Route Problem - Host PC - VPN PC - Dest PC

HAllo,

folgendes Problem treibt mit in den Wahnsinn :

Gegeben sind :

HostPC 192.168.0.10
WinXP 64Bit

VPNPC 192.168.0.14
WinXP 32Bit

DestPC 192.168.253.7
WinXP 32Bit

Ich möchte vom HostPC über den VPNPC auf den DestPC zugreifen ( bzw. auf einen Port ).
Auf dem VPNPC läuft ein Cisco VPN Client.

Den Cisco muss ich leider auf dem VPNPC betreiben, da kein WinCP 64Bit unterstützt wird.

Ich habe folgendes versucht :

HostPC:
route ADD 192.168.253.7 MASK 255.255.255.255 192.168.0.14

tracert gibt dann auch schön als ersten Hop die IP des VPNPC an, das scheint also zu tun.

EnableRouter=1 ist in der Registry des VPNPC gesetzt.

Wenn das VPN gestartet ist, habe ich dann ja 2 NICs im VPNPC.

Was muss ich denn jetzt im VPNPC setzen, damit der dann weiterroutet ??

Grüße
Alex

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 63976

Url: https://administrator.de/contentid/63976

Ausgedruckt am: 26.11.2024 um 07:11 Uhr

6 Kommentare

Neuester Kommentar

Hallo,

hast Du auf dem DestPC ebenfalls die Route zum HostPc eingetragen?
Wenn nicht, solltest Du dies noch tun, da der DestPC sonst den Weg zurück nicht kennt.

Gruß
Listo

Hallo,
an den DestPC komme ich nicht ran, der steht in Amiland und wird über das VPN verbunden.

Ich denke das man erstmal dem VPNPC sagen muss wohin er Anfragen nach dem DestPC weiterschicken soll, oder ?

Alex

Nein, das ist Unsinn. Wohin er die Anfragen schicken muss ist doch klar wenn er eine IP Adresse aus dem Destination IP Netzwerk auf dem VPN Adapter bekommen hat, denn dann hängt er an diesem Netz direkt dran und weiss genau wo er es hinschicken muss nämlich an den lokalen VPN Adapter !
Die Route auf dem Host PC ist auch nicht ganz richtig, denn sie müsste besser lauten:

route add 192.168.253.0 mask 255.255.255.0 192.168.0.14 -p

Das -p solltest du anhängen damit sie permanent wird, ansonsten ist sie nach jedem Reboot wieder verschwunden !!!

Wenn du eine VPN Verbindung aufgemacht hast dann gib mal ipconfig ein in der Eingabeaufforderung. Dann kannst du sofort sehen WAS für eine IP Adresse du aus dem Destination Netz bekommen hast. Ist es eine Adresse aus dem 192.168.253.0/24 Netz ist alles ok und deine Route wird sicher funktionieren. Ist das VPN Netz ein anderes hast du hier ggf. schon ein Problem !?

Das eigentliche Problem wird jetzt aber sehr wahrscheinlich in den USA liegen an einer fehlenden (Rück)Route und wird dir ganz deutlich wenn du dir mal den Weg und die Adressen des Packetes vor Augen führst mit einem Packetwalk !!!

Dein Packet geht vom Host Rechner ab mit der Quelladresse 192.168.0.10 (kommt also aus dem 192.168.0.0/24 Netzwerk) und hat als Zieladresse 192.168.253.7. Der Weg sieht nun so aus:

