Über ein Wlan zum Router Zuhause eine VPN (PPTP) Verbindung aufbauen. (Probleme bei gleichen Netzadressen)
PPTP Verbindung funtioniert einwandfrei, alle Rechner zuhause sind erreichbar. Solange ich ein Wlan finde, das nicht die selbe Netzadresse hat, wie bei eigenes Netzwerk.
Hallo,
Ich habe einen Draytek Vigor 2900VGI und habe einen Teleworker Account angelegt, um eine PPTP Einwahl zu ermöglichen.
Meine Netzadresse ist 192.168.1.0.
Wenn ich jetzt über ein offenes Wlan in der Umgebung eine PPTP Verbindung aufbaue, dann funtioniert alles ohne Probleme. Alle Rechner in meinem Netzwerk sind pingbar. (Das Wlan hat die die Netzadresse 192.168.254.0).
Wenn ich aber jetzt ein anderes Wlan, das die Netzadresse 192.168.1.0 hat (Die selbe, wie mein eigenes Netzwerk), dann geht nichts, kein Rechner ist pingbar.
Kann man da irgendwas einstellen, damit der Rechner weis, dass er die Anfragen an die 192.168.1.100, 192.168.1.200, 192.168.1.210. Nicht zu dem Wlan schickt, sondern über den PPTP Tunnel zu meinem Netzwerk ?
Wenn ich mich mit meinem Router verbinde, bekommt der PPTP Adapter eine IP von meinem Router (192.168.1.202).
Meine 2. Frage währe :
Ist es möglich, dass ich meinen gesamten Internettraffic über den PPTP Tunnel schicken kann, wenn ich ein offenes Wlan gefunden habe ?
Grüsse
Chris
Hallo,
Ich habe einen Draytek Vigor 2900VGI und habe einen Teleworker Account angelegt, um eine PPTP Einwahl zu ermöglichen.
Meine Netzadresse ist 192.168.1.0.
Wenn ich jetzt über ein offenes Wlan in der Umgebung eine PPTP Verbindung aufbaue, dann funtioniert alles ohne Probleme. Alle Rechner in meinem Netzwerk sind pingbar. (Das Wlan hat die die Netzadresse 192.168.254.0).
Wenn ich aber jetzt ein anderes Wlan, das die Netzadresse 192.168.1.0 hat (Die selbe, wie mein eigenes Netzwerk), dann geht nichts, kein Rechner ist pingbar.
Kann man da irgendwas einstellen, damit der Rechner weis, dass er die Anfragen an die 192.168.1.100, 192.168.1.200, 192.168.1.210. Nicht zu dem Wlan schickt, sondern über den PPTP Tunnel zu meinem Netzwerk ?
Wenn ich mich mit meinem Router verbinde, bekommt der PPTP Adapter eine IP von meinem Router (192.168.1.202).
Meine 2. Frage währe :
Ist es möglich, dass ich meinen gesamten Internettraffic über den PPTP Tunnel schicken kann, wenn ich ein offenes Wlan gefunden habe ?
Grüsse
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 64363
Url: https://administrator.de/contentid/64363
Ausgedruckt am: 13.11.2024 um 08:11 Uhr
8 Kommentare
Neuester Kommentar
Da kann man Midivirus nur beipflichten. Mit Bordmitteln ist das so nicht loesbar !
Eine etwas kreativere IP Adressvergabe auf eine anderes RFC 1918 IP Netz wie oben beschrieben im lokalen Netz von chr2002 sollte das Problem aber loesen.
Setze deinen Router bzw. auch den DHCP Server desselben um auf etwas Exotischeres wie oben von Midivirus schon beschrieben also z.B. 172.29.7.0 mit einer 24 Bit Maske (255.255.255.0) dann wird das auch kaum mehr vorkommen.
Es ist auch unverstaendlich warum(fast) alle Hersteller immer diese dumme 192.168.1.0 Netzadresse nehmen (und die meisten Anwender dies kritiklos uebernehmen..) wo es Massen von Alternativen gibt. Die meisten uebernehmen das wie gesagt ohne nachzudenken und da auch oeffentliche HotSpots mehr und mehr diese Einheitsadresse haben ist es wohltuend mal aus dem Pool der freien Privaten Adressen was anderes zu nehmen:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Und ja: du kannst ntuerlich auch allen Traffic durch den Tunnel senden. Dafuer musst du nur in den Eigenschaften des VPN Clients diese Funktion mit einem kleinen Haken aktivieren (Tunnelinterface als Standardgateway definieren !)
