15
Mit PPTP-VPN intern auf 2tes Subnetz zugreifen
Hallo Forum!
Habe einen SBS 2011 der Routing und RAS aktiviert hat und VPN Server spielt - funktioniert.
Intern habe ich das 192.168.3.0 LAN und auf das wird auch zugegriffen.
Einige PCs sind jedoch im 192.168.4.0 LAN aus sicherheitstechnischen Gründen sollen diese nichts mit dem 3er LAN zu tun haben.
Jetzt soll es möglich sein aus der VPN heraus (hier bekomme ich eine 192.168.3.x IP zugewiesen) per VNC auf eine 192.168.4.x Adresse zuzugreifen was leider nicht funkioniert.
Habt ihr hier einen Ratschlag für mich?
Habe einen SBS 2011 der Routing und RAS aktiviert hat und VPN Server spielt - funktioniert.
Intern habe ich das 192.168.3.0 LAN und auf das wird auch zugegriffen.
Einige PCs sind jedoch im 192.168.4.0 LAN aus sicherheitstechnischen Gründen sollen diese nichts mit dem 3er LAN zu tun haben.
Jetzt soll es möglich sein aus der VPN heraus (hier bekomme ich eine 192.168.3.x IP zugewiesen) per VNC auf eine 192.168.4.x Adresse zuzugreifen was leider nicht funkioniert.
Habt ihr hier einen Ratschlag für mich?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196743
Url: https://administrator.de/contentid/196743
Ausgedruckt am: 25.11.2024 um 08:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo
Einige PCs sind jedoch im 192.168.4.0 LAN aus sicherheitstechnischen Gründen sollen diese nichts mit dem 3er LAN zu tun
haben.
Entweder oder.
Wenn muss im 4rer Netz ein weiterer Router stehen, der dann zwischen dem VPN-Server und dem 4rer Netz vermittelt (und auch NAT macht - die Clients im 4rer Netz sollen ja das 3er Netz nicht kennen).
Aber diesen könnten dann wenn man die Routen im 4rer Netz anpasst auch dafür verwendne ins 3er Netz zu kommen.
Also wäre es am besten für das 4rer Netz ein eigenes VPN zu machen in das man sich reinwählt, so wird die bestehende netztrennung auch sauber beibehalten.
Gruß
Chonta
Einige PCs sind jedoch im 192.168.4.0 LAN aus sicherheitstechnischen Gründen sollen diese nichts mit dem 3er LAN zu tun
haben.
Entweder oder.
Wenn muss im 4rer Netz ein weiterer Router stehen, der dann zwischen dem VPN-Server und dem 4rer Netz vermittelt (und auch NAT macht - die Clients im 4rer Netz sollen ja das 3er Netz nicht kennen).
Aber diesen könnten dann wenn man die Routen im 4rer Netz anpasst auch dafür verwendne ins 3er Netz zu kommen.
Also wäre es am besten für das 4rer Netz ein eigenes VPN zu machen in das man sich reinwählt, so wird die bestehende netztrennung auch sauber beibehalten.
Gruß
Chonta
Hallo,
kannst du das Netz 192.168.4.0 anpingen?
Wenn nicht, versuche mal über eine Route (unter winblows: route add ) einzugeben...
Wobei du das mit dem Admin absprechen solltest!
Gibt sonst Stress mit ihm...
brammer
kannst du das Netz 192.168.4.0 anpingen?
Wenn nicht, versuche mal über eine Route (unter winblows: route add ) einzugeben...
Wobei du das mit dem Admin absprechen solltest!
Gibt sonst Stress mit ihm...
brammer
Wenn ich mir eine 2te IP im 4rer Netz gebe kann ich die Geräte anpingen und komme auch per VNC drauf.
Ansonsten nicht.
Weiters haben wir eine Cisco RV042 auf dem 2 IP Adressen eingestellt sind 3.x und 4.x
Ansonsten nicht.
Weiters haben wir eine Cisco RV042 auf dem 2 IP Adressen eingestellt sind 3.x und 4.x
Das klapt aber nur wenn der Angepingte auch eine Route zum Angepingten bekommt.
