11
Netzwerk mit Domäne und Lokal mit VPN - Konfig-Problem
Hallo zusammen,
ich beschreibe zuerst einmal die Topologie:
Standort 1
Router Digitalisierungsbox Premium mit lokalem Netz 192.168.2.0/24 und WAN Zugang
VPN Tunnel zu Standort 2
PC 1:
Workstation mit 2 Netzwerkkarten
1. Karte für die Domänenanbindung genutzt
2. Karte soll ausschließlich für lokal sein (jepp, anderes Netz - bevor die Frage kommt
)
Beschreibung: An die Domäne komme ich nicht ran; ist von der Firmenzentrale so eingestellt; also frickel ich das nichts rum bei IP, Subnet, Gateway und DNS (alle Einträge jeweils mit Werten belegt auf Interface 1
Interface 2 liegt im Netz 192.168.2.0/24
Auf Interface 2 habe ich nur eine IP vergeben - kein Gateway, kein DNS und das Interface ist physikalisch mit dem Router verbunden
VNC Server installiert
PC 2:
Windows Server mit 1 Netzwerkkarte auch im Netz 192.168.2.0/24
VNC Viewer installiert
Standort 2
Router Digitalisierungsbox Premium mit lokalem Netz 192.168.100.0/24 und WAN Zugang
VPN Tunnel zu Standort 1
PC 1:
Workstation mit 2 Netzwerkkarten
1. Karte für die Domänenanbindung genutzt
2. Karte soll ausschließlich für lokal sein (jepp, anderes Netz - bevor die Frage kommt )
Beschreibung: An die Domäne komme ich nicht ran; ist von der Firmenzentrale so eingestellt; also frickel ich das nichts rum bei IP, Subnet, Gateway und DNS (alle Einträge jeweils mit Werten belegt auf Interface 1 (quasi selber PC wie bei Standort 1)
Interface 2 liegt im Netz 192.168.100.0/24
Auf Interface 2 habe ich nur eine IP vergeben - kein Gateway, kein DNS und das Interface ist physikalisch mit dem Router verbunden
VNC Server installiert
Mobile Endgeräte:
Notebook, iPhone
werden jeweils mittels DHCP gespeist vom entsprechenden Standort
Problem:
Wenn ich mich jetzt INNERHALB eins Standorts befinde, komme ich mit den mobilen Endgeräten problemlos auf die jeweilige Workstation per VNC drauf, aber halt eben NICHT auf den anderen Standort!
Dann habe ich es mit PC 2 von Standort 1 (Server) das selbe probiert und auch hier das selbe Phänomen! Ich kann mich nur mit der Workstation INNERHALB des Standorts verbinden - nicht mit der Workstation von Standort 2!
Sprich: Wenn ich am Standort 1 bin, kann ich per VNC problemlos die Workstation am Standort 1 ansteuern, aber NICHT die Workstation aus Standort 2!
Der VNC Tunnel steht aber und ich kann auch auf andere Ressourcen wie Netzwerkdrucker usw des anderen Standorts zugreifen - nur halt eben auf die Workstation NICHT!
Was zum Teufel übersehe ich denn hier????
Bin schon seit heute morgen zu Gange, aber ich find's einfach nicht!
Ich habe es auch schon versucht, das Interface 2 zu deaktivieren und dem Interface 1 (jeweils natürlich von den Workstations) ZUSÄTZLICH die entsprechenden lokalen Netze zuzuweisen - dann ging aber gar nichts mehr! Interface 2 scheint also physikalisch gar nicht an MEINEM Router zu hängen sondern nur an dem Firmenrouter, der Bestandteil der Domäne ist.
