17
Static route einrichten
Hi,
Mein netzwerk sieht wie folgt aus.
Ich möchte von meiner VPN verbindung die möglichkeit haben auf das komplette 172.16.1.0(z.b. 172.16.1.254, 172.16.1.100 etc) netzwerk zugreifen zu können.
Der DHCP hat einen bereich von 172.16.1.10-253.
Der router stelt die internet verbindung her.
Die VPN verbindung ist zwischen router und client hergestellt.
Wenn die vpn verbindung steht kann ich denn router auf 192.168.1.254 pingen und öffnen.
Was muss ich in mein static route im router eintragen damit ich zugriff auf alles andere kriege.
Bei mir im router im static route habe ich folgende felder:
Active - Ja/Nein
Pricate - Ja/Nein
Destination ip - ip addresse
IP subnet mask - ip addresse
Gateway ip - ip addresse
Metric - 1-15
Danke
Mein netzwerk sieht wie folgt aus.
Ich möchte von meiner VPN verbindung die möglichkeit haben auf das komplette 172.16.1.0(z.b. 172.16.1.254, 172.16.1.100 etc) netzwerk zugreifen zu können.
Der DHCP hat einen bereich von 172.16.1.10-253.
Der router stelt die internet verbindung her.
Die VPN verbindung ist zwischen router und client hergestellt.
Wenn die vpn verbindung steht kann ich denn router auf 192.168.1.254 pingen und öffnen.
Was muss ich in mein static route im router eintragen damit ich zugriff auf alles andere kriege.
Bei mir im router im static route habe ich folgende felder:
Active - Ja/Nein
Pricate - Ja/Nein
Destination ip - ip addresse
IP subnet mask - ip addresse
Gateway ip - ip addresse
Metric - 1-15
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89852
Url: https://administrator.de/contentid/89852
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Normalfall: du hast einen Router, an dem alle Geräte hängen, und alle haben ein IP-Segment (Subnetz). Auf dem Router wird die VPN-Verbindung terminiert. Damit wird der VPN-Client (Notebook aus Internet oder whatever) vom Router automatisch wie ein "normaler" Client im lokalen Netz behandlet. Der VPN-Tunnel stellt aus Sicht des Notebooks eine zusätzliche (virtuelle) Netzwerkkarte dar, die an den Router angeschlossen ist, und im gleichen Segment wie Router und alle lokalen Endgeräte steht. Und damit funktioniert dann schon alles. Ein Anpassen des Routings auf dem Router ist nicht nötig. Evtl. musst du die Konfiguration der virtuellen Netzwerkkarte auf dem Notebook nochmal überprüfen.
Was mir nicht klar ist, ist dein "Server" mit den zwei IP-Adressen (die bei Verwendung der Standard-Netzmasken auch im gleichen Netz liegen würden). Sollen das wirklich zwei Netze sein? Findet hier ein Routing statt? Dann musst du hier die Route eintragen, nicht auf dem Router. Außerdem hat nach deiner Grafik der Router ein anderes Netz als der Server - die beiden könnten also nicht miteinander kommunizieren.
Gruß
Filipp
Normalfall: du hast einen Router, an dem alle Geräte hängen, und alle haben ein IP-Segment (Subnetz). Auf dem Router wird die VPN-Verbindung terminiert. Damit wird der VPN-Client (Notebook aus Internet oder whatever) vom Router automatisch wie ein "normaler" Client im lokalen Netz behandlet. Der VPN-Tunnel stellt aus Sicht des Notebooks eine zusätzliche (virtuelle) Netzwerkkarte dar, die an den Router angeschlossen ist, und im gleichen Segment wie Router und alle lokalen Endgeräte steht. Und damit funktioniert dann schon alles. Ein Anpassen des Routings auf dem Router ist nicht nötig. Evtl. musst du die Konfiguration der virtuellen Netzwerkkarte auf dem Notebook nochmal überprüfen.
Was mir nicht klar ist, ist dein "Server" mit den zwei IP-Adressen (die bei Verwendung der Standard-Netzmasken auch im gleichen Netz liegen würden). Sollen das wirklich zwei Netze sein? Findet hier ein Routing statt? Dann musst du hier die Route eintragen, nicht auf dem Router. Außerdem hat nach deiner Grafik der Router ein anderes Netz als der Server - die beiden könnten also nicht miteinander kommunizieren.
Gruß
Filipp
Ich weiss nicht welches Tunnelprotokoll du verwendest.
IPSEC beispielsweise ist ein Layer3 Protokoll.
Das heisst - es muss geroutet werden.
Wenn das Netz 172... direkt am Router dranhängt, brauchst du keine zusätzliche Route da das Netz dem Router ja bekannt ist. Statische Routen braucht man nur zu Netzen die der Router nicht kennt.
