helmuthelmut2000
Goto Top

Mit einer VPN Verbindung auf ein zweites Netzwerk zugreifen

Hi,

Ich habe folgende Situation.
In einem Netzwerk sind ca. 20 Geräte (PC und Drucker) die mit einer FritzBox 7390 ins Internet DSL gehen.
Mit einer VPN Verbindung kann man sich auch von außen mir dem Netzwerk verbinden. Das funktioniert einwandfrei.

Jetzt sind aber in einem PC zwei Netzwerkkarten drin und die zweite Karte ist mit einer Steuerung verbunden.
Hat auch eine andere IP - Bereich und Subnetmaske.

1. Netz hat den Adressbereich:
192.168.178.0 Subnet: 255.255.255.0
Router hat die 192.168.178.1

2. Netz hat den Adressbereich:
160.90.0.0 Subnet: 255.255.0.0


Der PC mit den beiden Netzwerkkarten hat an einer Karte die:
1. Karte
IP: 192.168.178.18
Subnet: 255.255.255.0
Standardgate.: 192.168.178.1

2. Karte
IP: 160.90.0.8
Subnet: 255.255.0.0

Die Steuerung an der 2. Karte hat die:
IP: 160.90.0.2
Subnet: 255.255.0.0

Jetzt sollte man von außen auch auf das 2. Netzwerk zugreifen können.
Das heißt mit einer VPN-Verbindung sollte man auch mit einem Ping die 160.90.0.2 anpingen können.
Wie macht man das?
Geht das, wenn man an dem PC mit den beiden Karten die Routing und RAS Dienst startet und muß
man da noch etwas einrichten?
Oder sollte man das an der FB machen?
Ich hätte auch noch einen Router TL 841N da den wo ich auch Einsetzen könnte.

Danke.

Gruß
Helmut

Content-ID: 292632

Url: https://administrator.de/forum/mit-einer-vpn-verbindung-auf-ein-zweites-netzwerk-zugreifen-292632.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

BirdyB
BirdyB 09.01.2016 um 13:06:32 Uhr
Goto Top
Hallo Helmut,

entweder arbeitest du wirklich beim African Network Information Center oder bei eurer IP-Vergabe ist etwas total schiefgelaufen...
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 160.90.0.8"  
#
# Use "?" to get help.  
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=160.90.0.8?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

NetRange:       160.90.0.0 - 160.90.255.255
CIDR:           160.90.0.0/16
NetName:        AFRINIC-ERX-160-90-0-0
NetHandle:      NET-160-90-0-0-1
Parent:         NET160 (NET-160-0-0-0-0)
NetType:        Transferred to AfriNIC
OriginAS:
Organization:   African Network Information Center (AFRINIC)
RegDate:        2010-11-03
Updated:        2010-11-17
Comment:        This IP address range is under AFRINIC responsibility.
Comment:        Please see http://www.afrinic.net/ for further details,
Comment:        or check the WHOIS server located at whois.afrinic.net.
Ref:            http://whois.arin.net/rest/net/NET-160-90-0-0-1

ResourceLink:  http://afrinic.net/en/services/whois-query
ResourceLink:  whois.afrinic.net

OrgName:        African Network Information Center
OrgId:          AFRINIC
Address:        Level 11ABC
Address:        Raffles Tower
Address:        Lot 19, Cybercity
City:           Ebene
StateProv:
PostalCode:
Country:        MU
RegDate:        2004-05-17
Updated:        2015-05-04
Comment:        AfriNIC - http://www.afrinic.net
Comment:        The African & Indian Ocean Internet Registry
Ref:            http://whois.arin.net/rest/org/AFRINIC

ReferralServer:  whois://whois.afrinic.net
ResourceLink:  http://afrinic.net/en/services/whois-query

OrgTechHandle: GENER11-ARIN
OrgTechName:   Generic POC
OrgTechPhone:  +230 4666616
OrgTechEmail:  abusepoc@afrinic.net
OrgTechRef:    http://whois.arin.net/rest/poc/GENER11-ARIN

OrgAbuseHandle: GENER11-ARIN
OrgAbuseName:   Generic POC
OrgAbusePhone:  +230 4666616
OrgAbuseEmail:  abusepoc@afrinic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/GENER11-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#


Ansonsten solltet ihr euch wirklich besser auf die privaten Adressbereiche beschränken!