Sonst geht der Ping zwar raus und kommt auch an, aber eine Antwort geht nicht da das Ziel des Pings keine Route zur hat.
Und im Moment hat weder das 3er Netz eine Route ins 4rer noch das 4rer ins 3er Netz und laut Aussage auch gewollt.
@daChris
Das die Netze nur logisch und nicht Physich getrennt sind hätte man erwähen können.
In dem Moment wo Du ne IP aus dem 4rer Netz hast bist Du auch Teil davon und für die anderen PC auch erreichbar. Dir per Hand die IP bei Bedarf zu geben wäre auch eine Gangbare Lösung mit dem wenigsten Auwand.
Gruß
Chonta
Sonst geht der Ping zwar raus und kommt auch an, aber eine Antwort geht nicht da das Ziel des Pings keine Route zur hat.
Und im Moment hat weder das 3er Netz eine Route ins 4rer noch das 4rer ins 3er Netz und laut Aussage auch gewollt.
@daChris
Wenn ich mir eine 2te IP im 4rer Netz gebe kann ich die Geräte anpingen und komme auch per VNC drauf.
Das die Netze nur logisch und nicht Physich getrennt sind hätte man erwähen können.
In dem Moment wo Du ne IP aus dem 4rer Netz hast bist Du auch Teil davon und für die anderen PC auch erreichbar. Dir per Hand die IP bei Bedarf zu geben wäre auch eine Gangbare Lösung mit dem wenigsten Auwand.
Gruß
Chonta
Ja sorry nur logisch getrennt.
Das Problem ist ich muss eine Firma von extern per VPN auf ihre Geräte mit VNC lassen und kann hier leider nichts manuell vergeben.
Habe auch schon eine IPSec am Cisco versucht - auch hier lässt er mich nicht ins 4er Netz, nur ins 3er.
Das Problem ist ich muss eine Firma von extern per VPN auf ihre Geräte mit VNC lassen und kann hier leider nichts manuell vergeben.
Habe auch schon eine IPSec am Cisco versucht - auch hier lässt er mich nicht ins 4er Netz, nur ins 3er.
Dann mus ein eigener Tunnel ins 4rer Netz ohne Weg über das 3er Netz gemacht werden.
Da die ja eh nichts voneinander wissen dürfen ist der Weg durch das 3er Netz unnötig.
Also im Router ein neues VPN einrichten (andere Ports etc) und das dann für die IP-Range des 4rer Netzes, alle kommen rein und von 4 nichts nach 3 oder von 3 nach 4.
Gruß
Chonta
Da die ja eh nichts voneinander wissen dürfen ist der Weg durch das 3er Netz unnötig.
Also im Router ein neues VPN einrichten (andere Ports etc) und das dann für die IP-Range des 4rer Netzes, alle kommen rein und von 4 nichts nach 3 oder von 3 nach 4.
Gruß
Chonta
Genau das habe ich auch gedacht und auch eingerichtet.
Eine VPN ins 4rer LAN da der RV042 ja 2 interne IP Adressen hat 3.x und 4.x
Habe anschließend auch mit ShrewSoft VPN eine Verbindung erfolgreich hergestellt - nach dieser Anleitung http://www.shrew.net/support/Howto_Linksys
Jedoch komme ich von der VPN aus immer nur ins 3er Netz.
Eine VPN ins 4rer LAN da der RV042 ja 2 interne IP Adressen hat 3.x und 4.x
Habe anschließend auch mit ShrewSoft VPN eine Verbindung erfolgreich hergestellt - nach dieser Anleitung http://www.shrew.net/support/Howto_Linksys
Jedoch komme ich von der VPN aus immer nur ins 3er Netz.
Dann hast Du kein VPN für das 4rer Netz sondern ein zweites für das 3er Netz eingerichtet.
Bzw. Der Router kann das was Du vor hast nicht.
Der muss Dir für die neue Verbindung ja auch eine IP aus dem Adresspool vom 4rer Netz geben, wenn das nicht eingestellt ist und er nur aus dem 3er Netz geben kann....
Bzw. Der Router kann das was Du vor hast nicht.
