franksig
Goto Top

MS VPN-Server und Routing

Hallo zusammen.

Ich habe folgendes Konstrukt

a21c63ec11f8d4c5344765cef0537ef7


Externe Benutzer wählen sich über den MS VPN Server ein. Das klappt auch wunderbar.
( VPN-Server vergibt IP Adressen aus dem Segment 192.168.255x )

Wenn jetzt ein remoteclient in zb. das Segment 192.168.250.x möchte klappt das nicht.
Habt Ihr eine Idee wie ich das hingebekomme ?


Vielen Dank im voraus


hier war der Fehler in den eigenschaften der VPN Verbindung
068fcb40de4f07ed4fe28ae2952ca440

Content-ID: 276048

Url: https://administrator.de/contentid/276048

Ausgedruckt am: 05.11.2024 um 12:11 Uhr

aqui
Lösung aqui 30.06.2015 aktualisiert um 16:06:59 Uhr
Goto Top
Dir fehlt schlicht und einfach ein Routing in diese beiden Netze !!
Trage das nach am Router und am VPN Server mit einer simplen statischen IP Route und fertig ist der Lack.
In max. 3 Minuten ist das gefixt !

Kann deine VPN Lösung (hilfreich wäre hier verwendetes Protokoll und HW gewesen) diese Routen nicht dynamisch an den VPN Client distribuieren hilft auch eine statische Route ala
route add <Zielnetz> mask <Maske_Zielnetz> <Gateway_IP> -p
auf dem Client Ist aber die technisch schlechtere Variante. Die remoten IP Netze sollten dem VPN Client immer dynamisch übermittelt werden.
OpenVPN macht das z.B. mit dem push route Kommando.
Ob Daten Pakete für diese VPN Zielnetz in den Tunnel geroutet werden kannst du bei eingewähltem VPN Client immer mit dem Kommando route print (Winblows OS) herausbekommen !
Danach sind Traceroute (tracert) und Pathping immer deine besten Freunde beim Troubleshooten face-wink
franksig
franksig 30.06.2015 um 15:41:50 Uhr
Goto Top
Hallo das Standart Gateway auf dem VPN-Servers zeigt bereits auf den Router
Situation ist die

der VPN Client (remotebenutzer) wählt sich beim VPN-Server und startet dann eine RDP Sitzung das klappt wunderbar im 255.x subentz wenn er aber eine 250.x eintippt dann geht es nicht.
Meine Überlegung war jetzt, dass der Client ja das 250.x Netz ganricht kennt, da er ja vom VPN Server eine 255.x Adresse bekommt.
Mache ich da ein Denkfehler ?
aqui
Lösung aqui 30.06.2015 aktualisiert um 16:07:02 Uhr
Goto Top
Hallo das Standart Gateway auf dem VPN-Servers zeigt bereits auf den Router
Das besagt aber ja noch lange nicht das der VPN Server diese Routen auch den Clients bei der VPN Einwahl mit übergibt !!!
WAS also sagt ein route print bei eingewähltem Client ??
Kannst du dort sehen das das 192.168.249.0 /24 und auch das 192.168.250.0 /24 Netz mit über den Tunnel auf den .255er Server geroutet werden ??
Vermutlich wohl nicht, oder ?
Wenn nein, ist es a) einen Fehlkonfiguration des VPN Gateways deinerseits, und b) schickt der Client diese Pakete logischerweise dann an sein lokales Default Gateway was es dann ins Internet schickt. Da das alles RFC 1918 private IPs sind gehen diese Pakete in den Netzwerk Orcus !
Fazit: Verbindung in diese Netze schlägt fehl...genau das Verhalten also was du siehst !!
franksig
franksig 30.06.2015 um 16:06:44 Uhr
Goto Top
hier war der Fehler:
068fcb40de4f07ed4fe28ae2952ca440

das Standartgateway im Remotenetzwerk war nicht aktiviert.... warum auch immer.

jetzt stehen auch die Routen drin:
<snip>
IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.10.103 192.168.10.243 4486
0.0.0.0 0.0.0.0 Auf Verbindung 192.168.255.165 11
80.149.167.242 255.255.255.255 192.168.10.103 192.168.10.243 4231
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 4531
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 4531
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.210.90 4486
169.254.210.90 255.255.255.255 Auf Verbindung 169.254.210.90 4486
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.210.90 4486
192.168.10.0 255.255.255.0 Auf Verbindung 192.168.10.243 4486
192.168.10.243 255.255.255.255 Auf Verbindung 192.168.10.243 4486
192.168.10.255 255.255.255.255 Auf Verbindung 192.168.10.243 4486
192.168.139.0 255.255.255.0 Auf Verbindung 192.168.139.1 4501
192.168.139.1 255.255.255.255 Auf Verbindung 192.168.139.1 4501
192.168.139.255 255.255.255.255 Auf Verbindung 192.168.139.1 4501
192.168.249.0 255.255.255.0 Auf Verbindung 192.168.249.1 4501
192.168.249.1 255.255.255.255 Auf Verbindung 192.168.249.1 4501
192.168.249.255 255.255.255.255 Auf Verbindung 192.168.249.1 4501
192.168.255.165 255.255.255.255 Auf Verbindung 192.168.255.165 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 4531
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.249.1 4501
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.139.1 4501
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.210.90 4486
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.10.243 4486
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.255.165 11
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.249.1 4501
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.139.1 4501
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.210.90 4486
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.10.243 4486
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.255.165 266
</snip>

