138936
21.02.2019
1373
10
0
Router empfängt Paket auf seiner IP und soll trotzdem weiterleiten
Hallo zusammen,
folgendes Szenario versuche ich umzusetzen:
Geschäftsfall: In einem internen Firmennetzwerk steht ein PC. Die Anforderung ist, diesen PC mobil zu nutzen mit teils restriktiven Änderungen an IP-Adressen und Routing.
Techniche Gegebenheiten:
Der PC hängt an einem internen Router und besitzt die feste IP 10.79.133.20. Die Konfiguration des Routers ist nicht änderbar. Zudem kommuniziert ein interner Server mit diesem PC über mehrere WANs und Subnetze hinweg, dieser Weg ist per Firewall nur vom diesem Server zu diesem PC freigegeben.
Idee:
Ich habe zwei industrielle LTE Router besorgt, die auf neuestem Sicherheitsniveau sind. Sie verbinden sich mit dem Internet und bauen über einen externen Service (bereitgestellter OpenVPN Server) beide als Client eine VPN Verbindung auf. Router1 soll also anstelle des PC an das LAN Kabel ins Firmennetz gehangen werden, Router2 kann dann im mobilen Umfeld den PC per LAN Kabel verbinden. Jeglicher Datenverkehr der normalerweise an die IP des PCs gerichtet ist, läuft nun bei Router1 auf, da dieser die IP des PC haben muss. Router1 schickt die Daten über den VPN Tunnel an Router2, der die Daten an den verbundenen PC weiterleitet.
Problem:
Genau hier ist das schon das Problem, denn wenn der Router die IP des PC im internen Netz bekommt, dann empfängt er jetzt das Paket und sagt, oh das ist ja an mich addressiert, also packe ich es aus. Es wird also gar nicht mehr geschaut, ob es geroutet werden muss. Was ich möchte ist aber, dass der Router das Paket empfängt und sagt, ja ist zwar für mich, ich schicke jedoch unabhängig von meiner IP alles durch den VPN Tunnel. Mit einer statischen Route hat das nicht funktioniert, da er diese erst prüft, nachdem er geprüft hat, ob das Paket nicht für ihn selbst ist.
Frage:
Gibt es irgendeine Möglichkeit so ein Szenario zu bewerkstelligen? Die Router können technisch einiges, daher sind alle Vorschläge oder Ideen gern gesehen.
Was veränderbar wäre:
Im Server kann ich die Ziel-Adresse (also die des PCs) ändern. Im PC kann ich eine fest zugeordnete IP ändern. Wenn ich jedoch die IP der Ziel-Adresse ändere, dann komme ich schon nicht mehr durch das interne Netz, eine Anpassung der Firewall Settings und/oder der Konfiguration des internen Routers ist momentan ausgeschlossen.
Ich hoffe auf ein paar Tips!
Vielen Dank
folgendes Szenario versuche ich umzusetzen:
Geschäftsfall: In einem internen Firmennetzwerk steht ein PC. Die Anforderung ist, diesen PC mobil zu nutzen mit teils restriktiven Änderungen an IP-Adressen und Routing.
Techniche Gegebenheiten:
Der PC hängt an einem internen Router und besitzt die feste IP 10.79.133.20. Die Konfiguration des Routers ist nicht änderbar. Zudem kommuniziert ein interner Server mit diesem PC über mehrere WANs und Subnetze hinweg, dieser Weg ist per Firewall nur vom diesem Server zu diesem PC freigegeben.
Idee:
Ich habe zwei industrielle LTE Router besorgt, die auf neuestem Sicherheitsniveau sind. Sie verbinden sich mit dem Internet und bauen über einen externen Service (bereitgestellter OpenVPN Server) beide als Client eine VPN Verbindung auf. Router1 soll also anstelle des PC an das LAN Kabel ins Firmennetz gehangen werden, Router2 kann dann im mobilen Umfeld den PC per LAN Kabel verbinden. Jeglicher Datenverkehr der normalerweise an die IP des PCs gerichtet ist, läuft nun bei Router1 auf, da dieser die IP des PC haben muss. Router1 schickt die Daten über den VPN Tunnel an Router2, der die Daten an den verbundenen PC weiterleitet.
