Routingfrage - SBS 2003
Hi,
ich habe eine Frage zum Routing da ich nicht mehr weiter weiß.
Wir haben einen SBS 2003 mit 2 Netzwerkkarten. Eine mit 192.168.0.2, welches auf ein Gateway 192.168.0.1 zeigt für Internet und die interne mit 192.168.100.x. ISA- Server und Routing + RAS läuft.
Nun habe ich das Problem das ich einen VPN- Zugang auf das Gateway eingerichtet habe.
Nun komme ich jedoch nicht in das 192.168.100er Netz, da dass Gateway sich ja im 192.168.0.er Netz befindet.
Wie kann ich es realisieren in das 100er Netz zu kommen? Ist es überhaupt möglich?
Komme echt nicht weiter und hoffe ihr könnt mir helfen.
Danke
ich habe eine Frage zum Routing da ich nicht mehr weiter weiß.
Wir haben einen SBS 2003 mit 2 Netzwerkkarten. Eine mit 192.168.0.2, welches auf ein Gateway 192.168.0.1 zeigt für Internet und die interne mit 192.168.100.x. ISA- Server und Routing + RAS läuft.
Nun habe ich das Problem das ich einen VPN- Zugang auf das Gateway eingerichtet habe.
Nun komme ich jedoch nicht in das 192.168.100er Netz, da dass Gateway sich ja im 192.168.0.er Netz befindet.
Wie kann ich es realisieren in das 100er Netz zu kommen? Ist es überhaupt möglich?
Komme echt nicht weiter und hoffe ihr könnt mir helfen.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122522
Url: https://administrator.de/contentid/122522
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Dieses Tutorial sollte dir weiterhelfen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
<edit>
Grrr, Carsten war schneller
</edit>
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
<edit>
Grrr, Carsten war schneller
</edit>
Metric ist 1 ,denn es ist ja nur 1 Hop !
Was sagt denn ein Traceroute (tracert) oder ein pathping aufs Zielsystem ??
Dir ist klar das Ping (ICMP) am Zielsystem aktiviert sein muss (Haken setzen in den erweiterten Eigenschaften der Firewall bei "Auf Echoanforderungen antworten").
2tens sollte dir klar sein das die FW am Zielsystem sämtliche Pakete blockt sofern das remote IP Netz aus deinem VPN nicht freigegeben ist. (Firewall lässt nur lokale IPs zu !)
Folglich sollte dir klar sein das die FW um den Bereich erweitert werden muss oder zum Testen mal temporär ausgeschaltet werden sollte um diese Falle zu umgehen !!
Letzter wichtiger Punkt:
Kann dein VPN Client erkennen das das .100er Netz hinter dem VPN Tunnel liegt ??? Bzw. wird das beim VPN Connect mit übertragen ???
Was sagt ein route print am Client ???
Zeigt der das .100er Netz mit dem VPN Netz als Gateway an wie es richtig sein sollte ??
Andernfalls geht es dann via Internet (lokaler Router) ins Nirwana, da die Route dann falsch ist und nur das VPN Netz in den VPN Tunnel geroutet wird NICHT aber ebenso das .100er Netz wie es sein müsste !
Kann der NetGear Client das nicht was zu befürchten ist da NetGear leider keine Leuchte im VPN Geschäft ist musst du am Client zwangsläufig eine statische Route ala:
route add 192.168.100.0 mask 255.255.255.0 <vpn_ip>
konfigurieren. Wenn es dann klappt muss diese Route mit dem Parameter -p permanent gemacht werden, damit sie nach dem nächsten Reboot nicht verschwindet !!
Leider nimmst du zu all diesen Fragen ja keine Stellung so das eine qualifizierte Antwort zur Hilfe schwerfällt
Nochwas:
Sorry, aber ums mal hart zu sagen: es spricht nicht gerade von Intelligenz beim Planen und Einrichten von VPNs im Routernetz das Netzwerk 192.168.0.0 zu verwenden, denn jeder Dummbatzrouter aus dem Blödmarkt oder von der T-Com verwendet dieses Netzwerk !!
Es ist also nur eine Frage der Zeit wann sich dein Client auch mal in einem 192.168.0.0er netz befindet und dann ists AUS mit dem VPN !! Denn die eiserne regel des VPN besagt: Client und Server müssen in unterschiedlichen IP Netze sein !
Es wäre also intelligenter hier sowas wie 172.17.10.0 /24 oder 192.168.143.0 /24 oder 10.168.17.0 /24 oder oder, also was Krummes zu verwenden als dieses Allerwelts IP Netz was dir über Kurz oder Lang erhebliche Probleme mit dem VPN Zugang bereiten wird
Denk also mal über eine sinnvolle Neuadressierung im Routersegment nach !!
Was sagt denn ein Traceroute (tracert) oder ein pathping aufs Zielsystem ??
Dir ist klar das Ping (ICMP) am Zielsystem aktiviert sein muss (Haken setzen in den erweiterten Eigenschaften der Firewall bei "Auf Echoanforderungen antworten").
