womanizer
Goto Top

Routing problem ueber VPN

Moin,

habe folgendes Problem:

Unsere Mitarbeiter verbinden sich per VPN in unser Firmennetz (10.10.0.0). Sie bekommen aber eine IP im Bereich 10.20.0.0. VOn diesem Netz können Sie alle Adressen im bereich 10.10.0.0 erreichen.

Folgendes problem ergibt sich nun. Die Mitarbeiter mit VPN sollen über einen Telefonclient übers Internet kostenlos telefonieren. Diese Software wählt sich auf einem Server im Netz 192.168.0.0 bei uns ein. Allerdings ist dieses Netz vom VPN Adressbereich (10.20.0.0) nicht erreichbar. Dieses Netz ist nur vom Firmennetz 10.10.0.0 erreichbar. Wir haben bei allen VPN Clients den Haken fürs Standardgateway unter Netzwerk herausgenommen, da die Mitarbeiter sonst nicht lokal ins Internet kommen. Sobald ich den Haken in der VPN verbindung wieder einsetze kommen Sie an unseren Server im 192.168.0.0 Netz.
Ein permanentes Routing kann ich auf den Clients nicht setzen, da Sie bei jeder VPN Einwahl eine andere IP bekommen. Sobald ich die Route adde komme ich auch an das 192.168.0.0 Netz.

Wie kann ich nun einstellen, damit jeder VPN Client automatisch bei der Einwahl ein permanentes Routing ins 192.168.0.0 Netz bekommt?

Hoffe ich hab es verständlich genug geschrieben face-smile

gruss & Dank im voraus,

Womanizer

Content-ID: 88516

Url: https://administrator.de/forum/routing-problem-ueber-vpn-88516.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

SarekHL
SarekHL 27.05.2008 um 10:01:53 Uhr
Goto Top
Mit ROUTE ADD kannst Du eine Route hinzufügen. Du müßtest also die Route zu 192.168.0.0 mit der entsprechenden Subnetzmaske und dem gewünschten Gateway eintragen.
Womanizer
Womanizer 27.05.2008 um 10:08:37 Uhr
Goto Top
Sichelrich kann Ich ne Route auf dem Client adden. 1. Ist Sie mit route add nicht permanent, nur wenn ich mit -p dahinter arbeite. Aber wie oben bereits beschrieben, kann ich keine permanenten Routen am Client ausführen.

Wenn ich route add 192.168.0.0 mask 255.255.255.0 10.20.0.5 (IP-Addresse vom VPN-Client) mache, komme ich an das netz dran. Wie kann ich dies denn nun automatisch per VPN übergeben, so dass jeder der sich per VPN anmeldet automatisch an dieses netz kommt ?
Dani
Dani 27.05.2008 um 10:37:48 Uhr
Goto Top
Moin,
ähmm....wie hast denn die beiden Netze (10.10.0.0 und 10.20.0.0) miteinander gekoppelt. Du wirst ja kaum /8 als Subnetzmaske genommen haben. Eigentlich brauchst du nur auf dem VPN-Server / Router eine statische Route eintragen und als NextHop der Server, Router der das Netz 192.168.0.0 kennt.


Gruß
Dani
spacyfreak
spacyfreak 27.05.2008 um 10:49:50 Uhr
Goto Top
Ja ganz so einfach zu verstehen ist das tatsächlich nicht.
Jedenfalls fehlt eine Route wie es aussieht.

"Normalerweise" läuft VPN ja so ab dass der client einen VPN Tunnel zur Firma aufmacht, und DAS WARS. ALLES läuft ab dann in den Tunnel hinein. Der Client kann auch ins Internet - aber eben nur über den Tunnel da er dann der Firmenpolicy unterliegt und quasi "durch den Tunnel durch die Firma über die Firmen-Firewall" ins Intenet kommt und auch die Antwort-Pakete durch den Tunnel zurück zum User geschoben werden.

Was ihr macht ist Split tunneling.

Der User kann Ziele im 10.X Netz erreichen über den VPN Tunnel, gleichzeitig aber im Internet surfen. Keine gute Idee! Aber egal.

Wenn der User dann Ziele in 192.X erreichen soll - wie soll der PC wissen wohin er das routen soll?
Der wird das - da er die explizite Route zu 192.X nicht kennt - über die Default Route senden, also über 0.0.0.0 ins Internet, wo aber nix weitergeht da private IPs im Internet nicht geroutet werden.

Anders Problem - User hat DAHEIM das Netz 192.168.X (kommt ja oft vor...). Und in der Firma ist auch ein Netz mit 192.168.X.
Tja, wie soll nun der PC wissen, ob er die Pakete in den Tunnel schmeissen soll oder ob er die Pakete lokal ausliefern soll. Problem!

