oh2204
Goto Top

Routingfrage - SBS 2003

Hi,

ich habe eine Frage zum Routing da ich nicht mehr weiter weiß.
Wir haben einen SBS 2003 mit 2 Netzwerkkarten. Eine mit 192.168.0.2, welches auf ein Gateway 192.168.0.1 zeigt für Internet und die interne mit 192.168.100.x. ISA- Server und Routing + RAS läuft.
Nun habe ich das Problem das ich einen VPN- Zugang auf das Gateway eingerichtet habe.
Nun komme ich jedoch nicht in das 192.168.100er Netz, da dass Gateway sich ja im 192.168.0.er Netz befindet.

Wie kann ich es realisieren in das 100er Netz zu kommen? Ist es überhaupt möglich?

Komme echt nicht weiter und hoffe ihr könnt mir helfen.


Danke

Content-ID: 122522

Url: https://administrator.de/contentid/122522

Ausgedruckt am: 25.11.2024 um 12:11 Uhr

CarstenKoepp
CarstenKoepp 11.08.2009 um 18:11:48 Uhr
Goto Top
Hallo oh2204,

schau doch mal

Besten Gruß
Carsten

<edit>
Sorry aqui! face-wink
aqui
aqui 11.08.2009, aktualisiert am 18.10.2012 um 18:39:01 Uhr
Goto Top
Dieses Tutorial sollte dir weiterhelfen:

Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

<edit>
Grrr, Carsten war schneller face-wink
</edit>
oh2204
oh2204 11.08.2009 um 18:49:41 Uhr
Goto Top
Echt tolles Tut face-smile

Ich kann trotzdem den PC nicht pingen, wenn ich über VPN verbunden bin (NeatGear Gateway mit VPN Client Software).
Ich habe eine statische Route im Gateway angelegt.
Zielnetz 192.168.100.0 über das Gateway 192.168.0.2 (2. NIC im Server), Metric (?) habe ich 5 eingestellt.

Habt ihr noch eine Idee?
aqui
aqui 11.08.2009 um 19:24:49 Uhr
Goto Top
Metric ist 1 ,denn es ist ja nur 1 Hop !

Was sagt denn ein Traceroute (tracert) oder ein pathping aufs Zielsystem ??

Dir ist klar das Ping (ICMP) am Zielsystem aktiviert sein muss (Haken setzen in den erweiterten Eigenschaften der Firewall bei "Auf Echoanforderungen antworten").

2tens sollte dir klar sein das die FW am Zielsystem sämtliche Pakete blockt sofern das remote IP Netz aus deinem VPN nicht freigegeben ist. (Firewall lässt nur lokale IPs zu !)
Folglich sollte dir klar sein das die FW um den Bereich erweitert werden muss oder zum Testen mal temporär ausgeschaltet werden sollte um diese Falle zu umgehen !!

Letzter wichtiger Punkt:
Kann dein VPN Client erkennen das das .100er Netz hinter dem VPN Tunnel liegt ??? Bzw. wird das beim VPN Connect mit übertragen ???
Was sagt ein route print am Client ???
Zeigt der das .100er Netz mit dem VPN Netz als Gateway an wie es richtig sein sollte ??
Andernfalls geht es dann via Internet (lokaler Router) ins Nirwana, da die Route dann falsch ist und nur das VPN Netz in den VPN Tunnel geroutet wird NICHT aber ebenso das .100er Netz wie es sein müsste !
Kann der NetGear Client das nicht was zu befürchten ist da NetGear leider keine Leuchte im VPN Geschäft ist musst du am Client zwangsläufig eine statische Route ala:
route add 192.168.100.0 mask 255.255.255.0 <vpn_ip>
konfigurieren. Wenn es dann klappt muss diese Route mit dem Parameter -p permanent gemacht werden, damit sie nach dem nächsten Reboot nicht verschwindet !!

Leider nimmst du zu all diesen Fragen ja keine Stellung so das eine qualifizierte Antwort zur Hilfe schwerfällt face-sad

Nochwas:
Sorry, aber ums mal hart zu sagen: es spricht nicht gerade von Intelligenz beim Planen und Einrichten von VPNs im Routernetz das Netzwerk 192.168.0.0 zu verwenden, denn jeder Dummbatzrouter aus dem Blödmarkt oder von der T-Com verwendet dieses Netzwerk !!
Es ist also nur eine Frage der Zeit wann sich dein Client auch mal in einem 192.168.0.0er netz befindet und dann ists AUS mit dem VPN !! Denn die eiserne regel des VPN besagt: Client und Server müssen in unterschiedlichen IP Netze sein !
Es wäre also intelligenter hier sowas wie 172.17.10.0 /24 oder 192.168.143.0 /24 oder 10.168.17.0 /24 oder oder, also was Krummes zu verwenden als dieses Allerwelts IP Netz was dir über Kurz oder Lang erhebliche Probleme mit dem VPN Zugang bereiten wird face-sad
Denk also mal über eine sinnvolle Neuadressierung im Routersegment nach !!
oh2204
oh2204 11.08.2009 um 20:15:56 Uhr
Goto Top
Problem ist das dass Netz nicht uns gehört.
Am besten und einfachsten wäre es den NetGear (auch wegen der 192.168.0.x Problematik die mir bekannt ist) ins .100er Netz zu bringen oder was meinst du?
Hubert.N
Hubert.N 11.08.2009 um 22:04:12 Uhr
Goto Top
Wie ist denn das Zielnetz konfiguriert ?! gateway dort ?! Ein oft gemachter Fehler ist, dass der Zielrechner einfach selbst die Rückroute nicht weiß.
Pjordorf
Pjordorf 12.08.2009 um 03:49:28 Uhr
Goto Top
Hallo,

habe ich das richtig gelesen? Du hast:
SBS 2003 mit installierten ISA 2004? und demzufolge 2 Netzwerkkarte (Sonst kein ISA) und einen VPN Router (Netgear).

Dein externes Netzt (aus sicht vom SBS) ist das 192.168.0.0724
Dein internes Netz (aus Sicht vom SBS) ist das 192.168.100.0/24

Der Netgear ist VPN Server zum Netz 192.168.0.0 (Externes Netz des SBS, abgeschottet durch ISA 2004)

Du kommst per Netgear VPN Client nicht auf das Interne Netz des SBS (192.168.100.0/24)

Du hast keine Kontrolle über den SBS / ISA da dieser nicht euch gehört oder von euch Verwaltet wird. Du hast nur zugriff auf den Netgear VPN Server.

1. Warum nicht den SBS gleich als VPN Server eingerichtet?
2. Sind beim SBS die Assistenten zum einrichten der Inet und VPN und RRAS verwendet worden? (Der ISA wird Automatisch mit Konfiguriert)
3. Sind auf dem ISA entsprechende Regeln eingerichtet worden damit du mit deinem VPN überhaupt durchkommst (Der Client ist ja aus sicht des ISA Extern, sprich im unsicheren Internet)

Peter