Oder ist der Server mit zwei Netzwerkkarten ausgestattet und hat damit zusätzliche Routerfunktionalität?
Oder bin ich momentan zu müde für sowas?
IPSEC beispielsweise ist ein Layer3 Protokoll.
Das heisst - es muss geroutet werden.
Wenn das Netz 172... direkt am Router dranhängt, brauchst du keine zusätzliche Route da das Netz dem Router ja bekannt ist. Statische Routen braucht man nur zu Netzen die der Router nicht kennt.
Oder ist der Server mit zwei Netzwerkkarten ausgestattet und hat damit zusätzliche Routerfunktionalität?
Oder bin ich momentan zu müde für sowas?
Ja der server hat 2 Karten. Eine mit 172.16.1.1 mit einem Kabel zum router und eine Karte mit 172.16.1.254 wo ein access point dran ist. Ich benutze prosafe vpn client von netgear um zum router zu verbinden. Das protokoll ist IKE.
Hallo,
was für Subnetzmasken haben denn die Karten? Und welchen Adressbereich haben die Clients? Evtl. liegt hier das Problem... Und welche Adresse hat der Router (intern)? Welche Adresse hat der Client, wenn er sich eingewählt hat auf der virtuellen Netzwerkkarte?
Das Routing wirst du auf dem Server eintragen müssen, nicht auf dem Router. Evtl. machst du da auch nochmal ein NAT, dann wird es etwas schwieriger.
Gruß
Filipp
was für Subnetzmasken haben denn die Karten? Und welchen Adressbereich haben die Clients? Evtl. liegt hier das Problem... Und welche Adresse hat der Router (intern)? Welche Adresse hat der Client, wenn er sich eingewählt hat auf der virtuellen Netzwerkkarte?
Das Routing wirst du auf dem Server eintragen müssen, nicht auf dem Router. Evtl. machst du da auch nochmal ein NAT, dann wird es etwas schwieriger.
Gruß
Filipp
Subnet ist 255.255.255.0. Die clients haben einen bereich von 172.16.1.10-254. Der router hat die addressse 192.168.1.254. Wenn ich per vpn verbunden bin kann ich darauf zugreifen. Der client/Virtuelle adapter hat 192.168.10.10. Es würde mir auch schon erstmal reichen wenn ich zugriff auf dem server hätte. Aber bis jetzt geht alles nur bis 192.168.1.254(router). Wenn ich 172.16.1.254 versuche bekomme ich nichts.
Hallo,
dann kann etwas grundsätzlich nicht stimmen. Bei einer Subnetzmaske von 255.255.255.0 sind die beiden Netzwerkkarten des Servers (172.16.1.1 und 172.16.1.254) im gleichen Segment. Dazwischen kann kein Routing erfolgen. Wenn der Router 192.168.1.254 hat und die am Server an ihm angeschlossene Karte die 172.16.1.1 dann können die beiden auch gar nicht miteinander kommunizieren, außer du hast die Subnetzmaske auf beiden auf 1.0.0.0 gesetzt.
Stelle den Router auf 192.168.1.2, die Serverkarte bei ihm auf 192.168.1.1 (meinetwegen auch andersrum), die Subnetzmaske auf beiden auf 255.255.255.0. Dann richte auf dem Server ein Routing zwischen dem Router- und dem Clientnetz ein.
Gruß
Filipp
dann kann etwas grundsätzlich nicht stimmen. Bei einer Subnetzmaske von 255.255.255.0 sind die beiden Netzwerkkarten des Servers (172.16.1.1 und 172.16.1.254) im gleichen Segment. Dazwischen kann kein Routing erfolgen. Wenn der Router 192.168.1.254 hat und die am Server an ihm angeschlossene Karte die 172.16.1.1 dann können die beiden auch gar nicht miteinander kommunizieren, außer du hast die Subnetzmaske auf beiden auf 1.0.0.0 gesetzt.
Stelle den Router auf 192.168.1.2, die Serverkarte bei ihm auf 192.168.1.1 (meinetwegen auch andersrum), die Subnetzmaske auf beiden auf 255.255.255.0. Dann richte auf dem Server ein Routing zwischen dem Router- und dem Clientnetz ein.
Gruß
Filipp
Hallo,
Super danke. Werde ich versuchen.
Super danke. Werde ich versuchen.
Hier steht nochmal genau wie es geht:
Hi,
Habe das jetzt wie folgt eingerichtet.
Internet --- Router(192.168.1.254) ---- 192.168.1.1 <---Server---> 172.16.1.254 ---- Access point mit vielen Clients 172.16.1.0
In meinem router habe ich jetzt erstmal keine static routes eingerichtet und mal geschaut ob ich auf 192.168.1.1 zugriff habe. Kriege ich aber nicht. Meine routing table sieht wie folgt aus:
Destination......Mask.......................Gateway............Metric....Active
192.168.1.0.....255.255.255.0.......192.168.1.254...1............Yes
82.83.192.1.....255.255.255.255...82.83.192.1.......1............Yes
0.0.0.0.............0.0.0.0...................82.83.243.204...1............Yes
Warum habe ich kein zugriff drauf?