Ich denke ich würd das IP Design der Lösung nochmal überdenken.
Womanizer
Womanizer 27.05.2008 um 10:50:48 Uhr
Goto Top
Aaaaaalso,

Auf dem VPN Server ist ein permanentes Routing für den Bereich 10.20.0.0 angetragen auf die 127.0.0.1. Daher ist das Netz im 10.10.0.0 erreichbar.

Der T-Systems TK Server hat 2 IP-Adressen. Eine im 10.10.0.0 Netz und eine im 192.168.0.0 Netz. Auf dem VPN Server ist ein permanentes Routing von 192.168.0.0 auf die 10.10.0.0 Adresse des TK-Servers eingetragen.

Wie müsste denn die statische Route aussehen ?

Nexthop sagt mir nun leider nichts. Bitte um kurze Aufklärung was ich da tun müsste.

Danke schonmal.
Womanizer
Womanizer 27.05.2008 um 10:54:30 Uhr
Goto Top
Für mich ist nur die Frage wie ich das Routing eintragen soll, so dass der PC des VPN Clients weiss wohin.

All unsere User haben im privaten Netzwerk eine 192.168.0.x. Adresse. Unser TK Netz intern in der Firma 192.168.50.x. Daher sollte es da keine probleme geben. Wenn ich das Routing manuell am Client eingebe, kommt er ja an dieses Netz.

Bleibt für mich nu noch die Frage, wie ich es bei uns am Server eintrage, damit die User per VPn draufkommen, OHNE das der Haken bei Standardgateway gesetzt sein muss. Sie sollen ja schliesslich über Ihr lokales Netz ins Internet und nicht über VPN.
aqui
aqui 27.05.2008 um 10:56:18 Uhr
Goto Top
aqui
aqui 27.05.2008 um 10:57:38 Uhr
Goto Top
Das ist nur über das "route add .." Kommando möglich, ansonsten hast du keine Chance, es sei denn du kannst über die VPN Lösung eine statische Route auf dem Client implementieren, was auch möglich ist.
Leider lässt du uns ja in dieser Beziehung vollkommen im Dunkeln tappen, da man nicht weiss WIE eure VPN Verbindung realisiert ist. face-sad

Normalerweise ist es aber möglich statt einer IP Adresse eine Schnittstelle anzugeben was das Problem dann auf Schlag löst, da du dann nicht mehr von einer IP Adresse abhängig bist.
Wie die VPN Schnittstelle bezeichnet ist siehst du mit dem Kommando route print oben in der Schnittstellenliste !
Die VPN Schnittstelle siehst du natürlich nur wenn du auch eine aktive VPN Verbindung hast !

Generell hast du es sowieso falsch gemacht und als next Hop Adresse für das SIP Gateway die eigene 10.20.er Adresse des Clients angegeben. Bei statischen Routen gibt man niemals die lokale IP an sondern die des remoten Gateways im selben Netz die ja immer konstant ist.
Wenn du also die IP Adresse des VPN Servers im 10.20.er Netz angibst die ja konstant ist sollte es auch problemlos klappen !!!

Letztlich sollten beide diese Lösungen zum Ziel führen !
Womanizer
Womanizer 27.05.2008 um 11:17:13 Uhr
Goto Top
Wir machen bei uns nen Standad WindowxsVPN über nen Win2000 Server.

Wenn ich über route add auf dem Client anstatt die Client-Adresse die Adresse des Gateways angebe, bekomme ich folgende Fehlermeldung:
Hinzufügen der Route fehlgeshlagen. Entweder ist der Schnittstellenindex ungültig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstelle. Überprüfen Sie die IP-Adresstabelle für diesen Rechner.

Wenn ich manuell folgendes Routing auf dem client eingebe komme ich ohne Probleme an alle Ip-Adressen in dem 192er Netz:

route add 192.168.0.0 mask 255.255.255.0 10.20.0.5 (IP-Addresse vom VPN-Client)

Es muss doch irgendwie möglich sein eine Route auf dem Server hinzuzufügen, die es den Clients dann erlaubt auf den 192er Bereich zuzugreifen?

Der VPN Server hat bei uns derzeit folgende aktive Routen:

10.20.0.1 127.0.0.1
10.20.0.2 10.20.0.1
10.20.0.3 10.20.0.3 usw.

10.20.0.1 ist das Gateway und 10.20.0.1-20 die VPN Clients. Diese bekommen per DHCP die Adressen zugewiesen.

Hoffe das hilft dir etwas weiter zu verstehen wie das Netz hier aufgebaut ist. mir ist das momentan alles sehr komplex......

Hoffe ihr könnt mir wieterhelfen wie ich am einfachsten dieses netz erreichen kann. Schliesslich funktionierts ja wenn man manuell ne Route am CLient eingibt, bzw im Windows VPN in den Einstellungen das Standardgateway wieder aktiviert.