Problem:
Genau hier ist das schon das Problem, denn wenn der Router die IP des PC im internen Netz bekommt, dann empfängt er jetzt das Paket und sagt, oh das ist ja an mich addressiert, also packe ich es aus. Es wird also gar nicht mehr geschaut, ob es geroutet werden muss. Was ich möchte ist aber, dass der Router das Paket empfängt und sagt, ja ist zwar für mich, ich schicke jedoch unabhängig von meiner IP alles durch den VPN Tunnel. Mit einer statischen Route hat das nicht funktioniert, da er diese erst prüft, nachdem er geprüft hat, ob das Paket nicht für ihn selbst ist.
Frage:
Gibt es irgendeine Möglichkeit so ein Szenario zu bewerkstelligen? Die Router können technisch einiges, daher sind alle Vorschläge oder Ideen gern gesehen.
Was veränderbar wäre:
Im Server kann ich die Ziel-Adresse (also die des PCs) ändern. Im PC kann ich eine fest zugeordnete IP ändern. Wenn ich jedoch die IP der Ziel-Adresse ändere, dann komme ich schon nicht mehr durch das interne Netz, eine Anpassung der Firewall Settings und/oder der Konfiguration des internen Routers ist momentan ausgeschlossen.
Ich hoffe auf ein paar Tips!
Vielen Dank
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 420304
Url: https://administrator.de/forum/router-empfaengt-paket-auf-seiner-ip-und-soll-trotzdem-weiterleiten-420304.html
Ausgedruckt am: 17.05.2025 um 01:05 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Ein Portmirror kann/könnte dir helfen, aber an den Routern/Switchen darfst du ja nicht dran. Und wer soll dann den erhalt dieser Pakete quittieren, nur der originale empfänger (mit ander IP) oder dein eigener? WEil ohne eine Antwort wird der Sender sehr schnell sagen, es ist ja keiner da und aufhören. Noch schlimmer ist wenn er Antwort von zwei Rechner bekommen würde, was aber nicht passieren wird denn eine IP ist in jedem Netz einmalig und es gibt mehr mechanismen um dopplete IPs wenn schon nicht zu verhindern aber zumindest anzuzeigen.
Und, nur nebenbei, der Switch schaut nicht in den Paketten rein, er schmeisst die einfach weg, werden in Wärme umgewandelt.
Gruß,
Peter
Zitat von @138936:
Ich hoffe auf ein paar Tips!
Gehe zum Admin der betroffenen Netze und lass dir IP s zuteilen und die Router anpassen damit du nicht noch mehr lahmlegst. Das was du dort tust ist ein Man in the Middle zu spielen und das kommt nicht gut an. Warum sollen alle Datenpakete welche an diesen einen Rechner gerichtet werden, auch noch an dein unbekanntes Ziel gesendet werden? Netzwerküberwachung ohne das es einer mitbekommt? Das hat aber schon jemand mitbekommt wenn er sich die MACs anschaut, oder hast du diese auch gefälscht?Ich hoffe auf ein paar Tips!
Ein Portmirror kann/könnte dir helfen, aber an den Routern/Switchen darfst du ja nicht dran. Und wer soll dann den erhalt dieser Pakete quittieren, nur der originale empfänger (mit ander IP) oder dein eigener? WEil ohne eine Antwort wird der Sender sehr schnell sagen, es ist ja keiner da und aufhören. Noch schlimmer ist wenn er Antwort von zwei Rechner bekommen würde, was aber nicht passieren wird denn eine IP ist in jedem Netz einmalig und es gibt mehr mechanismen um dopplete IPs wenn schon nicht zu verhindern aber zumindest anzuzeigen.
Und, nur nebenbei, der Switch schaut nicht in den Paketten rein, er schmeisst die einfach weg, werden in Wärme umgewandelt.