Hostrechner merkt das die Zieladresse nicht in seinem Netzwerk liegt. Sieht in seine Routingtabelle und findet den Eintrag das die lokale .0.14 das next Hop Gateway fürs Zielnetz (192.168.253.0) ist. Forwardet also das Packet dahin.
Der VPN Rechner empfängt nun das Packet, sieht das Ziel 192.168.253.7, sieht auch in seine Routingtabelle, da er ja mehrere Netzwerkkarten hat (der VPN Adapter zählt als Netzwerkkarte !) Er hat jetzt hoffentlich auf dem VPN Adapter eine IP Adresse aus dem 192.168.253.x Bereich bekommen und forwardet das Packet jetzt dort direkt an das Endgerät mit der .7 ! Klar denn das Zielnetz hängt direkt an einem seiner Adapter egal ob physisch oder virtuell. Hat er KEINE Adresse aus diesem Bereich, verwirft er das Packet gleich hier, deshalb die Frage nach der Überprüfung mit ipconfig oben !!! Dieser XP Rechner muss zwingend gemäß der Microsoft Anweisung http://support.microsoft.com/kb/315236 unbedingt routingfähig gemacht werden sonst funktioniert generell kein Packet Forwarding bei XP !! Nach der Registry Änderung ist ein Reboot erforderlich !!!
So, gesetzt den Fall das alles stimmt, ist das Packet mit der Quelladresse 192.168.0.14 nun beim Zielrechner 192.168.253.7 angekommen. Der will antworten und sieht das die IP Adresse 192.168.0.14 nicht aus seinem lokalen Netz kommt und sieht wieder in seine Routing Tabelle.....
Hier wird nun sehr wahrscheinlich alles scheitern, denn er hat wahrscheinlich einen default Gateway Eintrag auf einen lokalen Router im 192.168.253.0er Netz der dein Netz 192.168.0.0 nicht kennt und damit scheitert die Verbindung !

Leider schreibst du rein gar nichts WO deine VPN Verbindung terminiert wird, so das hier nun ein genaues Troubleshooting endet und leider in Raten übergehen muss...

Ist das VPN Gateway ein Cisco Router benötigt der Ziel PC mit der 192.168.253.7 entweder eine default Route dahin oder eine spezifische statische Route zu deinem 192.168.0.0er Netz wie oben auf diesen VPN Server.
Damit sollte es dann fehlerfrei funktionieren !

Hallo,

erstmal vielen Dank für die sehr ausführliche Erklärung.

Ich habe die Route entsprechend Deiner Anweisung verbessert.

Wenn ich jetzt einen ping auf den DstPC abschicke, dann sieht der VPNPC folgendes :

Packet Source Destination Flags Size Relative Time Protocol Summary Expert
1 UNIMATRIX-ZERO IP-192.168.253.7 96 0,000000 NB Name Svc C QUERY NAME=*
2 UNIMATRIX-ZERO IP-192.168.253.7 96 1,493173 NB Name Svc C QUERY NAME=*
3 UNIMATRIX-ZERO IP-192.168.253.7 96 2,988595 NB Name Svc C QUERY NAME=*
4 UNIMATRIX-ZERO IP-192.168.253.7 110 5,493460 PING Req Echo: 192.168.253.7 IP Low Time-To-Live (1 hops)
5 UNIMATRIX-ZERO IP-192.168.253.7 110 9,973732 PING Req Echo: 192.168.253.7 IP Low Time-To-Live (1 hops)
6 UNIMATRIX-ZERO IP-192.168.253.7 110 14,489520 PING Req Echo: 192.168.253.7 IP Low Time-To-Live (1 hops)

Es wird also kein Reply abgegeben. Irgendwie scheint die Weitergabe nicht zu tun.

Bei einem Ping vom VPNPC nach DstPC bekomme ich dann auch einen Reply :

7 IP-10.0.10.11 IP-192.168.253.7 78 36,429320 PING Req Echo: 192.168.253.7
8 IP-192.168.253.7 IP-10.0.10.11 78 36,648734 PING Reply Echo Reply: 10.0.10.11
9 IP-10.0.10.11 IP-192.168.253.7 78 37,430725 PING Req Echo: 192.168.253.7
10 IP-192.168.253.7 IP-10.0.10.11 78 37,647148 PING Reply Echo Reply: 10.0.10.11
11 IP-10.0.10.11 IP-192.168.253.7 78 38,431591 PING Req Echo: 192.168.253.7
12 IP-192.168.253.7 IP-10.0.10.11 78 38,652365 PING Reply Echo Reply: 10.0.10.11
13 IP-10.0.10.11 IP-192.168.253.7 78 39,434771 PING Req Echo: 192.168.253.7
14 IP-192.168.253.7 IP-10.0.10.11 78 39,654890 PING Reply Echo Reply: 10.0.10.11

Der VPNPC bekommt nach der Einwahl folgende IP : 10.0.10.18 Subnet 255.0.0.0

Ein route print nach Einwahl sieht dann so aus :