ich beschreibe zuerst einmal die Topologie:
Standort 1
Router Digitalisierungsbox Premium mit lokalem Netz 192.168.2.0/24 und WAN Zugang
VPN Tunnel zu Standort 2
PC 1:
Workstation mit 2 Netzwerkkarten
1. Karte für die Domänenanbindung genutzt
2. Karte soll ausschließlich für lokal sein (jepp, anderes Netz - bevor die Frage kommt
)Beschreibung: An die Domäne komme ich nicht ran; ist von der Firmenzentrale so eingestellt; also frickel ich das nichts rum bei IP, Subnet, Gateway und DNS (alle Einträge jeweils mit Werten belegt auf Interface 1
Interface 2 liegt im Netz 192.168.2.0/24
Auf Interface 2 habe ich nur eine IP vergeben - kein Gateway, kein DNS und das Interface ist physikalisch mit dem Router verbunden
VNC Server installiert
PC 2:
Windows Server mit 1 Netzwerkkarte auch im Netz 192.168.2.0/24
VNC Viewer installiert
Standort 2
Router Digitalisierungsbox Premium mit lokalem Netz 192.168.100.0/24 und WAN Zugang
VPN Tunnel zu Standort 1
PC 1:
Workstation mit 2 Netzwerkkarten
1. Karte für die Domänenanbindung genutzt
2. Karte soll ausschließlich für lokal sein (jepp, anderes Netz - bevor die Frage kommt
)Beschreibung: An die Domäne komme ich nicht ran; ist von der Firmenzentrale so eingestellt; also frickel ich das nichts rum bei IP, Subnet, Gateway und DNS (alle Einträge jeweils mit Werten belegt auf Interface 1 (quasi selber PC wie bei Standort 1)
Interface 2 liegt im Netz 192.168.100.0/24
Auf Interface 2 habe ich nur eine IP vergeben - kein Gateway, kein DNS und das Interface ist physikalisch mit dem Router verbunden
VNC Server installiert
Mobile Endgeräte:
Notebook, iPhone
werden jeweils mittels DHCP gespeist vom entsprechenden Standort
Problem:
Wenn ich mich jetzt INNERHALB eins Standorts befinde, komme ich mit den mobilen Endgeräten problemlos auf die jeweilige Workstation per VNC drauf, aber halt eben NICHT auf den anderen Standort!
Dann habe ich es mit PC 2 von Standort 1 (Server) das selbe probiert und auch hier das selbe Phänomen! Ich kann mich nur mit der Workstation INNERHALB des Standorts verbinden - nicht mit der Workstation von Standort 2!
Sprich: Wenn ich am Standort 1 bin, kann ich per VNC problemlos die Workstation am Standort 1 ansteuern, aber NICHT die Workstation aus Standort 2!
Der VNC Tunnel steht aber und ich kann auch auf andere Ressourcen wie Netzwerkdrucker usw des anderen Standorts zugreifen - nur halt eben auf die Workstation NICHT!
Was zum Teufel übersehe ich denn hier????
Bin schon seit heute morgen zu Gange, aber ich find's einfach nicht!
Ich habe es auch schon versucht, das Interface 2 zu deaktivieren und dem Interface 1 (jeweils natürlich von den Workstations) ZUSÄTZLICH die entsprechenden lokalen Netze zuzuweisen - dann ging aber gar nichts mehr! Interface 2 scheint also physikalisch gar nicht an MEINEM Router zu hängen sondern nur an dem Firmenrouter, der Bestandteil der Domäne ist.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 630619
Url: https://administrator.de/contentid/630619
Printed on: April 27, 2024 at 03:04 o'clock
11 Comments
Latest comment
Was zum Teufel übersehe ich denn hier????
Schlicht, dass du nicht darfst/sollst. Vermutlich würdest du mit einem "OK" mehr zerschiessen, als du willst...
also eigentlich wollte ich nur innerhalb MEINES VPN per VNC auf die Workstations untereinander zugreifen.
Ich kann mir natürlich auch für jeden Standort noch einen weiteren VPN Tunnel erstellen, WLAN ausschalten bei mir auf dem iPhone, VPN Verbindung mit dem entsprechenden Standort herstellen und dann sollte es auch laufen.
Ich würde nur ungern mit Kanonen auf Spatzen schießen.
Ich kann mir natürlich auch für jeden Standort noch einen weiteren VPN Tunnel erstellen, WLAN ausschalten bei mir auf dem iPhone, VPN Verbindung mit dem entsprechenden Standort herstellen und dann sollte es auch laufen.
Ich würde nur ungern mit Kanonen auf Spatzen schießen.
Zitat von @Sebastian8602:
also eigentlich wollte ich nur innerhalb MEINES VPN per VNC auf die Workstations untereinander zugreifen.
Ich kann mir natürlich auch für jeden Standort noch einen weiteren VPN Tunnel erstellen, WLAN ausschalten bei mir auf dem iPhone, VPN Verbindung mit dem entsprechenden Standort herstellen und dann sollte es auch laufen.
Ich würde nur ungern mit Kanonen auf Spatzen schießen.
also eigentlich wollte ich nur innerhalb MEINES VPN per VNC auf die Workstations untereinander zugreifen.
Ich kann mir natürlich auch für jeden Standort noch einen weiteren VPN Tunnel erstellen, WLAN ausschalten bei mir auf dem iPhone, VPN Verbindung mit dem entsprechenden Standort herstellen und dann sollte es auch laufen.
Ich würde nur ungern mit Kanonen auf Spatzen schießen.
sag ich ja: geht einwandfrei!
check ich nicht...
als ob da nur irgendeine Route fehlen würde, warum das innerhalb des Netzes nicht geht...
Versuchst du es per IP oder per Hostname?
per IP mache ich das!