ein kleiner Schlag auf den Hinterkopf...... face-smile


Vielen herzlichen Dank für die Hilfe
aqui
aqui 30.06.2015 aktualisiert um 16:28:26 Uhr
Goto Top
Nein, das war kein Fehler sondern du hast die Schrotschusslösung gewählt.
Der Haken bewirkt nun das sämtlicher Traffic und Internettraffic des Clients in den Tunnel geleitet wird und nicht nur dein spezifischer für die beiden remoten Netze. Aus Performancegründen ist das kontraproduktiv und hätte man auch granularer lösen können aber wenns für dich reicht und dein Problem fixt ist ja alles gut face-wink
franksig
franksig 01.07.2015 um 08:16:14 Uhr
Goto Top
und die elegante Lösung wäre dann doch statische routen einzutregen auf dem VPN-Server ?
aqui
aqui 01.07.2015 um 09:57:38 Uhr
Goto Top
Jein ! Denn die Routen müssen ja an den VPN Client propagiert werden damit der bei VPN Einwahl diese Routen dynamisch übermittelt bekommt uns so weiss das er Traffic für die beiden anderen remoten Netze AUCH in den Tunnel routen muss.
Meist passiert das auch wenn der VPN Server diese statischen Routen hat.
Relevant ist aber logischerweise der Client ! Der Server sorgt nur dafür das er diese Routen auch bekommt !
franksig
franksig 01.07.2015 um 15:54:35 Uhr
Goto Top
ALso ich habe getestet und folgendes kam heraus:

so isser Konfiguriert:
e96e1ec5fa025f53144762abf4e4bb43

route print ergab ergab folgendes:

192.168.249.0 255.255.255.0 Auf Verbindung 192.168.249.1 276
192.168.249.1 255.255.255.255 Auf Verbindung 192.168.249.1 276
192.168.249.255 255.255.255.255 Auf Verbindung 192.168.249.1 276
192.168.255.0 255.255.255.0 192.168.255.160 192.168.255.163 11

und wenn ich pingen wollte kommt das:

Ping wird ausgefhrt fr 192.168.250.198 mit 32 Bytes Daten:
Antwort von 10.255.0.33: Die Gltigkeitsdauer wurde bei der šbertragung berschritten.
Antwort von 10.255.0.33: Die Gltigkeitsdauer wurde bei der šbertragung berschritten.
Antwort von 10.255.0.33: Die Gltigkeitsdauer wurde bei der šbertragung berschritten.
Antwort von 10.255.0.33: Die Gltigkeitsdauer wurde bei der šbertragung berschritten.

Ping-Statistik fr 192.168.250.198:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),

mit ist völlig schleierhaft wer im net die 10.255.0.33 ist.
aqui
aqui 01.07.2015 um 17:41:34 Uhr
Goto Top
route print ergab ergab folgendes:
Und ??? Kannst du dort irgendeinen gültigen Eintrag für das 192.168.250.0 /24 Netz sehen auf das du Pingen willst ???
Siehste, deshalb ist ein Ping Versuch dahin auch komplett sinnfrei, denn den schickt der Client dann an sein Default Gateway und damit dann ins Nirwana !
Deinem Client fehlt schlicht und einfach die Route ins 192.168.250.0 /24er Netz !!! Wie oben schon lang und breit beschrieben !
und wenn ich pingen wollte kommt das:
Klar...wie zu erwarten...siehe oben !
Vermutlich routet der Default Router etwas weiter an einen Router in diesem 10er Netz und der hat dann keine Route ins .250.0er Netz, deshalb die kryptische Meldung !

Auch hier wieder: Warum hast du kein Traceroute oder Pathping auf das .250.0er Netz gemacht oder hier mal gepostet ???
Das zeigt dir Hop für Hop den Routing Weg und hätte uns alle hier einen Schritt weiter gebracht... face-sad
Denn da wo es nicht mehr weitergeht fehlt auch die Route !
Zum 10er Netz solltest du wohl erstmal deine Hausaufgaben machen und deine Netzwerkstruktur besser kennenlernen ?!
Irgend jemand hat ja eine Route dahin definiert !!
Kann aber auch sein das du einen Provider DS-Light anschluss hast oder LTE wo der Provider private RFC 1918 IP Adresen in seinem Backbone benutzt ?! Aber auch das verschweigst du uns ja leider und zwingst uns zum Blickt in die Kristallkugel face-sad