So schwer kanns doch eigentlich nicht sein. Aber hab irgendwie voll den Hänger o_O

gruss & Dank,
André
aqui
aqui 27.05.2008 um 11:30:13 Uhr
Goto Top
Das ist gar nicht komplex sondern relativ normal....

Also um es von oben nochmal zu wiederholen:
Du gibst dann ganz einfach den Schnittstellenindex der VPN Schnittstelle an im Routing Kommando am Client, das löst das Problem sofort.

Bei einem normalen MS PPTP VPN ist eine dynmaische Übertragung der Routen vom VPN Server auf den Client m.E. nicht möglich.
Eine Versuch ist es evtl. wert, wenn ihr das Routing am VPN Server in das 192.168er Segment einmal statisch konfiguriert und euch dann nochmal ins VPN einwählt.
Ein route print auf dem Client zeigt dann ob ggf. diese statische Route mit übertragen wurde...das wäre den Versuch wert denn laut dem u.a. Thread sollte das so klappen !

Der Client hat dann keine dedizierte Route für das 192.168er Segment und nimmt dann das Standardgateway was vermutlich auf den lokalen Internet Router zeigt und damit dann ins Nirwana...

Ggf. hilft dir dieser Link der das Problem genauso beschreibt:

http://www.mcseboard.de/windows-forum-lan-wan-32/windows-vpn-server-ein ...
SarekHL
SarekHL 27.05.2008 um 11:35:40 Uhr
Goto Top
Die einzige andere Möglichkeit wäre meines Erachtens statt eines Host2LAN-Routings ein LAN2LAN-Routing. Dann stellt nicht der Client die VPN-Verbindung her, sondern der Router des Clients. Bei einem qualitativ hochwertigen Gerät kann man dort eine eigene Routing-Tabelle anlegen, so daß 192.168.50.0/24 in den Tunnel geschicht wird und nicht ins Internet.
Womanizer
Womanizer 27.05.2008 um 12:13:37 Uhr
Goto Top
@ aqui:

Wie mach ich das mit dem Schnittstellenindex? Wir haben ungefähr 150 Mitarbeiter mit Notebooks. Müsste ich das dann bei jedem manuell am Client machen?

Wie müsste denn das Routing am VPN Server aussehen? Das ist ja gerade mein problem face-sad

Bei deinem Link ist genau dasselbe problem. Der User dort hat ebenfalls den Haken bei "Standardgateway im Remotenetzwerk verwenden" entfernt. Leider ist ab da auch keien Lösung für mich ersichtbar, da er ein Problem mit einer Route hatte die IHn fehlgeleitet hat. Das sehe ich soweit bei mir nicht. Als Standardgateway sehe ich unter route print natürlich den DSL Router.


Die Idee mit dem LAN2LAN Routing fällt bei uns weg, da sich rund 150 Leute in ganz Europa einwählen. Dies haben wir nur bei Aussenstandorten in Europa mit Netgear Routern eingesetzt, damit diese Lokationen jederzeit mit uns verbunden sind.
aqui
aqui 27.05.2008 um 12:46:34 Uhr
Goto Top
Sieh dir die Syntax zum zum route Kommando an ! MS beschreibt das dort:

route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

Statt der 2 hinter IF (Interface) setzt du dort deinen Schnittstellenindex ein den du unter Route print siehst also sowas z.B.:
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 2 IF 0x10005

Und, JA du musst das manuell auf allen deinen 150 Clients machen oder das beim Login in eine Batch Datei schreiben.
Bevor du das machst solltest du aber erstmal die Routing Lösung am Server probieren.
Dazu müssten wir mal wissen ob dein 192.168.er Segment auch direkt an diesem VPN Server angeschlossen ist oder über einen anderen Router zu erreichen ist. Leider lässt du uns auch bei deiner Netzwerk Topologie etwas im Dunkeln tappen face-sad
SarekHL
SarekHL 27.05.2008 um 13:43:01 Uhr
Goto Top
Bevor du das machst solltest du aber erstmal die Routing Lösung am Server probieren.

Wie sollte das aussehen? Der Client muß doch schon wissen, daß er Pakete für 192.168.50.0/24 in den Tunnel schieben soll und nicht auf die Standardroute (ins Internet) ... oder habe ich jetzt irgendwo nicht aufgepaßt?
Womanizer
Womanizer 27.05.2008 um 13:44:19 Uhr
Goto Top
Ich möchte ja auch zuerst die Server Lösung angehen.

Unser TK Server hat bei uns im Netz die 10.10.0.50 und die 192.168.50.251.

Unser VPN Server (10.10.0.35) ist so eingetsellt das er den RAS Clients eine Adresse im Bereich 10.20.0.0 gibt.