Gruß,
Peter
Hallo Peter,
danke zunächst für deine Antwort und Mühe den Beitrag zu lesen. Ich verstehe dein Posting ehrlich gesagt nur so halb, bin nicht direkt aus der Technikecke. Es geht darum, dass ein PC, auf dem eine Anwendung als Client läuft mitgenommen werden soll zu Kundendemonstrationen oder Messen, um das dort zu zeigen. Danach kommt der PC wieder an seinen Platz, daher möchte ich da nicht jedes mal viele Änderungen an der Konfiguration vornehmen. Das Unternehmen ist groß und die erste Firewall-Freigabe etc. hat mehrere Wochen gedauert. Wir haben aber Ende nächsten Monats die erste Präsentation beim Kunden, das heißt die Zeit neue IPs vergeben zu lassen und auf Firewallfreigaben zu warten ist nicht mehr da.
Aber nichtsdestotrotz, wenn du sagst, das sei so eine Man-In-The-Middle Attacke oder sowas, das möchte ich natürlich nicht. Was müsste ich aus deiner Sicht tun, um dieses Szenario zu bewerkstelligen, wenn ich die Konfiguration des internen Routers und die Firewallfreigabe anpassen könnte? Also was müsste ich beantragen?
Ich will einfach nur quasi das Netzwerkkabel über das Internet verlängern, hätte nicht gedacht, dass sowas im 21.Jahrhundert noch so kompliziert ist :/
danke zunächst für deine Antwort und Mühe den Beitrag zu lesen. Ich verstehe dein Posting ehrlich gesagt nur so halb, bin nicht direkt aus der Technikecke. Es geht darum, dass ein PC, auf dem eine Anwendung als Client läuft mitgenommen werden soll zu Kundendemonstrationen oder Messen, um das dort zu zeigen. Danach kommt der PC wieder an seinen Platz, daher möchte ich da nicht jedes mal viele Änderungen an der Konfiguration vornehmen. Das Unternehmen ist groß und die erste Firewall-Freigabe etc. hat mehrere Wochen gedauert. Wir haben aber Ende nächsten Monats die erste Präsentation beim Kunden, das heißt die Zeit neue IPs vergeben zu lassen und auf Firewallfreigaben zu warten ist nicht mehr da.
Aber nichtsdestotrotz, wenn du sagst, das sei so eine Man-In-The-Middle Attacke oder sowas, das möchte ich natürlich nicht. Was müsste ich aus deiner Sicht tun, um dieses Szenario zu bewerkstelligen, wenn ich die Konfiguration des internen Routers und die Firewallfreigabe anpassen könnte? Also was müsste ich beantragen?
Ich will einfach nur quasi das Netzwerkkabel über das Internet verlängern, hätte nicht gedacht, dass sowas im 21.Jahrhundert noch so kompliziert ist :/
Hallo,
Und so einfach mal ne IP zweimal zu verwenden ist es doch nicht. Dann würde bis heute nicht mal dein Internet bei dir ankommen, noch funktionieren.
Gruß,
Peter
Zitat von @138936:
Es geht darum, dass ein PC, auf dem eine Anwendung als Client läuft mitgenommen werden soll zu Kundendemonstrationen oder Messen, um das dort zu zeigen.
Ein VPN?Es geht darum, dass ein PC, auf dem eine Anwendung als Client läuft mitgenommen werden soll zu Kundendemonstrationen oder Messen, um das dort zu zeigen.
Also was müsste ich beantragen?
Einen Termin oder mehrere mit deinen Admin, denn für Schulungen oder Ausbildung zum Netzwerktechniker ist es eh zu spät Ich will einfach nur quasi das Netzwerkkabel über das Internet verlängern,
Dazu sagen wir meistens VPN.hätte nicht gedacht, dass sowas im 21.Jahrhundert noch so kompliziert ist :/
Überleg dir mal wie alleine DE aussehen würde wenn hier jeder sein LAN Kabel durch die Straßen ziehen würde. Da gäbs noch nicht mal platz für ne BratwurstUnd so einfach mal ne IP zweimal zu verwenden ist es doch nicht. Dann würde bis heute nicht mal dein Internet bei dir ankommen, noch funktionieren.
Gruß,
Peter
Ich verstehe noch nicht ganz wie mir dein Beitrag hilft. Also auf der einen Seite gibst du VPN als Antwort, um das LAN Kabel quasi zu verlängern. Dafür habe ich ja zwei Router, die über ein VPN verbunden sind. Und wie geht es dann deiner Ansicht nach weiter?
