-works/
https://tailscale.com/contact/support/
Auch Lesenswert: https://tailscale.com/kb/1019/subnets/ Auszug: Subnet routers respect features like access control policies, which make it easy to migrate a large network to Tailscale without installing the app on every device... Devices behind a subnet router do not count toward your pricing plan’s device limit. However, we encourage you to install Tailscale directly on devices wherever possible, for better performance, security, and a zero-configuration setup.
Gruß,
Peter
2
warum der Server FritzBox und Drucker im anderen Netz pingen kann die Clients jedoch nicht?
Weil ICMP (Ping) in der Windows Firewall generell deaktiviert ist ! Ganz besonders auch noch wenn es mit fremden Absender IPs kommt die in der Windows Firewall generell geblockt werden:https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Die Windows Firewall musst du also zwingend anpassen, da bist du also schon auf dem richtigen Weg. Sollte man als Forennutzer mit Schwerpunkt Windows eigentlich auch immer auf dem Radar haben ! 😉
Allgemeine Grundlagen zum IP Routing 2er Netze findest du, wie immer, HIER.
Nebenbei:
Bei der Verbindung von 2 popeligen IP Netzen gleich von einem "Mesh" zu sprechen ist schon etwas frech. Da hätten simple Ubuntu Bordmittel (Strongswan) gereicht um das mit 3 Mausklicks zu realisieren !
Zumal wenn eine überflüssige und kostenpflichtige Software noch ein freies VPN Protokoll benutzt. Das hiesige Wireguard Tutorial hätte dir dann eine einfache Lösung ohne Zusatzkosten präsentiert. Kollege @Pjordorf hat es oben ja schon auf den Punkt gebracht. Man muss sich manchmal schon wundern was manche beim Thema VPN so reitet ?! Aber egal...warum einfach machen wenn es umständlich auch geht.
1