Habe das jetzt wie folgt eingerichtet.
Internet --- Router(192.168.1.254) ---- 192.168.1.1 <---Server---> 172.16.1.254 ---- Access point mit vielen Clients 172.16.1.0
In meinem router habe ich jetzt erstmal keine static routes eingerichtet und mal geschaut ob ich auf 192.168.1.1 zugriff habe. Kriege ich aber nicht. Meine routing table sieht wie folgt aus:
Destination......Mask.......................Gateway............Metric....Active
192.168.1.0.....255.255.255.0.......192.168.1.254...1............Yes
82.83.192.1.....255.255.255.255...82.83.192.1.......1............Yes
0.0.0.0.............0.0.0.0...................82.83.243.204...1............Yes
Warum habe ich kein zugriff drauf?
Hallo,
zumindest das mit den IP-Adressen auf Router und Server passt jetzt.
Eine Route vom Router zum Server hast du auch (gleich die erste). D.h.: die Tabelle gibt nur das Gateway an, nicht das Interface. Ist das auch die 192.168.1.254?
Der Router ist eine Windows-Mühle oder ein Linux?
Generell werden die Routingtabellen in den meisten Fällen durch aktivieren der entsprechende nDienste/Daemons meist automatisch angepasst. Eine Manipulation der Tabellen ist meist nur nötig, wenn man dann etwas speziellere Antforderungen hat (beispielsweise ein Netz bewusst nicht zu routen). In sofern würde ich mich da jetzt bei der Fehlersuche nicht zu sehr drauf fixieren und auch nicht dran rumfrickeln. Schaue lieber mal nach den "üblichen Verdächtigen" wie (Desktop-)Firewalls, Kablen etc.
Gruß
Filipp
zumindest das mit den IP-Adressen auf Router und Server passt jetzt.
Eine Route vom Router zum Server hast du auch (gleich die erste). D.h.: die Tabelle gibt nur das Gateway an, nicht das Interface. Ist das auch die 192.168.1.254?
Der Router ist eine Windows-Mühle oder ein Linux?
Generell werden die Routingtabellen in den meisten Fällen durch aktivieren der entsprechende nDienste/Daemons meist automatisch angepasst. Eine Manipulation der Tabellen ist meist nur nötig, wenn man dann etwas speziellere Antforderungen hat (beispielsweise ein Netz bewusst nicht zu routen). In sofern würde ich mich da jetzt bei der Fehlersuche nicht zu sehr drauf fixieren und auch nicht dran rumfrickeln. Schaue lieber mal nach den "üblichen Verdächtigen" wie (Desktop-)Firewalls, Kablen etc.
Gruß
Filipp
Hi,
Also der router ist ein netgear FVS318. Deswegen auch keine interfaces in der routing Tabelle. Auf dem server ist keine firewall. Der router hat eine Firewall aber da es ein Standard netgear router ist kann ich nur ports weiterleiten. Die routing Tabelle ist von dem netgear router. Ich habe auch versucht direkt von dem router mit der ip 192.168.1.254 die ip 192.168.1.1(server) zu pingen aber das ging auch nicht. Kann der server irgendwo ein Riegel vor allem haben?
Danke
Also der router ist ein netgear FVS318. Deswegen auch keine interfaces in der routing Tabelle. Auf dem server ist keine firewall. Der router hat eine Firewall aber da es ein Standard netgear router ist kann ich nur ports weiterleiten. Die routing Tabelle ist von dem netgear router. Ich habe auch versucht direkt von dem router mit der ip 192.168.1.254 die ip 192.168.1.1(server) zu pingen aber das ging auch nicht. Kann der server irgendwo ein Riegel vor allem haben?
Danke
Das ist doch klar warum es nicht geht !!!
Beispiel:
WLAN Client mit 172.16.1.1 sendet Packet ins Internet:
Dir sollte nun hoffentlich klar sein WARUM es OHNE zusätzliche Route im NetGear FVS318 Router nicht funktioniert !!!
Hättest du diese Route, nämlich:
Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.1.1
eingegeben wärs dazu nicht gekommen.
Wie du ja selber in deiner o.a. geposteten Routing Tabelle siehst fehlt genau dieser Routing Eintrag, der aber essentiell wichtig ist damit die Packete wieder in dein 172.16.1.0er Segment gelangen !!!
Dort würde (vor dem "Ooops" in der Reisebeschreibung des Packetes) der Router dann diese Route ja in seiner Routing Tabelle sehen und das Packet statt zum Provider und damit ins Nirwana dann an den Server schicken mit der 192.168.1.1.