Was muss in dem internen Router eingestellt werden? Brauche ich eine neue IP für den Router? Das Problem an der Geschichte ist, dass unsere Admins auf solche Tickets ähnlich antworten, daher dauert es auch Wochen.
Was muss in dem internen Router eingestellt werden? Brauche ich eine neue IP für den Router? Das Problem an der Geschichte ist, dass unsere Admins auf solche Tickets ähnlich antworten, daher dauert es auch Wochen.
Moin,
Du hast grundsätzlich nicht verstanden, wie VPN funktioniert:
PC1 --------- VPN-Router1 ----------- VPN-Tunnel --------------- VPN-Router2 ------------- PC2
Nehmen wir mal an, Netz1 hat die Netzadresse 192.168.1.0/24 und das Netz2 192.168.2.0/24. Die beiden Router haben im jeweils lokalen Netz die 1 im letzten Oktett der IP. Dann steht in der IP-Konfiguration des PC1 als Router 192.168.1.1 drin. Dort gibt er Pakete ab, die er nicht direkt zustellen kann. Also schickt er das Paket an PC2 mit der IP 192.168.2.100 an die 192.168.1.1 in der Hoffnung, dass der schon wissen wird, was er tun muss. Und er weiß es, denn in seiner Routing-Table steht, dass dafür Router2 zuständig ist. Als reicht er das Paket an 192.168.2.100 an den Router2 mit der internen IP 192.168.2.1 weiter. Und siehe da. Das ist nicht seine IP, sondern eine andere. Also guckt er im Netz nach, wer das ist und routet das Paket an den Zielrechner.
Dass die beiden Router auf der Seite des VPN-Tunnels öffentliche IPs haben, spielt dabei überhaupt keine Rolle, da diese IPs beim Transport von Netz1 ins Netz2 überhaupt nicht sichtbar sind. Beim "Betreten" des Tunnels werden die lokalen IPs mitsamt ihrem Paket nämlich verschlüsselt und in ein neues Paket gepackt, das nun tatsächlich die öffentlichen Adressen enthält. Am Endpunkt wird dieses Paket vom empfangenden Router dann wieder ausgepackt und die originalen IPs werden wieder sichtbar.
hth
Erik
Du hast grundsätzlich nicht verstanden, wie VPN funktioniert:
PC1 --------- VPN-Router1 ----------- VPN-Tunnel --------------- VPN-Router2 ------------- PC2
Nehmen wir mal an, Netz1 hat die Netzadresse 192.168.1.0/24 und das Netz2 192.168.2.0/24. Die beiden Router haben im jeweils lokalen Netz die 1 im letzten Oktett der IP. Dann steht in der IP-Konfiguration des PC1 als Router 192.168.1.1 drin. Dort gibt er Pakete ab, die er nicht direkt zustellen kann. Also schickt er das Paket an PC2 mit der IP 192.168.2.100 an die 192.168.1.1 in der Hoffnung, dass der schon wissen wird, was er tun muss. Und er weiß es, denn in seiner Routing-Table steht, dass dafür Router2 zuständig ist. Als reicht er das Paket an 192.168.2.100 an den Router2 mit der internen IP 192.168.2.1 weiter. Und siehe da. Das ist nicht seine IP, sondern eine andere. Also guckt er im Netz nach, wer das ist und routet das Paket an den Zielrechner.
Dass die beiden Router auf der Seite des VPN-Tunnels öffentliche IPs haben, spielt dabei überhaupt keine Rolle, da diese IPs beim Transport von Netz1 ins Netz2 überhaupt nicht sichtbar sind. Beim "Betreten" des Tunnels werden die lokalen IPs mitsamt ihrem Paket nämlich verschlüsselt und in ein neues Paket gepackt, das nun tatsächlich die öffentlichen Adressen enthält. Am Endpunkt wird dieses Paket vom empfangenden Router dann wieder ausgepackt und die originalen IPs werden wieder sichtbar.
hth
Erik
Hallo,
Gruß,
Peter
Zitat von @138936:
Also auf der einen Seite gibst du VPN als Antwort, um das LAN Kabel quasi zu verlängern. Dafür habe ich ja zwei Router, die über ein VPN verbunden sind. Und wie geht es dann deiner Ansicht nach weiter?