Wenn es per Hostname wäre, hätte ich es ja noch verstehen können, weil ich keinen DNS hinterlegt habe
Wenn es per Hostname wäre, hätte ich es ja noch verstehen können, weil ich keinen DNS hinterlegt habe
Ich hab mir deinen Text nochmal genau durchgelesen.
Also die Digitalisierungsboxen hängen an Interface 2? Dann kann es nicht funktionieren, weil die Rechner gar nicht wissen, wohin mit den Paketen. Du benötigst zumindest eine eingetragenes Gateway oder eine spezifische Route, die dem Rechner sagt, dass er das Netzwerk des entfernten Standorts über den anderen Router erreicht.
Aber du solltest dir ganz dringend überlegen, was du da baust. Sind es deine Rechner und weiß die Firma von der Konstruktion? Wenn nicht, dann könnte es ein Abmahn- oder sogar Kündigungsgrund sein. Die Firma richtet Sicherheitsmaßnahmen ja nicht zum Spaß ein und du untergräbst diese.
Die letzten, die bei uns mit fremder Technik aufgefallen sind, hatten am Folgetag schon frei.
PS: Wenn die Admins deiner Firma gut sind, könnte es schon aufgefallen sein, weil die Anfragen deiner VNC-Verbindung kommen beim Rechner an, er leitet die Antworten dann aber über den Router der Firma weg.
Also die Digitalisierungsboxen hängen an Interface 2? Dann kann es nicht funktionieren, weil die Rechner gar nicht wissen, wohin mit den Paketen. Du benötigst zumindest eine eingetragenes Gateway oder eine spezifische Route, die dem Rechner sagt, dass er das Netzwerk des entfernten Standorts über den anderen Router erreicht.
Aber du solltest dir ganz dringend überlegen, was du da baust. Sind es deine Rechner und weiß die Firma von der Konstruktion? Wenn nicht, dann könnte es ein Abmahn- oder sogar Kündigungsgrund sein. Die Firma richtet Sicherheitsmaßnahmen ja nicht zum Spaß ein und du untergräbst diese.
Die letzten, die bei uns mit fremder Technik aufgefallen sind, hatten am Folgetag schon frei.
PS: Wenn die Admins deiner Firma gut sind, könnte es schon aufgefallen sein, weil die Anfragen deiner VNC-Verbindung kommen beim Rechner an, er leitet die Antworten dann aber über den Router der Firma weg.
"Also die Digitalisierungsboxen hängen an Interface 2? Dann kann es nicht funktionieren, weil die Rechner gar nicht wissen, wohin mit den Paketen. Du benötigst zumindest eine eingetragenes Gateway oder eine spezifische Route, die dem Rechner sagt, dass er das Netzwerk des entfernten Standorts über den anderen Router erreicht."
Genau so ist es physikalisch! Dass ist ja das was ich meinte - da fehlt der Routeneintrag! Auf dem Sever kein Problem, aber mach mal nen Routeneintrag auf dem iPhone :D
"Aber du solltest dir ganz dringend überlegen, was du da baust. Sind es deine Rechner und weiß die Firma von der Konstruktion? Wenn nicht, dann könnte es ein Abmahn- oder sogar Kündigungsgrund sein. Die Firma richtet Sicherheitsmaßnahmen ja nicht zum Spaß ein und du untergräbst diese.
Die letzten, die bei uns mit fremder Technik aufgefallen sind, hatten am Folgetag schon frei."
Nein, sind natürlich nicht meine Rechner und die wissen da auch nichts von - von daher hast du natürlich vollkommen Recht!
"PS: Wenn die Admins deiner Firma gut sind, könnte es schon aufgefallen sein, weil die Anfragen deiner VNC-Verbindung kommen beim Rechner an, er leitet die Antworten dann aber über den Router der Firma weg."
Ja, meinst du echt? Die Anfrage geht doch, auch wenn es VPN ist, über das lokale Netz raus - das andere hat doch dort nichts mit zu tun? *grübel*
Genau so ist es physikalisch! Dass ist ja das was ich meinte - da fehlt der Routeneintrag! Auf dem Sever kein Problem, aber mach mal nen Routeneintrag auf dem iPhone :D
"Aber du solltest dir ganz dringend überlegen, was du da baust. Sind es deine Rechner und weiß die Firma von der Konstruktion? Wenn nicht, dann könnte es ein Abmahn- oder sogar Kündigungsgrund sein. Die Firma richtet Sicherheitsmaßnahmen ja nicht zum Spaß ein und du untergräbst diese.
Die letzten, die bei uns mit fremder Technik aufgefallen sind, hatten am Folgetag schon frei."