Zu deiner Kernfrage:
Du musst eben die entsprechenden Routen konfigurieren und die Netze über das VPN bekanntmachen.

Dazu fehlen aber noch die Infos über das eingesetzte VPN, wo ist der Endpunkt? Site-to-Site oder Einzelclients, etc...

Beste Grüße


Berthold
122990
122990 09.01.2016 aktualisiert um 13:23:08 Uhr
Goto Top
Moin,
neben dem falschen "nicht privaten" Adressbereich den Birdy bereits angesprochen hat, brauchst du auf Client-Seite welcher das VPN zur Fritzbox aufbaut eine Route die dieses Subnetz auf den VPN-Tunnel legt falls der Client die Fritte nicht schon sowieso als Default GW nutzt (also alle daten sowieso durch den Tunnel gehen), dann brauchst du noch eine statische Route für das zweite Subnetz auf der Fritzbox welche als GW die IP des Servers hat ( 192.168.178.18).
Dann muss das IP-Routing auf dem Server aktiviert werden, am einfachsten durch das aktivieren des RRAS Dienstes.
Wenn die Clients in diesem zweiten Subnetz nicht den Server als DefaultGW haben, sondern einen anderen Router muss dort auf diesem Router ebenfalls eine statische Route angelegt werden welche für das 192.168.178.x/24 Netz den Server 192.168.178.18 als GW hat. Dann fluppt das ...

Und bitte nicht die Firewalls der Clients vergessen, Windows Clients blocken ICMP per Default aus fremden Subnetzen!

Einfacher wäre es wenn du einen kleinen Mikrotik ins Netz hängst und das zweite Subnetz direkt an diesem terminierst ...

Gruß grexit
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 13:22:46 Uhr
Goto Top
Hi,

Bei VPN setzen wir Einzelclients ein.
Also über den PC mit den 2 Netzwerkkarten geht das nicht?

Geht das wenn ich den TL841N Router in das 2.Netz hänge und auch eine IP in dem Bereich gebe,
muß ich dann an dem WAN Anschluß mit einem Netzwerkkabel mit der FB7390 verbinden?
Wie muß ich dann den TL841N konfigurieren?

Gruß
122990
122990 09.01.2016 aktualisiert um 13:25:57 Uhr
Goto Top
Zitat von @helmuthelmut2000:
Bei VPN setzen wir Einzelclients ein.
Also über den PC mit den 2 Netzwerkkarten geht das nicht?
Doch siehe mein detailliertes Kommentar oben ...

Kannst du auch hier nochmal nachlesen:
Routing mit 2 Netzwerkkarten unter Windows u. Linux
BirdyB
BirdyB 09.01.2016 um 13:27:09 Uhr
Goto Top
Hallo Helmut,

du musst eben sicherstellen, dass beginnend von deinem VPN-Client bis zu deiner Steuerung das Hin- und Rückrouting entsprechend konfiguriert ist.
Dabei geht es eben darum, dass gerade die Standard-Gateways wissen, was über das VPN geht und was nicht...
Ob du das mit dem PC, einem Mikrotik, einem TP-Link oder wasauchimmer tust bleibt dir überlassen. Es gibt eben komfortable und weniger komfortable Wege dein Ziel zu erreichen.

Beste Grüße


Berthold
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 13:40:29 Uhr
Goto Top
Hi,

Kann ich das anstatt den Mikrotik auch den TL841N Router nehmen?

Wie muss der Konfiguriert werden?

Muß eine Route zu
160.90.0.0
255.255.0.0
192.168.178.1

Muß da ein Forwarding auch eingetragen werden und welche?

