Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit alternativem Gateway

Mitglied: niLuxx

niLuxx (Level 1) - Jetzt verbinden

24.08.2018 um 17:46 Uhr, 864 Aufrufe, 5 Kommentare

Hallo zusammen,

Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern (wenn alle Verbindung getunnelt werden)?
Aufbau des Netzwerkes wäre im groben folgender:

Client => | VPN | <= Router_1 <=> Router_2 <=> Server

VPN wird also mit Router_1 aufgebaut.

Router_1 (mit DHCP) und Router_2 liegen Netzwerk 192.168.1.0/24. Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Router_2 ist so konfiguriert, dass er alle Aufrufe aus 192.168.1.0/24 in seine internen Netze routet (192.168.2.0/24, 192.168.3.0/24...). Standardmäßig bekommen VPN-Clients ja aber Router_1 als Standardgateway zugewiesen.
Gibt es eine Möglichkeit bei laufender VPN Verbindung den Gateway auf Router_2 zu stellen? Ist sowas überhaupt möglich?

Bitte nicht vom Netzwerk-Aufbau irritieren lassen. Das ist alles nur vorübergehend. Normalerweise wäre Router_1 nicht vorhanden

Viele Grüße
niLuxx
Mitglied: bloodstix
24.08.2018 um 17:48 Uhr
Hallo,

nein das ist generell nicht möglich, ohne das die Verbindung abbricht. Du solltest für dein VPN einfach entsprechende Routen vom R1 -> R2 konfigurieren.

Gruß
bloody
Bitte warten ..
Mitglied: niLuxx
24.08.2018 um 18:27 Uhr
Hallo bloodstix,

Ah ok, danke. Nehme ich diese Einstellungen dann direkt am R1 vor?
Was stelle ich dann genau ein? Ein Routing von 192.168.1.0/24 auf die 192.168.2.0/24?

Viele Grüße
niLuxx
Bitte warten ..
Mitglied: aqui
25.08.2018, aktualisiert um 15:07 Uhr
Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern
Das kommt darauf an....
Bei einer VPN Gateway redirect Funktion auf dem VPN Server also wo der VPN Einwahlserver das Default Gateway am Client anpasst ist es generell nicht möglich.
Allerdings hast du dann auch das o.g. Problem gar nicht erst, denn dann wird ja immer ALLES in den VPN Tunnel geroutet.

Bei einem Split Tunnel wird ja nur ein oder mehrere remote IP Segmente in den Tunnel geroutet. Hier könntest du mit einer statischen Route natürlich auf Client Seite eine hinzufügen.
Allerdings ist das ja bekanntlich nur die halbe Miete, denn die Rückroute muss ja auch stimmen, d.h. beide Seiten müssen die Netze kennen.
Kannst du die Rückroute nicht auch anpassen nützt dir also eine zusätzliche statische Route am Client rein gar nichts.
Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Nein ! Das ist falsch und hängt vom verwendeten VPN Protokoll ab.
Leider bist du zu diesen wichtigen Punkten ob Redirect oder Split Tunnel oder Protokoll recht oberflächlich so das eine zielführende Hilfe nicht gerade einfach ist ohne raten zu müssen

Im Grunde ist die Frage auch sinnfrei, denn mit den SA Credentials (IPsec vorausgesetzt als VPN Protokoll) kannst du ja an Router 1 sofern das dein VPN Dialin Router ist ??! ja einstellen welche IP Routen du an den Client distribuierst.
Alternativ könnte Router 1 nur durchreichen und Router 2 wäre der VPN Dialin Router, dann wäre die Frage auch überflüssig.
Oder...du routest über einen GRE Tunnel und nutzt dynmaisches Routing über den Tunnel dann lernt der Client alles dynamisch.
Es gibt viele Wege für eine Lösung. Entscheidend ist was genau du erreichen willst. Leider wird auch das nicht so ganz klar aus deiner Fragestellung ?!
Bitte warten ..
Mitglied: niLuxx
26.08.2018 um 18:47 Uhr
Hallo zusammen,