Der muss Dir für die neue Verbindung ja auch eine IP aus dem Adresspool vom 4rer Netz geben, wenn das nicht eingestellt ist und er nur aus dem 3er Netz geben kann....
Hallo daChris,
auf dem LAN Switch einfach zwei VLANs anlegen und gut ist es!
Dann nur einen IP Adressbereich mit einem DHCP und die Rechner sind auch von einander getrennt.
Aber wenn man sich nun von außen via VPN einwählt kann man an alle VLANs und alles ist so wie Du
es haben willst.
Gruß
Dobby
auf dem LAN Switch einfach zwei VLANs anlegen und gut ist es!
Dann nur einen IP Adressbereich mit einem DHCP und die Rechner sind auch von einander getrennt.
Aber wenn man sich nun von außen via VPN einwählt kann man an alle VLANs und alles ist so wie Du
es haben willst.
Gruß
Dobby
Ich dachte da der Router RV042 Multiple Subnet kann, würde das so funktionieren.
Habe ihm daher zusätzlich eine IP aus dem 4rer LAN gegeben.
Habe ihm daher zusätzlich eine IP aus dem 4rer LAN gegeben.
Hallo daChris,
ich weiß es hört sich jetzt etwas schnippisch und altmodisch an, aber bitte sei versichert
ich weiß es einfach nicht anders zu formulieren.
Ich würde das VPN vorne am Router enden lassen und dann kann eben auch jeder, zumindest in der Regel auf das ganze dahinter liegende Netzwerk ungehindert zugreifen!
Und im Bezug auf die Trennung der Netze bzw. der PCs von einander, sind eben zwei VLANs doch irgendwie
dafür wie gemacht, oder?
Gruß
Dobby
ich weiß es hört sich jetzt etwas schnippisch und altmodisch an, aber bitte sei versichert
ich weiß es einfach nicht anders zu formulieren.
Ich würde das VPN vorne am Router enden lassen und dann kann eben auch jeder, zumindest in der Regel auf das ganze dahinter liegende Netzwerk ungehindert zugreifen!
Und im Bezug auf die Trennung der Netze bzw. der PCs von einander, sind eben zwei VLANs doch irgendwie
dafür wie gemacht, oder?
Gruß
Dobby
Wenn er 2 IP Netze auf einem gemeinsamen "Draht" fährt ist das eine nicht standardtisierte und damit auch aus TCP/IP Sicht unzulässige Installation !
Kann man dann also gleich vergessen und muss auch nicht weitersuchen nach einer Lösung, denn das wird nie funktionieren, jeder wirkliche Netzwerker weis das.
Es geht nur wenn diese 2 Segmente also .3er und .4er Netze sauber geroutet werden mit NIC, VLANs oder wie auch immer.
Ohne das ist es nicht funktionsfähig lösbar.
Wie eine IP Segmentierung sauber und richtig gemacht wird sagen dir diese Tutorials:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit einer simplen 4 Euro NIC im Server oder einem 30 Euro Router ist das in 10 Minuten erledigt und gelöst !
Kann man dann also gleich vergessen und muss auch nicht weitersuchen nach einer Lösung, denn das wird nie funktionieren, jeder wirkliche Netzwerker weis das.
Es geht nur wenn diese 2 Segmente also .3er und .4er Netze sauber geroutet werden mit NIC, VLANs oder wie auch immer.
Ohne das ist es nicht funktionsfähig lösbar.
Wie eine IP Segmentierung sauber und richtig gemacht wird sagen dir diese Tutorials:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit einer simplen 4 Euro NIC im Server oder einem 30 Euro Router ist das in 10 Minuten erledigt und gelöst !
Der Kunde hatte vorher einen Cisco 800 Serie Internetrouter - mit diesem hat das problemlos funktioniert - von außen per Cisco VPN client einloggen - man konnte ins 3er und 4rer Netz.
Leider wurde dieser vom Provider ersetzt durch den Cisco RV042 - welcher jedoch auch Multiple Subnets unterstützt und eine IP im 3er und eine im 4rer Netz hat.
Daher möchte der Kunde (nicht ich) das es mit den vorhandenen Mitteln wieder funktioniert.