Eine etwas kreativere IP Adressvergabe auf eine anderes RFC 1918 IP Netz wie oben beschrieben im lokalen Netz von chr2002 sollte das Problem aber loesen.
Setze deinen Router bzw. auch den DHCP Server desselben um auf etwas Exotischeres wie oben von Midivirus schon beschrieben also z.B. 172.29.7.0 mit einer 24 Bit Maske (255.255.255.0) dann wird das auch kaum mehr vorkommen.
Es ist auch unverstaendlich warum(fast) alle Hersteller immer diese dumme 192.168.1.0 Netzadresse nehmen (und die meisten Anwender dies kritiklos uebernehmen..) wo es Massen von Alternativen gibt. Die meisten uebernehmen das wie gesagt ohne nachzudenken und da auch oeffentliche HotSpots mehr und mehr diese Einheitsadresse haben ist es wohltuend mal aus dem Pool der freien Privaten Adressen was anderes zu nehmen:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Und ja: du kannst ntuerlich auch allen Traffic durch den Tunnel senden. Dafuer musst du nur in den Eigenschaften des VPN Clients diese Funktion mit einem kleinen Haken aktivieren (Tunnelinterface als Standardgateway definieren !)
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!!
Beim Verfasser der 2004 zum letzten Mal auf einen Thread geantwortet hat wohl eine sinnlose Bitte....
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!!
Beim Verfasser der 2004 zum letzten Mal auf einen Thread geantwortet hat wohl eine sinnlose Bitte....
Hallo zusammen!
Ich poste einfach mal zu diesem Thread, da ich das gleiche Problem habe und bisher zu keiner Lösung gekommen bin.
Mir ist klar, dass es nicht sehr sinnvoll ist, die Standardadressen aus dem privaten IP-Adressbereich zu verwenden. Wenn ich aber nun eine VPN-Verbindung aus einem Netzwerk aufbauen muss, welches den gleichen Adressbereich hat wie das Zielnetz, und es vom Aufwand her nicht möglich ist, die Netze zu verändern, wie kann ich trotzdem auf die Geräte im Zielnetz zugreifen?
Beispiel:
- Ich habe ein Netzwerk mit der Netzadresse 192.168.1.0/24
- Der Standardgateway, auf dem auch der PPTP-Server läuft, hat die Adresse 192.168.1.1
- Ich stelle aus einem externen Netzwerk eine PPTP-Verbindung über den WinXP Pro Client her
- Der Client bekommt die Adresse 192.168.1.200 zugewiesen
- Sämtlicher Traffic, welcher nicht für das lokale Netz bestimmt ist, wird an das VPN-Gateway gesendet
Befinde ich mich mit meinem WinXP Client in einem beliebigen Netz, welches sich von 192.168.1.0/24 unterscheidet, gibt es keinerlei Probleme. Ich kann auf sämtliche Geräte im Remotenetz zugreifen.
Welche Möglichkeit habe ich, wenn der ungünstige Fall eintritt und sich mein Client auch in einem Netz mit der Adresse 192.168.1.0/24 und dem Standardgateway 192.168.1.1 befindet? Es müsste doch eigentlich möglich sein, den Traffic mittels Einträgen in der Routingtabelle des Clients an das Remotenetz weiterzuleiten. Bisher habe ich jedoch leider keine Lösung gefunden.
Das herstellen der PPTP-Verbindung funktioniert problemlos. Mein Client hat jetzt folgende IP-Adressen:
Lokales Netz: 192.168.1.57/24
Standardgateway: 192.168.1.1
VPN-Netz: 192.168.1.200/24
Standardgateway: 192.168.1.200
Den Routen des VPN-Interfaces wird auch eine niedrigere Metric als denen des lokalen Interfaces zugewiesen.
Auszug aus der Routingtabelle des Clients bei aktiver VPN-Verbindung:
Standardgateway: 192.168.1.200
Dass ich bei dieser Konstellation das Defaultgateway (192.168.1.1) im Zielnetz niemals direkt erreichen kann ist selbstverständlich, da der VPN-Adapter 192.168.1.1 als lokales Gateway benötigt, um überhaupt den Tunnel halten zu können.