Gruß
122990
122990 09.01.2016 aktualisiert um 13:50:12 Uhr
Goto Top
Zitat von @helmuthelmut2000:
Kann ich das anstatt den Mikrotik auch den TL841N Router nehmen?
Ja, aber besser nur mit DD-WRT/ Open-WRT betreiben.
Wie muss der Konfiguriert werden?
Steht doch schon zum xten mal in den Tutorials von Aqui...
Einfach mal die Grundlagen dazu lesen
Kopplung von 2 Routern am DSL Port

Von einem LAN der Fritte auf den WAN des TP-Link, dem TP-Link auf dem WAN eine feste IP aus dem Netz der Fritte geben. Dann auf der Fritte eine statische Route anlegen welche ihm den Weg zum zweiten Subnetz über den TP-Link weist.
Das ganze funktioniert aber nur wenn auf dem TP-Link das NAT auf dem WAN-Port abschaltbar ist, meistens ist das ohne DD-WRT-Firmware nicht der Fall dann musst du den umflashen.
aqui
aqui 09.01.2016 aktualisiert um 13:57:43 Uhr
Goto Top
Das sorgfältige Lesen der AVM VPN Dokumentation hätte die o.a. Frage im Handumdrehen beantwortet...:
http://at.avm.de/service/vpn/praxis-tipps/ueber-eine-vpn-verbindung-auf ...
Zum Rest ist ja oben schon alles gesagt...
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 14:56:05 Uhr
Goto Top
Hi,

Wie kann ich sehen ob der WAN-Port abschaltbar ist?
Sollte man das in den WAN Einstellungen vornehmen können?

Gruß
aqui
aqui 09.01.2016 aktualisiert um 14:59:51 Uhr
Goto Top
Wie kann ich sehen ob der WAN-Port abschaltbar ist?
Was hat das mit der eigentlichen Fragestellung dieses Threads zu tun ??
Und...was genau meinst du damit ??
Wen WAN Port komplett deaktivieren oder nur ein ggf. internes xDSL Modem zu bypassen ??
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 15:06:21 Uhr
Goto Top
Entschuldigung.

Ich meine das NAT auf dem WAN Port.
aqui
aqui 09.01.2016 um 15:10:07 Uhr
Goto Top
Bei Routern die das supporten ist das meist in der Konfig des WAN Ports angesiedelt, das ist richtig !
Es wird auch häufig als Gateway Mode (NAT) oder Router Mode (non NAT) bezeichnet.
Wie gesagt: Der Router muss das supporten !
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 15:17:51 Uhr
Goto Top
Hi,

Noch was zu der Route.

Wie muss die Route jetzt genau aussehen.

IP-Netz: 192.168.178.0
Subnet: 255.255.255.0
Gateway IP: IP wo ich am WAN-Port die feste IP aus dem Netz der Fritte.
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 16:52:21 Uhr
Goto Top
Hi grexit,

Danke mal für die Hilfe, ich bin jetzt sehr weit gekommen.
Denke ich mal.

Ich hab den TP-Link mal geflasht und dann kann man auch das NAT abschalten.
Ich kann jetzt von Netzt 1 zu Netzt 2 pingen, und in Netz 1 wo die Fritte ist kann ich auch untereinander pingen.

Nur kann ich nicht im Netz des TP-Link untereinander pingen.

Woran könnte das noch liegen?

Danke

Gruß
122990
122990 09.01.2016 aktualisiert um 17:05:47 Uhr
Goto Top
Nur kann ich nicht im Netz des TP-Link untereinander pingen.
Woran könnte das noch liegen?
Du hast vermutlich die LAN-Ports des Routers keiner Layer-2 Bridge zugewiesen ... somit sind alle LAN-Ports voneinander getrennte Segmente, das wäre eine mögliche Ursache.
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 17:30:41 Uhr
Goto Top
Hi,

Ja das kann sein,
Kannst du mir da Helfen wie und wo ich so eine Bridge zuweise?

Gruß
122990
122990 09.01.2016 aktualisiert um 18:29:10 Uhr
Goto Top
Setup > Networking > Bridging > "Assign to bridge"
https://www.dd-wrt.com/demo/Networking.asp
helmuthelmut2000
helmuthelmut2000 09.01.2016 um 21:08:17 Uhr
Goto Top
Hi,

Das mit dem Assign to Bridge Versuche ich Morgen mal.
Bei meinem Router sehen die Einstellungen etwas anders aus.