Leider wurde dieser vom Provider ersetzt durch den Cisco RV042 - welcher jedoch auch Multiple Subnets unterstützt und eine IP im 3er und eine im 4rer Netz hat.
Daher möchte der Kunde (nicht ich) das es mit den vorhandenen Mitteln wieder funktioniert.
Ändert aber nichts daran das das eine laienhafte, nicht standardtisierte und damit auch eine unzulässige IP Installation bzw. Design ist ! Zuhause kann man ja sowas "basteln" aber in einer Firma mit einem verantwortungsvollen Netzwerker oder ITler hat das rein gar nichts zu suchen !
Cisco sagt das selber, denn das wird mit sog. "Secondary" IP Adressen im Router gelöst die von Cisco einzig für die IP Migration ! aber niemals für den Produktivbetrieb gedacht sind.
Steht schwarz auf weiss so im Manual und den Design Guides, außerdem weiss das jeder Netzwerker !
Es ist also klar und auch abzusehen, das es zu solchen Problemen kommt die auf einer Bastellösung mit einer bestimmten HW basieren. Was erwartest du ? Sowas weiss man von vorn herein wenn man sowas aufbaut.
Wo ist also dein wirkliches Problem ?
Bei soviel Dilettantismus, sorry fällt auch eine super duper Lösung aus dem Forum schwer. Darüber solltest du mal nachdenken.
Es bleibt dabei: Mit 2 IPs auf einem Draht kommst du so nicht weit oder du besorgst dir den gleichen Router der vorher da war, was am sinnvollsten ist.
Besser ist aber du stellst das auf ein sauberes und richtiges IP Design wie es sein sollte !
Eine 4 Euro Karte für den Server ein kleiner 10 Euro Switch für die Clients in dem Segment das sind 20 Euro. Die kannst du sicher aus der Portokasse der Sekretärin bezahlen. Fragt man sich warum für so eine popelige Sache und Lösung des Problems in 10 Minuten eine aufwendige Forums Diskussion gemacht wird...dzzz
Cisco sagt das selber, denn das wird mit sog. "Secondary" IP Adressen im Router gelöst die von Cisco einzig für die IP Migration ! aber niemals für den Produktivbetrieb gedacht sind.
Steht schwarz auf weiss so im Manual und den Design Guides, außerdem weiss das jeder Netzwerker !
Es ist also klar und auch abzusehen, das es zu solchen Problemen kommt die auf einer Bastellösung mit einer bestimmten HW basieren. Was erwartest du ? Sowas weiss man von vorn herein wenn man sowas aufbaut.
Wo ist also dein wirkliches Problem ?
Bei soviel Dilettantismus, sorry fällt auch eine super duper Lösung aus dem Forum schwer. Darüber solltest du mal nachdenken.
Es bleibt dabei: Mit 2 IPs auf einem Draht kommst du so nicht weit oder du besorgst dir den gleichen Router der vorher da war, was am sinnvollsten ist.
Besser ist aber du stellst das auf ein sauberes und richtiges IP Design wie es sein sollte !
Eine 4 Euro Karte für den Server ein kleiner 10 Euro Switch für die Clients in dem Segment das sind 20 Euro. Die kannst du sicher aus der Portokasse der Sekretärin bezahlen. Fragt man sich warum für so eine popelige Sache und Lösung des Problems in 10 Minuten eine aufwendige Forums Diskussion gemacht wird...dzzz
Der Cisco 800 wurde damals vom Provider konfiguriert, war defekt und wurde ersetzt.
Das mit der Secondary IP ist mir auch klar, wie oben steht wurde es nicht von mir eingerichtet.
Das 4rer Netz benötigt auch gar keine Netzwerkverbindung nur zwecks Fernwartung soll man von extern auf diese per VNC kommen - untereinander braucht keine Kommunikation stattfinden.
Das mit der Secondary IP ist mir auch klar, wie oben steht wurde es nicht von mir eingerichtet.
Das 4rer Netz benötigt auch gar keine Netzwerkverbindung nur zwecks Fernwartung soll man von extern auf diese per VNC kommen - untereinander braucht keine Kommunikation stattfinden.