Es müsste aber doch möglich sein, Hostrouten mit einer niedrigen Metric einzutragen, sodass beispielsweise eine Anfrage an 192.168.1.50 über den VPN-Adapter geroutet wird und nicht über den lokalen Adapter.
Ich habe bereits folgende Einträge getestet, was jedoch nicht erfolgreich war.
Ich habe noch andere Einträge ausprobiert, welche allerdings keinen Sinn ergeben. Aber wenn man nicht weiter kommt, probiert man in seiner Verzweiflung auch gerne mal unlogische Dinge aus ;)
Ich hoffe, dass irgendjemand mein Problem nachvollziehen kann und mein Posting versteht. Es ist jetzt leider etwas umfangreicher geworden. Weiß jemand eine Lösung für dieses Problem (abgesehen vom Umstellen der Adressen)?
Würde mich sehr über die ein oder andere (hoffentlich hilfreiche) Antwort freuen.
Vielleicht noch eine kurze ergänzende Info:
In der oben beschriebenen Konstellation wird sämtlicher Internetverkehr über das VPN-Gateway geroutet und nicht über das lokale Gateway. Es ist auch möglich Geräte im VPN-Netz zu erreichen, deren Adresse sich von 192.168.1.x unterscheidet.
Ich poste einfach mal zu diesem Thread, da ich das gleiche Problem habe und bisher zu keiner Lösung gekommen bin.
Mir ist klar, dass es nicht sehr sinnvoll ist, die Standardadressen aus dem privaten IP-Adressbereich zu verwenden. Wenn ich aber nun eine VPN-Verbindung aus einem Netzwerk aufbauen muss, welches den gleichen Adressbereich hat wie das Zielnetz, und es vom Aufwand her nicht möglich ist, die Netze zu verändern, wie kann ich trotzdem auf die Geräte im Zielnetz zugreifen?
Beispiel:
- Ich habe ein Netzwerk mit der Netzadresse 192.168.1.0/24
- Der Standardgateway, auf dem auch der PPTP-Server läuft, hat die Adresse 192.168.1.1
- Ich stelle aus einem externen Netzwerk eine PPTP-Verbindung über den WinXP Pro Client her
- Der Client bekommt die Adresse 192.168.1.200 zugewiesen
- Sämtlicher Traffic, welcher nicht für das lokale Netz bestimmt ist, wird an das VPN-Gateway gesendet
Befinde ich mich mit meinem WinXP Client in einem beliebigen Netz, welches sich von 192.168.1.0/24 unterscheidet, gibt es keinerlei Probleme. Ich kann auf sämtliche Geräte im Remotenetz zugreifen.
Welche Möglichkeit habe ich, wenn der ungünstige Fall eintritt und sich mein Client auch in einem Netz mit der Adresse 192.168.1.0/24 und dem Standardgateway 192.168.1.1 befindet? Es müsste doch eigentlich möglich sein, den Traffic mittels Einträgen in der Routingtabelle des Clients an das Remotenetz weiterzuleiten. Bisher habe ich jedoch leider keine Lösung gefunden.
Das herstellen der PPTP-Verbindung funktioniert problemlos. Mein Client hat jetzt folgende IP-Adressen:
Lokales Netz: 192.168.1.57/24
Standardgateway: 192.168.1.1
VPN-Netz: 192.168.1.200/24
Standardgateway: 192.168.1.200
Den Routen des VPN-Interfaces wird auch eine niedrigere Metric als denen des lokalen Interfaces zugewiesen.