Um vom 10.10.0.0 ins 192.168.50.0 Netz zu kommen wurd auf dem VPN Server ein permanentes Routing eingetragen. Dort ist seitdem auch alles erreichbar
Womanizer
Womanizer 27.05.2008 um 13:46:37 Uhr
Goto Top
da hast du Recht @sarek.

Aber da muss es doch eine Lösung geben, indem man ein Routing auf dem Server einträgt, bzw irgendne Möglichkeit das er das Routing an die VPN Clients weitergibt.

Bei sovielen Notebooks die sich per VPN einwählen möchte ich nicht an jedem Client einzeln etwas einstellen müssen.....
aqui
aqui 27.05.2008 um 14:14:44 Uhr
Goto Top
OK, leider versäumst du es ja mal die Netzwerkmasken mitzuteilen, nehmen wir also mal an ihr arbeitet mit 24 Bit (geraten face-sad ).
Dann sieht dein Netzwerk vermutlich so aus:

0193f64803f577b4d2f63c323678d74c-sipnetz


Sinn macht nun die Route auf dem VPN Server die dort auch unbedingt installiert werden muss, denn sonst kann dieser Server nie ins 192.168.50.er Segment routen.

route add 192.168.50.0 mask 255.255.255.0 10.10.0.50
bzw.
route add 192.168.50.0 mask 255.255.255.0 10.10.0.50 -p wenns funktioniert !

Vermutlich wird diese Route dann bei der PPTP Einwahl mit auf den Client übertragen !?
Das musst du mal ausprobieren und wäre dann die einfachste Lösung für dich wenns klappen sollte.

Wichtig ist dabei das du auf den Clients dann sämtliche statische und permanente Routen ins 192.168.50er Segment löscht vorher, denn statische Routen auf den Clients überschreiben immer dynamische Routen !!!

Nach der VPN Einwahl eines sauberen Clients kannst du dann einmal mit route print checken ob die Route tatsächlich vom Server in die Route Tabelle des Clients dynamisch per PPP übertragen wurde !!

Soviel zum Thema von SarekHL wie diese Routen bei PPTP Zugnag überteragen werden...

Greift das nicht, bleibt dir nur noch die Lösung der statischen Route beim Client !!
SarekHL
SarekHL 27.05.2008 um 17:30:38 Uhr
Goto Top
Aber da muss es doch eine Lösung geben, indem man ein Routing auf dem Server einträgt, bzw irgendne Möglichkeit das er das Routing an die VPN Clients weitergibt.

Ja klar. Wenn die die externen Clients in Deine Domäne (sowas habt Ihr doch hoffentlich?) einbindest, dann kannst Du das über Login-Scripts oder Gruppenrichtlinien machen.

Aber ich denke mal, daß Dir das auch nicht gefällt, oder? Aber eine andere servergesteuerte Möglichkeit sehe ich nicht. Wie gesagt, alles, wofür es keine explizite Route gibt, wird vom Client gnadenlos aufs Standardgateway geschoben ...
Womanizer
Womanizer 28.05.2008 um 09:06:48 Uhr
Goto Top
Moin,

danke das du dir so viel Mühe gemacht hast. Das Bild spiegelt genau unser LAN wieder, ausser das im LAN 2 nur IP telefone angeschlossen sind.

Das oben genannte Routing wurde soweit auch eingetragen, sonst könnte unser LAN1 nicht mit LAN2 kommunizieren.

Arbeiten wie du schon richtig vermutet hast mit 24BIt.

Leider wird diese Route nicht mit auf den Client übertragen. Das ist ja genau mein Problem. Auf dem Client sind auch keine permanenten Routen ins 192.168.50.0 Netz.

Also sieht es so aus als haben wir keine andere Möglichkeit als die Routen manuell bei den Clients einzutragen?
aqui
aqui 28.05.2008 um 09:36:55 Uhr
Goto Top
Es gäbe noch einen Workaround, der aber vermutlich auch nicht greift, da die 192.168er Route nicht an den Client übertragen wird.
Beide Server zeigen mit dem Standardgateway auf den Router und dieser hat dann eine statische Route auf das 192.168er Netz.
Letztlich sowieso die bessere Variante, da der Router dann zentral das Routing übernimmt und nicht einer der Server, von dem dann die Telefonie abhängig ist...
Wie gesagt, auch wird das vermutlich nicht das Problem der Routing Übertragung an den Client lösen und letztlich bleibt es dann dabei, das du dann wohl jeden Client einzeln anfassen musst oder diese Route ihm in der Login Batch beim Login übertragen musst...

Ein MS Problem letztlich. Besser wäre es gewesen ihr hättet als Router einen Draytek Router z.B. der dann die PPTP Verbindungen terminiert und die Route übertragen hätte. So oder so auch eine bessere Lösung, da dann der Router die VPN Verbindung hält, was letztlich besser ist als ein Server hinter der NAT Firewall...