Danke für eure Antworten. Vielleicht ein paar weitere Infos zur Erklärung und um die Sache verständlicher zu machen. Derzeit sieht unsere Netzwerkstruktur noch folgendermaßen aus:

INTERNET <=> FritzBox <=> Cisco Firewall/Router <=> Layer-3-Switch <=> Server/Clients

Soweit funktioniert alles wie es soll. Mittelfristig soll die Fritzbox noch verschwinden und der Cisco Router/Firewall (ASA) direkt ans Netz. Vorübergehend müssen wir aber mit dieser Zwischenlösung leben, da es diverse Telefone gibt (DECT/VOIP), die über die FritzBox angebunden sind.

Ziel soll es sein (als Übergang) mittels VPN auf die Server und Clients zu zugreifen. Der Cisco-Router/Layer-3-Switch wurde schon konfiguriert, sodass es letztlich 7 Sub-Netze gibt:
=> Am Router physisch, jeweils an einem Port
=> Am Switch mittels VLANs

Mittelfristig soll das interne Routing über den Layer-3-Switch gehen.
Derzeit ist Netz 1 des Routers (192.168.178.0/24) mit der FritzBox verbunden (Sec-Stufe 0) - outside IP = 192.168.178.X. Die anderen Subnetze (192.168.X.0/24) haben je nach Einsatz eine Stufe zwischen 50-100. Ich habe die Kommunikationsretriktionen allerdings ausgehebelt, indem ich an der Firewall eine Regel bestimmt habe, die alle Verbindungen aus (192.168.178.0/24) in andere Netze zulassen. Das ist nicht schön, aber für mich für eine initiale Installation/Konfiguration der Server recht nützlich. Die Netze sind derzeit ja noch halbwegs gut über die FritzBox gesichert (Server sind noch nicht produktiv).

Ziel wäre jetzt "einfach" nur ein Zugriff auf die internen Server/Clients. Folgende Szenarien könnte ich mir vorstellen:
1. VPN zu FritzBox. Im FritzBox Netz dann mittels der eingestellten Security Regelung auf die Server und Clients der anderen Netze zugreifen:
=> Problem => Cisco Router agiert nicht als Gateway und http-request (e.g. zum Aufruf von Konfig UIs) gehen zum FritzBox Router und damit ins Leere

2. VPN zu Cisco. Ich habe da nicht so die Ahnung. Letztlich dachte ich die "exposed" Host Funktion der FritzBox könnte nützlich sein, aber wie kann ich den Router dann für VPN direkt ansteuern? Hier würde man logischerweise die Firewall-Rule vorher wieder am Router entfernen und ein Security 100 Netz als Einstieg nehmen (zumindest vorübergehend bis grundlegende Konfig abgeschlossen ist).

Viele Grüße
niLuxx
Bitte warten ..
Mitglied: aqui
30.08.2018, aktualisiert um 15:40 Uhr
Mittelfristig soll die Fritzbox noch verschwinden und der Cisco Router/Firewall (ASA) direkt ans Netz.
Das wäre mehr als sinnvoll. Eine Router Kaskade mit einem billigen Consumer Produkt zu betreiben in dem Umfeld muss man sicher nicht weiter kommentieren hier ?!

Szenario 1 ist ja eigentlich Blödsinn und solltest du nicht machen, auch wenn es denkbar ist.
Der Grund ist doch klar: Das VPN ist doch fix und fertig eingerichtet so wie es später auch laufen soll, nämlich sinnigerweise auf dem Cisco der damit besser umgehen kann.
Warum also frickeln was gar nicht sein muss ?!