Auszug aus der Routingtabelle des Clients bei aktiver VPN-Verbindung:
Netzwerkziel | Netzwerkmaske | Gateway | Schnittstelle | Anzahl |
---|---|---|---|---|
0.0.0.0 | 0.0.0.0 | 192.168.1.1 | 192.168.1.57 | 31 |
0.0.0.0 | 0.0.0.0 | 192.168.1.200 | 192.168.1.200 | 1 |
80.243.227.81 | 255.255.255.255 | 192.168.1.1 | 192.168.1.57 | 30 |
127.0.0.0 | 255.0.0.0 | 127.0.0.1 | 127.0.0.1 | 1 |
192.168.1.0 | 255.255.255.0 | 192.168.1.57 | 192.168.1.57 | 30 |
192.168.1.57 | 255.255.255.255 | 127.0.0.1 | 127.0.0.1 | 30 |
192.168.1.200 | 255.255.255.255 | 127.0.0.1 | 127.0.0.1 | 50 |
192.168.1.255 | 255.255.255.255 | 192.168.1.57 | 192.168.1.57 | 30 |
192.168.1.255 | 255.255.255.255 | 192.168.1.200 | 192.168.1.200 | 50 |
224.0.0.0 | 240.0.0.0 | 192.168.1.57 | 192.168.1.57 | 30 |
224.0.0.0 | 240.0.0.0 | 192.168.1.200 | 192.168.1.200 | 1 |
255.255.255.255 | 255.255.255.255 | 192.168.1.57 | 192.168.1.57 | 1 |
255.255.255.255 | 255.255.255.255 | 192.168.1.200 | 192.168.1.200 | 1 |
255.255.255.255 | 255.255.255.255 | 192.168.1.200 | 2 | 1 |
Dass ich bei dieser Konstellation das Defaultgateway (192.168.1.1) im Zielnetz niemals direkt erreichen kann ist selbstverständlich, da der VPN-Adapter 192.168.1.1 als lokales Gateway benötigt, um überhaupt den Tunnel halten zu können.
Es müsste aber doch möglich sein, Hostrouten mit einer niedrigen Metric einzutragen, sodass beispielsweise eine Anfrage an 192.168.1.50 über den VPN-Adapter geroutet wird und nicht über den lokalen Adapter.
Ich habe bereits folgende Einträge getestet, was jedoch nicht erfolgreich war.
Netzwerkziel | Netzwerkmaske | Gateway | Schnittstelle | Anzahl |
---|---|---|---|---|
192.168.1.50 | 255.255.255.255 | 192.168.1.200 | 192.168.1.200 | 1 |
Netzwerkziel | Netzwerkmaske | Gateway | Schnittstelle | Anzahl |
---|---|---|---|---|
192.168.1.50 | 255.255.255.255 | 192.168.1.1 | 192.168.1.200 | 1 |
Ich habe noch andere Einträge ausprobiert, welche allerdings keinen Sinn ergeben. Aber wenn man nicht weiter kommt, probiert man in seiner Verzweiflung auch gerne mal unlogische Dinge aus ;)
Ich hoffe, dass irgendjemand mein Problem nachvollziehen kann und mein Posting versteht. Es ist jetzt leider etwas umfangreicher geworden. Weiß jemand eine Lösung für dieses Problem (abgesehen vom Umstellen der Adressen)?
Würde mich sehr über die ein oder andere (hoffentlich hilfreiche) Antwort freuen.
Vielleicht noch eine kurze ergänzende Info:
In der oben beschriebenen Konstellation wird sämtlicher Internetverkehr über das VPN-Gateway geroutet und nicht über das lokale Gateway. Es ist auch möglich Geräte im VPN-Netz zu erreichen, deren Adresse sich von 192.168.1.x unterscheidet.
Wenn IP Adressgleicheit besteht in beiden Netzen dann ist eine VPN Verbindung technisch nicht möglich !
Du bist dann zu einer Adressänderung auf einer Seite gezwunden, denn ein Routing ist so technisch unmöglich, also ein absolutes KO Kriterium !!
Es gibt dann nur eine Ausnahme: Teure Routersysteme wie die z.B. von Cisco supporten NAT also eine Adress Translation. Du kannst dann also so wie du es von DSL Routern kennst ein Netzwerk hinter einer anderen IP Adresse verstecken ! Damit wäre das möglich, da du so die doppelten Netze sagen wir mal tarnst. Allerdings hat das auch auswirkungen auf ein transparentes Routing aber das zu beschreiben würde den Rahmen hier sprengen.
Bei Consumer Routern ist ein NAT Funktion für VPNs so gut wie nie vorhanden ! Es gibt eine Ausnahme wie dd-wrt oder open WRT z.B. als Open Source Firmware.
In diesem HowTo wird das anhand von dd-wrt beschrieben:
Wie du dort sehen kannst hat der PPTP Client eine NAT Möglichkeit. Damit erreichst du dann ein tarnen eins deiner Netzwerke und könntest so dein Problem lösen !
Du bist dann zu einer Adressänderung auf einer Seite gezwunden, denn ein Routing ist so technisch unmöglich, also ein absolutes KO Kriterium !!