Naja, da die beiden miteinander eine VPN Zunnel etabliert haben ist das win. Das jetzt Daten darüberlaufen sollen das andere. Ein VPN kann ein einziges Gerät mit ein anderes Netz oder einzelnen Rechner verbinden. Dazu müssen die IPs auf der lokalen Seite bekannt sein und auch das Routing mus bekannt sein und notfalls im Rechner selbst geändert werden, in den Routern eures Netzes oder wo auch immer. Dann wird das neue VPN gedöhns auch eine neu IP 10.79.133.0 / 24 bekommen müssen und es euren Routern beigebracht bekommen das da ein neuer Router ist. Da du aber in dein LAN nichts machen kannst und auch in den Routern nichts Einstellen darfst, is dein Ansprechpartner dein Admin. Warum du das machen sollst ist vielleicht der Grund warum die dich verhungern lassen. Du hast doch einen Cheffe, oder? Und dann kann man per VPN nicht nur eine Rechner ins LAN machen, man kann sogar ganze Netze anbinden (Standort zu Standort) und es wäre töricht das ohne eure Admins tun zu wollen. Vielleicht haben die schon eine Lösung und wollen es dir nur nicht sagen. Genauso kann es sein das auf diesem einen PC nocht nicht mal die Software drauf ist und das mitnehmen zur Messe ist eh dann zwecklos... Die Admins werden es wissen.Also auf der einen Seite gibst du VPN als Antwort, um das LAN Kabel quasi zu verlängern. Dafür habe ich ja zwei Router, die über ein VPN verbunden sind. Und wie geht es dann deiner Ansicht nach weiter?
Was muss in dem internen Router eingestellt werden?
Kann hier ohne deine Strukturen und Daten eurer Netze zu kennen keiner sagen.Brauche ich eine neue IP für den Router?
Mindestens. Welche das hängt von eurem Netz ab und was dort schon alles mit Routing gemacht wird.Das Problem an der Geschichte ist, dass unsere Admins auf solche Tickets ähnlich antworten, daher dauert es auch Wochen.
Dann sagge deinen Cheffe er kann seinen Traum vergessen oder schon als ausgeträumt abhaken.Gruß,
Peter
Hi Erik, das habe ich einigermaßen verstanden. Habe auch kein Problem mit öffentlichen IPs. Also ich versuche mal einen lösungsorientierten Vorschlag zu machen und ihr könnt das ja mal beurteilen, inwiefern es dann funktioniert oder auch nicht, also wir tasten uns mal Step für Step vor:
Ich nehme den PC mit (mobil). Nun ändere ich die Ziel-IP des PC auf eine IP, die nicht im Netz des internen Routers ist. Also braucht der interne Router eine Einstellung, dass ich zu dem neuen Netz komme. Ich sage ihm also, das neue Netz erreicht er, wenn er über das Gateway Router1 geht. Router1 hat als Gateway Router2 und fragt ihn. Die neue IP des PC befindet sich im Netz von Router2.
Frage an euch, kommt das Paket nun an? (Firewall Freigaben mal außer acht gelassen)
Ich nehme den PC mit (mobil). Nun ändere ich die Ziel-IP des PC auf eine IP, die nicht im Netz des internen Routers ist. Also braucht der interne Router eine Einstellung, dass ich zu dem neuen Netz komme. Ich sage ihm also, das neue Netz erreicht er, wenn er über das Gateway Router1 geht. Router1 hat als Gateway Router2 und fragt ihn. Die neue IP des PC befindet sich im Netz von Router2.
Frage an euch, kommt das Paket nun an? (Firewall Freigaben mal außer acht gelassen)
Moin,
Naja, wenn ich das lese:
Dann handelt es sich um einen besonderen Rechner mit besonderen Zugriffsrechten, der auf einer Messe nichts zu suchen hat. Wahrscheinlich hilft die zuständige IT deshalb nicht. Ich kriege hier manchmal auch so seltsame Anfragen, die wir dann einfach aussitzen, weil wir keine Zeit und Lust haben, das vom Hölzchen aufs Stöckchen zu erklären.