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.11 10
10.0.0.0 255.0.0.0 10.0.10.18 10.0.10.18 10
10.0.10.18 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.0.10.18 10.0.10.18 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.11 192.168.0.11 10
192.168.0.1 255.255.255.255 192.168.0.11 192.168.0.11 1
192.168.0.11 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.11 192.168.0.11 10
192.168.250.0 255.255.255.0 10.0.0.1 10.0.10.18 1
192.168.252.0 255.255.255.0 10.0.0.1 10.0.10.18 1
192.168.253.0 255.255.255.0 10.0.0.1 10.0.10.18 1
192.168.254.0 255.255.255.0 10.0.0.1 10.0.10.18 1
224.0.0.0 240.0.0.0 10.0.10.18 10.0.10.18 10
224.0.0.0 240.0.0.0 192.168.0.11 192.168.0.11 10
255.255.255.255 255.255.255.255 10.0.10.18 10.0.10.18 1
255.255.255.255 255.255.255.255 192.168.0.11 192.168.0.11 1

( Die IP vom HostPC ist jetzt 192.168.0.11 )

Was mich halt wundert : Ich hatte die ganze Sache schon einmal wunderbar am Start.
Alle Ports auf den gewünschten IP's sind weitergeleitet worden - ohne das ich die DestPC's anfassen musste !

EnableRouter steht übrigens schon auf '1'.

Grüße
Alex

Leider hast du wieder nichts über den Output von ipconfig auf dem VPN PC bei bestehender, aktiver VPN Verbindung geschrieben, so das man hier also wieder mal nur raten kann

Wenn du dir deinen Ping einmal genauer ansiehst
7 IP-10.0.10.11 IP-192.168.253.7 78 36,429320 PING Req Echo: 192.168.253.7
8 IP-192.168.253.7 IP-10.0.10.11 78 36,648734 PING Reply Echo Reply: 10.0.10.11

Wird auch dir sicher nicht entgangen sein das dort noch ein weiteres Netzwerk im Spiel ist nämlich das Netz 10.0.0.0. Wie auch immer das gesubnettet ist. Das hatte sofort ein ipconfig Output klären können hättest du ihn mal gepostet bei aktiver VPN Verbindung.

Fazit: Dein VPN Rechner hat also noch ein Netz im Spiel nämlich das 10.0.0.0er Netz. Scheinbar rennt der VPN Tunnel mit diesem Netz denn der VPN PC nutzt ja die 10.0.10.11 als eigene Hostadresse.
Das 192.168.253er netz ist also nicht direkt dran sondern noch hinter dem 10er Netz. Dann kann es auch nicht klappen und du musst noch eine statische Route auf dem VPN PC eingeben und zwar:

route add 192.168.253.0 mask 255.255.255.0 10.0.10.xx -p

Das xx steht für die Gateway Adresse am anderen Ende wo der VPN PC seine Packete hinschickt. Mit einem traceroute (bei Windows tracert oder pathping) kannst du diese aber problemlos ermitteln)

Ob die Rückroute dann auch funktioniert ist zweifelhaft, denn eigentlich muss auch ein Routing zurück in dein Quellnetz 192.168.0.0 dort vorhanden sein. Du könntest aber Glück haben das der VPN Concentrator gleich dem Default Router dort ist und dann sollte es ggf. klappen.
Das ist aber nicht sicher, denn wenn der VPN Concentrator eingehende Packete für das 192.168.0.0er Netz, also dein lokales Netz, nicht per Route in den 10.0.10.xx VPN Tunnel schiebt kommen die Packte nie zurück zu dir.
Traceroute sollte da etwas Licht ins Dunkel bringen....

HAllo,

sorry, hier sind die Infos :

Local LAN :

IP Address. . . . . . . . . . . . : 192.168.0.11
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1

VPN:

IP Address. . . . . . . . . . . . : 10.0.10.17
Subnet Mask . . . . . . . . . . . : 255.0.0.0
Default Gateway . . . . . . . . . :

Grüße
Alex

Frage Netzwerke Router, Routing

Mehr von talkingAlien

Route über Win 2003 Server in VPN...talkingAlien - 1 Kommentar

Heiß diskutiert