Szenario 2 ist erhelblich sinnvoller. Du terminierst die VPN Clients da wo sie auch hinsollen. Keine Frickelei mit einem VPN Server davor und verschlimmbessern der Zugriffsregeln.
Ich habe da nicht so die Ahnung.
Tja, dagegen haben wir natürlich auch keine Pille. Das kann auch das allerbeste Forum nicht fixen. Da bist DU selber gefragt !
dachte ich die "exposed" Host Funktion der FritzBox könnte nützlich sein
Nicht denken sondern nachdenken ! Exposed Host ist nur begrenzt sinnvoll. Die Funktion macht nichts anderes als ALLES was vom Internet reinkommt und an die WAN IP Adresse der FB gerichtet ist an den Cisco bzw. dessen IP weiterreicht. Feste statische IP des Cisco am WAN Port vorausgesetzt.
Alles....nur solange die FB sich nicht selber angesprochen fühlt.
Das tut sie aber für Dienste für die sie aber selber gedacht ist wie IPsec VPN, HTTP, HTTPS usw. usw.
Das alles forwardet sie dann nicht.

Angenommen dein Cisco VPN nutzt auch IPsec als VPN Protokoll musst du auf der FB ALLES deaktivieren was dafür erforderlich ist. User Accounts etc. ansonsten reicht die FB diese Pakete nicht weiter egal ob Exposed Hosts oder Port Forwarding dafür. Siehe auch:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Dein Knackpunkt ist alo einzig nur die FB !

Auf dem Cisco kannst du über den Debugger (debug xyz) dir ansehen ob die FB die für IPsec VPN relevanten Ports bzw. deren Traffic richtig an die WAN IP des Cisco forwardet.
Macht sie schon das nicht kann kein VPN Client den Cisco erreichen, logisch !
Das ist also dein erster Schritt um sicherzustellen das IPsec dort auch ankommt !
Dann wird das Szenario 2 auch fehlerlos klappen.

Der Cisco sollte ein dediziertes Transfer VLAN haben zwischen dem L3 Switch und dem Routerport und NICHT in einem Produktiv VLAN liegen. Siehe dazu auch:
https://www.administrator.de/frage/verständnissproblem-routing-sg30 ...

Alles weitere zur Cisco VPN Konfig findest du hier:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
VPN Router, Gateway - Eure Empfehlung
gelöst Frage von mikado90Switche und Hubs3 Kommentare

Hi! Wir benötigen ein VPN Router / Gateway. Als Firewall kommt eine PaloAlto PA-500 zum Einsatz. Die VPN-Lösung sollte ...

TK-Netze & Geräte
SSL-VPN Gateway bis 500 Euro
Frage von canlotTK-Netze & Geräte9 Kommentare

Guten Tag zusammen, nachdem ich mit dem Lancom Router lange rumgekaspert habe und den VPN immer noch nicht hinkriege(mal ...

Netzwerkmanagement

VPN Verbindung wird automatisch zum Gateway

gelöst Frage von fuguNetzwerkmanagement1 Kommentar

Moin Com, ich stelle mich gerade mal wieder doof an :D Ich habe mir eine VPN-Verbindung (PPTP) von zuhause ...

Router & Routing

Neues Gateway, VPN klappt nicht mehr

gelöst Frage von tototobRouter & Routing6 Kommentare

Hi, erstmals frohes Ostern. Ich hatte vor ein paar Wochen eine Umstellung von ISDN auf ALLIP Telekom. Ich wollte ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 3 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 4 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 4 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 6 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server14 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

Windows Server
RDS und Lizenzierung unter Windows Server 2016
gelöst Frage von liquidbaseWindows Server11 Kommentare

Guten Morgen alle zusammen! Ich hätte da mal die ein oder andere Frage zu dem genannten Themen im Threadtitel. ...

Hyper-V
Hyper-V - VM fährt nicht sauber herunter
Frage von KodaCHHyper-V11 Kommentare

Hallo zusammen Ich habe das Problem, wenn der Hypervisor neustartet, oder wenn ich in der Hyper-V Verwaltung eine VM ...