Die VPN-Verbindung habe ich auch hin bekommen.

Noch was.
Ich habe jetzt ein Patchkabel von der WAN-Buchse am TP-Link zu
einem LAN an der FB7390.
Das kann doch auch im Netzwerk der FB stecken. Also an einem Switch?

Gruß
122990
122990 09.01.2016 um 23:53:55 Uhr
Goto Top
Also an einem Switch?
Logisch...
helmuthelmut2000
helmuthelmut2000 10.01.2016 um 00:12:12 Uhr
Goto Top
Hi,

Jetzt passt das Assign to Bridge bei mir noch nicht.

Bei mir ist das jetzt so:

Bridge Name = br0
STP enabled = no
Interface = eth0 ath0

Zum Einstellen habe ich:
Name
STP
IGMP Snooping
Prio
MTU
Root Mac

Wie bekommt man das damit hin?

Danke

Gruß
helmuthelmut2000
helmuthelmut2000 10.01.2016 um 00:47:35 Uhr
Goto Top
Hi,

Noch mal ob das Richtig ist.

An dem TP-Link gibt es die Netzwerkeinstellung: Router IP:
Lokale IP Adresse ist die Adresse des Routers: 160.90.0.10
Netzmaske: ist die Maske des 2 Netz. Bei mir die 255.255.0.0
Was ist da das Gateway?
Gateway der FB7390 oder auch die 160.90.0.10 ?
Lokaler DNS: IP der FB oder auch die 160.90.0.10?

Und was müssen die Clients in dem 2. Netz vom TP-Link als Standardgatway haben.
Die IP der FB oder des TP-Link und der DNS auch von dem TP-Link?

Danke.

Gruß
122990
122990 10.01.2016 aktualisiert um 10:56:33 Uhr
Goto Top
Zitat von @helmuthelmut2000:
An dem TP-Link gibt es die Netzwerkeinstellung: Router IP:
Lokale IP Adresse ist die Adresse des Routers: 160.90.0.10
Netzmaske: ist die Maske des 2 Netz. Bei mir die 255.255.0.0
Was ist da das Gateway?
Gateway der FB7390 oder auch die 160.90.0.10 ?
Das Gateway des TP-Link ist die Fritzbox, logisch ...
Lokaler DNS: IP der FB oder auch die 160.90.0.10?
Fritte
Und was müssen die Clients in dem 2. Netz vom TP-Link als Standardgatway haben.
Die IP der FB oder des TP-Link und der DNS auch von dem TP-Link?
Wieder mal fehlende Netzwerkgrundlagen, ein Gateway für Clients muss immer im selben Subnetz erreichbar sein, auch logisch. Wenn der TP-Link DNS-Proxy ist und Anfragen weiterleitet kann er selber als DNS funktionieren, du könntest aber genau so die Fritte oder Google den Clients via DHCP mitteilen, das ist schnuppe.

Hol dir jemanden der was vom Thema versteht, oder les dich erst mal in die Grundlagen des Routings ein.
122990
122990 10.01.2016 aktualisiert um 11:00:19 Uhr
Goto Top
Eine Bridge bildest du nur zwischen den Ports die sich im LAN des TP-Link sehen sollen, der WAN kommt logischerweise nicht in die Bridge, da die ja eine andere IP aus dem Subnetzt der Fritte erhalten muss.
Ebenso überprüfe ob für das WLAN "Default Forward" aktiviert ist, denn wenn nicht erreicht ein WLAN Client keine subnetzinternen Geräte.
helmuthelmut2000
helmuthelmut2000 10.01.2016 um 12:13:04 Uhr
Goto Top
Hi,

Ich wollte mir da nur ganz sicher sein.
Ich hab das so eingestellt und es funktioniert auch Tadellos. Auch der VPN von außen.

Danke.

Gruß
Helmut
122990
Lösung 122990 10.01.2016 aktualisiert um 19:44:16 Uhr
Goto Top
Na dann fehlt ja nur noch das gelöst hinten dran...