2tens sollte dir klar sein das die FW am Zielsystem sämtliche Pakete blockt sofern das remote IP Netz aus deinem VPN nicht freigegeben ist. (Firewall lässt nur lokale IPs zu !)
Folglich sollte dir klar sein das die FW um den Bereich erweitert werden muss oder zum Testen mal temporär ausgeschaltet werden sollte um diese Falle zu umgehen !!
Letzter wichtiger Punkt:
Kann dein VPN Client erkennen das das .100er Netz hinter dem VPN Tunnel liegt ??? Bzw. wird das beim VPN Connect mit übertragen ???
Was sagt ein route print am Client ???
Zeigt der das .100er Netz mit dem VPN Netz als Gateway an wie es richtig sein sollte ??
Andernfalls geht es dann via Internet (lokaler Router) ins Nirwana, da die Route dann falsch ist und nur das VPN Netz in den VPN Tunnel geroutet wird NICHT aber ebenso das .100er Netz wie es sein müsste !
Kann der NetGear Client das nicht was zu befürchten ist da NetGear leider keine Leuchte im VPN Geschäft ist musst du am Client zwangsläufig eine statische Route ala:
route add 192.168.100.0 mask 255.255.255.0 <vpn_ip>
konfigurieren. Wenn es dann klappt muss diese Route mit dem Parameter -p permanent gemacht werden, damit sie nach dem nächsten Reboot nicht verschwindet !!
Leider nimmst du zu all diesen Fragen ja keine Stellung so das eine qualifizierte Antwort zur Hilfe schwerfällt
Nochwas:
Sorry, aber ums mal hart zu sagen: es spricht nicht gerade von Intelligenz beim Planen und Einrichten von VPNs im Routernetz das Netzwerk 192.168.0.0 zu verwenden, denn jeder Dummbatzrouter aus dem Blödmarkt oder von der T-Com verwendet dieses Netzwerk !!
Es ist also nur eine Frage der Zeit wann sich dein Client auch mal in einem 192.168.0.0er netz befindet und dann ists AUS mit dem VPN !! Denn die eiserne regel des VPN besagt: Client und Server müssen in unterschiedlichen IP Netze sein !
Es wäre also intelligenter hier sowas wie 172.17.10.0 /24 oder 192.168.143.0 /24 oder 10.168.17.0 /24 oder oder, also was Krummes zu verwenden als dieses Allerwelts IP Netz was dir über Kurz oder Lang erhebliche Probleme mit dem VPN Zugang bereiten wird
Denk also mal über eine sinnvolle Neuadressierung im Routersegment nach !!
Hallo,
habe ich das richtig gelesen? Du hast:
SBS 2003 mit installierten ISA 2004? und demzufolge 2 Netzwerkkarte (Sonst kein ISA) und einen VPN Router (Netgear).
Dein externes Netzt (aus sicht vom SBS) ist das 192.168.0.0724
Dein internes Netz (aus Sicht vom SBS) ist das 192.168.100.0/24
Der Netgear ist VPN Server zum Netz 192.168.0.0 (Externes Netz des SBS, abgeschottet durch ISA 2004)
Du kommst per Netgear VPN Client nicht auf das Interne Netz des SBS (192.168.100.0/24)
Du hast keine Kontrolle über den SBS / ISA da dieser nicht euch gehört oder von euch Verwaltet wird. Du hast nur zugriff auf den Netgear VPN Server.
1. Warum nicht den SBS gleich als VPN Server eingerichtet?
2. Sind beim SBS die Assistenten zum einrichten der Inet und VPN und RRAS verwendet worden? (Der ISA wird Automatisch mit Konfiguriert)
3. Sind auf dem ISA entsprechende Regeln eingerichtet worden damit du mit deinem VPN überhaupt durchkommst (Der Client ist ja aus sicht des ISA Extern, sprich im unsicheren Internet)
Peter
habe ich das richtig gelesen? Du hast:
SBS 2003 mit installierten ISA 2004? und demzufolge 2 Netzwerkkarte (Sonst kein ISA) und einen VPN Router (Netgear).
Dein externes Netzt (aus sicht vom SBS) ist das 192.168.0.0724
Dein internes Netz (aus Sicht vom SBS) ist das 192.168.100.0/24
Der Netgear ist VPN Server zum Netz 192.168.0.0 (Externes Netz des SBS, abgeschottet durch ISA 2004)
Du kommst per Netgear VPN Client nicht auf das Interne Netz des SBS (192.168.100.0/24)
Du hast keine Kontrolle über den SBS / ISA da dieser nicht euch gehört oder von euch Verwaltet wird. Du hast nur zugriff auf den Netgear VPN Server.
1. Warum nicht den SBS gleich als VPN Server eingerichtet?
2. Sind beim SBS die Assistenten zum einrichten der Inet und VPN und RRAS verwendet worden? (Der ISA wird Automatisch mit Konfiguriert)
3. Sind auf dem ISA entsprechende Regeln eingerichtet worden damit du mit deinem VPN überhaupt durchkommst (Der Client ist ja aus sicht des ISA Extern, sprich im unsicheren Internet)
Peter