Nein, sind natürlich nicht meine Rechner und die wissen da auch nichts von - von daher hast du natürlich vollkommen Recht!
"PS: Wenn die Admins deiner Firma gut sind, könnte es schon aufgefallen sein, weil die Anfragen deiner VNC-Verbindung kommen beim Rechner an, er leitet die Antworten dann aber über den Router der Firma weg."
Ja, meinst du echt? Die Anfrage geht doch, auch wenn es VPN ist, über das lokale Netz raus - das andere hat doch dort nichts mit zu tun? *grübel*
Dann muss das iPhone eben die Digitalisierungsbox als Standardgateway bekommen, egal wie.
Peng, aufgeflogen.
Einfache Routingmechanik. Man benötigt eine Hin- und eine Rückroute. Letztere wird gerne vergessen und dann kann man seine Paket woanders abholen.
Ja, meinst du echt? Die Anfrage geht doch, auch wenn es VPN ist, über das lokale Netz raus - das andere hat doch dort nichts mit zu tun? *grübel*
Wir nehmen mal das Beispiel, dass du von Standort 2 auf Standort 1 zugreifen willst und ich behaupte mal, dass das Endgerät an Standort 2 korrekt konfiguriert ist und damit die parallele VPN-Verbindung nutzen kann. Damit stellst das Endgerät am Standort 2 eine Anfrage, die korrekt durch den VPN-Tunnel übertragen wird. Das Paket hat eine Quelladresse aus 192.168.100.0/24 und eine Zieladresse in 192.168.2.0/24. Also sieht der Router an Standort 1, dass es in seinem LAN liegt, macht seine übliche Magie und überträgt das Paket an den PC. Dieser muss jetzt natürlich antworten. Er sieht im Paket, dass es aus 192.168.100.0/24 kommt, kennt das Netz nicht, also muss er einen Router bemühen. Dieser PC kennt aber nicht die Digitalisierungsbox, weil ihm eine Route fehlt, also landet er in seiner Routingtabelle bei der Defaultroute und schickt ein Paket über den Router der Firma an das Netzwerk 192.168.100.0/24, mit dem Quellport des VNC-Dienstes in deinem Fall und würde damit, weil die Firewall erst das zweite Paket sieht, einen Alarm auslösen.Peng, aufgeflogen.
Einfache Routingmechanik. Man benötigt eine Hin- und eine Rückroute. Letztere wird gerne vergessen und dann kann man seine Paket woanders abholen.
Hi,
kann es nicht sein das da noch eine Firewall drinhängt?
VPN von A nach B heißt noch lange nicht das dort auch alles durchgelassen wird.
Selbst wenn du dich bei uns als mobiler Mitarbeiter einwählst, kann du alles Dienstliche machen, aber ein VNC bestimmt nicht.
Und mit einem solchem Gebastel hättest du bei uns auch ein Problem ....
Wende dich mit deinem Problem an die IT, und dann sollen die dir eine Lösung anbieten ....
Viele Grüße,
Deepsys
kann es nicht sein das da noch eine Firewall drinhängt?
VPN von A nach B heißt noch lange nicht das dort auch alles durchgelassen wird.
Selbst wenn du dich bei uns als mobiler Mitarbeiter einwählst, kann du alles Dienstliche machen, aber ein VNC bestimmt nicht.
Und mit einem solchem Gebastel hättest du bei uns auch ein Problem ....
Wende dich mit deinem Problem an die IT, und dann sollen die dir eine Lösung anbieten ....
Viele Grüße,
Deepsys
jepp tatsächlich! die Bintec selbst (also der Router) hat eine eingestellte Firewall.
bin ich noch gar nicht drauf gekommen.
eigentlich sollten alle "vertrauenswürdigen Verbindungen", so wie ich das VPN konfiguriert habe, alles durchlassen.
aber ich werde dies prüfen.
danke für den Hinweis
bin ich noch gar nicht drauf gekommen.
eigentlich sollten alle "vertrauenswürdigen Verbindungen", so wie ich das VPN konfiguriert habe, alles durchlassen.
aber ich werde dies prüfen.
danke für den Hinweis
Zitat von @tikayevent:
Dann muss das iPhone eben die Digitalisierungsbox als Standardgateway bekommen, egal wie.
Dann muss das iPhone eben die Digitalisierungsbox als Standardgateway bekommen, egal wie.
Das habe ich in der Bintec bereits so eingestellt - sobald der VPN Tunnel steht, kriegt das iPhone den DNS der Bintec!
Wie gesagt: iPohne ist nicht das Problem - das funtz einwandfrei.
Nur der Windows Server will, trotz bestehendes VPN Tunnels, einfach nicht auf die Workstation VNC des anderen Standorts zugreifen.