Es gibt dann nur eine Ausnahme: Teure Routersysteme wie die z.B. von Cisco supporten NAT also eine Adress Translation. Du kannst dann also so wie du es von DSL Routern kennst ein Netzwerk hinter einer anderen IP Adresse verstecken ! Damit wäre das möglich, da du so die doppelten Netze sagen wir mal tarnst. Allerdings hat das auch auswirkungen auf ein transparentes Routing aber das zu beschreiben würde den Rahmen hier sprengen.
Bei Consumer Routern ist ein NAT Funktion für VPNs so gut wie nie vorhanden ! Es gibt eine Ausnahme wie dd-wrt oder open WRT z.B. als Open Source Firmware.
In diesem HowTo wird das anhand von dd-wrt beschrieben:
Wie du dort sehen kannst hat der PPTP Client eine NAT Möglichkeit. Damit erreichst du dann ein tarnen eins deiner Netzwerke und könntest so dein Problem lösen !
Hallo,
zunächst Danke für deine Antwort. Also die Router stellen kein Problem dar. Das sind Industrierouter, die so ziemlich alles können. Aber wie soll mir denn NAT weiterhelfen?
Ich hätte doch immer noch das Problem, dass die lokalen Adressen mit denen im VPN Netz identisch sind. Auf der Seite des Clients kann ich eh nichts verändern, da die Netze von denen ich mich einwähle ja immer wechseln. Es kommt halt nur in manchen Netzwerken vor, dass der Adressbereich mit dem im VPN-Netz übereinstimmt.
Eigentlich ist das ja auch Fuscherei, aber in Ausnahmesituationen, wo dieser ungünstige Fall eintritt, müsste man doch im Normalfall Netzrouten durch Hostrouten mit höherer Prioriät überschreiben können, sodass zumindest einzelne Host erreichbar wären.
Vermutlich ist die Routingfunktion von Windows nur zu primitiv.
Nochmal zum Thema NAT:
Meinst du, ich sollte auf der Seite des Servers einen anderen Adressbereich für die VPN-Verbindung einrichten und diesen dann mit Hilfe von NAT im VPN Netz auf den ursprünglichen Bereich umsetzen? Also z.B. 192.168.2.0/24 für VPN und das dann wieder auf 192.168.1.x mittels NAT umsetzen?
zunächst Danke für deine Antwort. Also die Router stellen kein Problem dar. Das sind Industrierouter, die so ziemlich alles können. Aber wie soll mir denn NAT weiterhelfen?
Ich hätte doch immer noch das Problem, dass die lokalen Adressen mit denen im VPN Netz identisch sind. Auf der Seite des Clients kann ich eh nichts verändern, da die Netze von denen ich mich einwähle ja immer wechseln. Es kommt halt nur in manchen Netzwerken vor, dass der Adressbereich mit dem im VPN-Netz übereinstimmt.
Eigentlich ist das ja auch Fuscherei, aber in Ausnahmesituationen, wo dieser ungünstige Fall eintritt, müsste man doch im Normalfall Netzrouten durch Hostrouten mit höherer Prioriät überschreiben können, sodass zumindest einzelne Host erreichbar wären.
Vermutlich ist die Routingfunktion von Windows nur zu primitiv.
Nochmal zum Thema NAT:
Meinst du, ich sollte auf der Seite des Servers einen anderen Adressbereich für die VPN-Verbindung einrichten und diesen dann mit Hilfe von NAT im VPN Netz auf den ursprünglichen Bereich umsetzen? Also z.B. 192.168.2.0/24 für VPN und das dann wieder auf 192.168.1.x mittels NAT umsetzen?
Nein, das stimmt nicht ganz ! Durch die NAT Funktion werden die IP Adressen einer Seite auf ein komplett andere IP umgesetzt. Dadurch ist die Adressierung wieder eindeutig !
Genau das ist ja das Wesen von NAT !!
Du hast aber recht das das Pfuscherei und Frickelei ist und eine Reihe von Problemen nach sich zieht. Für eine professionelle Lösung ist das nichts.
Da hilft wirklich nur ein IP Redesign...sonst nichts !
Genau das ist ja das Wesen von NAT !!
Du hast aber recht das das Pfuscherei und Frickelei ist und eine Reihe von Problemen nach sich zieht. Für eine professionelle Lösung ist das nichts.
Da hilft wirklich nur ein IP Redesign...sonst nichts !