Liebe Grüße
Erik
Zitat von @Pjordorf:
Da du aber in dein LAN nichts machen kannst und auch in den Routern nichts Einstellen darfst, is dein Ansprechpartner dein Admin. Warum du das machen sollst ist vielleicht der Grund warum die dich verhungern lassen.
Da du aber in dein LAN nichts machen kannst und auch in den Routern nichts Einstellen darfst, is dein Ansprechpartner dein Admin. Warum du das machen sollst ist vielleicht der Grund warum die dich verhungern lassen.
Naja, wenn ich das lese:
Zitat von @138936:
Der PC hängt an einem internen Router und besitzt die feste IP 10.79.133.20. Die Konfiguration des Routers ist nicht änderbar. Zudem kommuniziert ein interner Server mit diesem PC über mehrere WANs und Subnetze hinweg, dieser Weg ist per Firewall nur vom diesem Server zu diesem PC freigegeben.
Der PC hängt an einem internen Router und besitzt die feste IP 10.79.133.20. Die Konfiguration des Routers ist nicht änderbar. Zudem kommuniziert ein interner Server mit diesem PC über mehrere WANs und Subnetze hinweg, dieser Weg ist per Firewall nur vom diesem Server zu diesem PC freigegeben.
Dann handelt es sich um einen besonderen Rechner mit besonderen Zugriffsrechten, der auf einer Messe nichts zu suchen hat. Wahrscheinlich hilft die zuständige IT deshalb nicht. Ich kriege hier manchmal auch so seltsame Anfragen, die wir dann einfach aussitzen, weil wir keine Zeit und Lust haben, das vom Hölzchen aufs Stöckchen zu erklären.
Liebe Grüße
Erik
Mh ok, ich merke schon, dass es eher darum geht zu belehren als Hilfestellung zu geben. Oder ein gewisses Know-How ist vielleicht auch vorausgesetzt und dann bin ich im falschen Forum. Trotzdem vielen Dank für eure Bemühungen.
Moin,
Hilfe verstehen bedeutet Neues zu lernen, auch wenn das Neue vielleicht heißt, dass das, was man will, nicht geht. Deshalb muss ein Helfer immer auch belehren.
Das Problem ist, dass Du nicht verstehst, was ein VPN-Tunnel ist und wie er funktioniert. Außerdem verstehst Du nicht, dass Du offensichtlich Sicherheitseinstellungen Eurer IT unterlaufen willst. Dabei wird Dir niemand hier helfen. Wenn Deine IT das so nicht will, dann ist das so. Ich jedenfalls würde ziemlich böse reagieren, wenn ich feststellte, dass einer meiner besonders geschützten Rechner, mit dem exklusiv Zugriffe auf externe Server möglich sind, aus dem Haus getragen wird, um mittels eines selbst eingerichteten VPN-Tunnels mit dem Rechner irgendwo anders Unfug zu treiben.
Liebe Grüße
Erik
Zitat von @138936:
Mh ok, ich merke schon, dass es eher darum geht zu belehren als Hilfestellung zu geben.
Mh ok, ich merke schon, dass es eher darum geht zu belehren als Hilfestellung zu geben.
Hilfe verstehen bedeutet Neues zu lernen, auch wenn das Neue vielleicht heißt, dass das, was man will, nicht geht. Deshalb muss ein Helfer immer auch belehren.
Das Problem ist, dass Du nicht verstehst, was ein VPN-Tunnel ist und wie er funktioniert. Außerdem verstehst Du nicht, dass Du offensichtlich Sicherheitseinstellungen Eurer IT unterlaufen willst. Dabei wird Dir niemand hier helfen. Wenn Deine IT das so nicht will, dann ist das so. Ich jedenfalls würde ziemlich böse reagieren, wenn ich feststellte, dass einer meiner besonders geschützten Rechner, mit dem exklusiv Zugriffe auf externe Server möglich sind, aus dem Haus getragen wird, um mittels eines selbst eingerichteten VPN-Tunnels mit dem Rechner irgendwo anders Unfug zu treiben.
Liebe Grüße
Erik