Der sieht dann wiederum das das Ziel (172.16.1.1) an seiner NIC-2 hängt und forwardet es dahin...so einfach ist das !
Kannst du auch nochmal ganz genau in dem o.a. Tutorial nachlesen (was du vermutlich gar nicht gemacht hast, denn dann hätte sich diese Frage gar nicht gestellt...
)
Beispiel:
WLAN Client mit 172.16.1.1 sendet Packet ins Internet:
- Packet am Client merkt das das Zielnetz nicht im gleichen Netz ist und forwardet Packet an den Server der ja gaetway für ihn ist !
- Packet kommt am Server an, der merkt auch das es weder für sein Netz 1 und Netz 2 ist also forwardet er das an den Router der ja sein Gateway wiederum ist 192.168.1.254.
- Der Router schiebt es an den provider und das Packet erreicht seinen Zielserver. Hurra !
- Der Zielserver antwortet jetzt und das Antwortpacket landet wieder am Router. In seiner NAT Firewall wird dort wieder die IP Adresse des Clients eingesetzt als Ziel also die 172.16.1.1.
- Ooops nun merkt der Router das er ja aber am LAN die 192.168.1.0 als Netz hat und versucht nun das Packet loszuwerden.
- Er sieht also in seine Routing Tabelle, da ist aber nur die Default Route an den Provider drin als ab damit zum Provider.
- Der schmeisst das Packet aber sofort weg, da die Zieladresse eine RFC 1918 Adresse ist PRIVATE-IPs die im Internet nicht geroutet werden !!!
Dir sollte nun hoffentlich klar sein WARUM es OHNE zusätzliche Route im NetGear FVS318 Router nicht funktioniert !!!
Hättest du diese Route, nämlich:
Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.1.1
eingegeben wärs dazu nicht gekommen.
Wie du ja selber in deiner o.a. geposteten Routing Tabelle siehst fehlt genau dieser Routing Eintrag, der aber essentiell wichtig ist damit die Packete wieder in dein 172.16.1.0er Segment gelangen !!!
Dort würde (vor dem "Ooops" in der Reisebeschreibung des Packetes) der Router dann diese Route ja in seiner Routing Tabelle sehen und das Packet statt zum Provider und damit ins Nirwana dann an den Server schicken mit der 192.168.1.1.
Der sieht dann wiederum das das Ziel (172.16.1.1) an seiner NIC-2 hängt und forwardet es dahin...so einfach ist das !
Kannst du auch nochmal ganz genau in dem o.a. Tutorial nachlesen (was du vermutlich gar nicht gemacht hast, denn dann hätte sich diese Frage gar nicht gestellt...
)
Mein Gott ist mir das peinlich - das habe ich total übersehen. Für mich bedeutet Routing im privaten Bereich = NAT, dann ist das kein Problem. Aber hier wird ja richtig geroutet.
Allerdings erklärt das nicht, warum man den Server nicht vom Router aus pingen kann.
Gruß
Filipp
(der sich jetzt erstmal in die Ecke stellt)
Allerdings erklärt das nicht, warum man den Server nicht vom Router aus pingen kann.
Gruß
Filipp
(der sich jetzt erstmal in die Ecke stellt)
Stimmt, eigentlich müsste das pingen funktionieren. Habe jetzt auch das routing Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.1.1 hinzugefügt und es tut sich nichts
goog doch mal in den arp cache (arp -a).
Mach dann mal ein tracert auf den router.
Eventuell auch firewall die ICMP blockiert checken.
Mach dann mal ein tracert auf den router.
Eventuell auch firewall die ICMP blockiert checken.
@surfi2000
Dann routet der Server nicht...das ist klar ! Da solltest du nochmal suchen. Du hast de facto irgendwas vergessen, denn das Szenario ist ein klassisches und funktioniert fehlerfrei...(wenn man es richtig macht )
Dann routet der Server nicht...das ist klar ! Da solltest du nochmal suchen. Du hast de facto irgendwas vergessen, denn das Szenario ist ein klassisches und funktioniert fehlerfrei...(wenn man es richtig macht
)
Hier ist meine ip routing tabelle vom server
Interface AP hat die ip 172.16.1.254
Interface Router hat die ip 192.168.1.1
Was für static routes muss ich im server hinzufügen so das ich von dem vpn tunnel auf 172.16.1.0/24 zugriff habe und auf 192.168.1.1/24? Im router habe ich bereits folgendes hinzugefügt:
Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.1.1
Danke
Interface AP hat die ip 172.16.1.254
Interface Router hat die ip 192.168.1.1
Was für static routes muss ich im server hinzufügen so das ich von dem vpn tunnel auf 172.16.1.0/24 zugriff habe und auf 192.168.1.1/24? Im router habe ich bereits folgendes hinzugefügt:
Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.1.1
Danke
