jackjack
Goto Top

Vpn iprouten manuel einstellen

Hallo zusammen!

Ich hab eine frage zum vpn und zwar würde ich gerne bestimmte ips und ports über die vpn verbindung leiten wollen und bestimme direkt ins inet. Also nicht die vpn als standardgateway sonder nur bestimmte ips bzw ports.

Kann mir jemand von euch sagen wie ich das in meine routingtabelle eintragen kann ?
Os des vpn clients ist vista.

Vielen dank schonmal!

Content-ID: 83457

Url: https://administrator.de/forum/vpn-iprouten-manuel-einstellen-83457.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

aqui
aqui 19.03.2008 um 09:45:31 Uhr
Goto Top
Dafür musst du nichtmal routen. Der VPN Client (sofern du einen Windows PPTP Client meinst) hat in den erweierten Eigenschaften die Einstellung, das du den VPN Tunnel nur fürs VPN nutzen kannst und den Rest normal über dein lokales Gateway (Router) bedienst. (Haken im Setup setzen)

Solltest du denn och einzelne IP Netze über den VPN Tunnel dediziert routen müssen, musst du auf dem Rechner mit dem VPN Client statische Routen eintragen.
Wenn du in der Eingabeaufforderung einfach den Befehl route eingibst erhälst du eine detailierte Syntax zu diesem Kommando.
Als Beispiel: Soll das Netzwerk 172.16.1.0/24 auch über den VPN Tunnel geroutet werden lautet das Kommando wie folgt:

route add 172.16.1.0 mask 255.255.255.0 <IP_VPN>

Mit route print kannst du dir dann deine lokale Routing Tabelle auf dem Rechner ausgeben lassen zur Kontrolle.
Achtung: Soll die Route permanent sein, also auch nach einem Reboot des Rechners erhalten bleiben musst du dem o.a. route add... Kommando noch ein -p anhängen !
jackjack
jackjack 19.03.2008 um 13:58:37 Uhr
Goto Top
okay vielen dank schonmal für die kurzen überblick!

mein problem ist eigentlich das, dass ich gerne die vpn verbindung als standardgateway verwenden möchte, jedoch bricht die ganze verbindung zusammen wenn ich mich per vpn verbinde und der hacken bei "standardgateway" gesetzt ist.

jetzt dachte ich mir das ich mir meine routen für die programme, welche ich über die vpn verbindung laufen lassen möchte einfach manuel setzte.

also als banales beispiel icq (login.icq.com = 205.188.179.233)

route add 205.188.179.233 mask 255.255.255.255 192.168.0.200

wobei die 192.168.0.200 die adresse des vpn gateways ist. oder müsste ich als gateway dann die adresse vom router nehmen 192.168.0.1 ?

leider funktioniert es so nicht.. könnte es dann an den ports liegen? wenn ja kann ich die ports über vpn überhaupt einzeln routen oder ist das unmöglich ?

edit:
also die route ansich funktioniert, nur leider kann ich mich damit nicht mit icq verbinden

Routenverfolgung zu ibucp-vip-d.blue.aol.com [205.188.179.233] über maximal 30 A
bschnitte:

1 198 ms 204 ms 203 ms 192.168.0.200
2 201 ms 215 ms 202 ms 192.168.0.1
3 * * * Zeitüberschreitung der Anforderung.
4 205 ms 328 ms 325 ms 217.0.83.154
5 326 ms 325 ms 310 ms was-e4.WAS.US.net.DTAG.DE [62.154.15.38]
6 310 ms 311 ms 311 ms pop2-ash-S3-0-1.atdn.net [66.185.151.153]
7 332 ms 313 ms 320 ms dar2-dtc-S3-1-0.atdn.net [66.185.152.115]
8 307 ms 311 ms 304 ms ow2-dr5-P0-0-0.router.aol.com [66.185.135.146]
9 307 ms 311 ms 306 ms 172.18.127.50
10 311 ms 317 ms 306 ms ibucp-vip-d.blue.aol.com [205.188.179.233]

Ablaufverfolgung beendet.

ich denk mal dann liegt des an dem port oder ??
aqui
aqui 19.03.2008 um 14:34:59 Uhr
Goto Top
Das ist auch völliger Quatsch denn Routing hat nichts mit Applikationen zu tun. Eine Router oder Router sieht nur in den Layer 3 Teile eines Ethernet Packetes und leist alle seine Informationen aus der IP Adresse. Was da oben drüber ist ob ICQ, HTTP, Mail oder was auch immer ist dem Routing Prozess herzlich egal...
Du solltest als allererstes mal deine VPN Verbindung troubleshooten und klären warum die zusammenbricht wenn du den Haken (Einen Hacken hat man übrigens nur am Ende des Fusses...) zum Standardgateway setzt.
Das darf natürlich niemals passieren und zeugt von einem anderen gravierenden Fehler, vermutlich falscher MTU oder sowas.

Wenn das dann klappt, dann hast du ja eigentlich dein Probem gelöst und benötigts gar keine dedizierten Routen mehr.

Und wieso kommst du darauf das es nicht geht ??? Deine traceroute Liste zeigt doch ganz klar an das der Server ibucp-vip-d.blue.aol.com [205.188.179.233] den du als Ziel definiert hast erreichbar ist .
Wo ist also dein Problem ???
jackjack
jackjack 19.03.2008 um 14:59:50 Uhr
Goto Top
Okay vielleicht bin ich das ganze Problem falsch angegangen. Dachte das ich über die einzelnen routen auf für die Programme festlegen kann, ob sie jetzt über die vpn Verbindung sich connecten oder über die normale Internetverbindung.

Das es nicht funktioniert meinte ich damit das ich mich nicht verbinden kann zu icq. Die traceroute hab ich deswegen gepostet um zu zeigen das der route eintrag funktioniert, da die ersten 2 hops (192.168.0.200 [vpn gateway], 192.168.0.1 [router]) über die vpn Verbindung gehen und nicht über die normale Internetverbindung.

Die vpn Verbindung ist leider vollkommen in Ordnung. Das Problem ist das Netz aus dem ich mich verbinden will (Uni netz). Ich kann die Verbindung nicht normal aufbauen das sie geblockt wird. Also habe ich über Hamachi einen „vpn tunnel“ zum Server aufgebaut (funktioniert auch, Exchange, Remote Desktop usw.). Und durch den Tunnel von Hamachi baue ich quasi die normale vpn Verbindung auf. Ich gehe jetzt mal davon aus, dass sobald ich bei der vpn Verbindung den Haken (danke face-smile) bei Standardgateway setzte er automatisch auch die Hamachi Verbindung über das vpn Gateway aufbauen will und dadurch die ganze Tunnelkonstruktion zusammenbricht.

Und jetzt weiß ich nicht weiter, wie ich mein Problem lösen kann. Ich denke mir nur, das es theoretisch möglich sein müsste, da ja die vpn Verbindung aufgebaut ist und die vpn Verbindung sonst auch ohne Probleme funktioniert.
aqui
aqui 20.03.2008 um 12:23:11 Uhr
Goto Top
Wenn du pingen kannst ist die Verbindung ja in sich OK, d.h. routingtechnisch hast du dann alles richtig gemacht !
Du scheiterst vermutlich durch die doppelte Encapsulierung an einem MTU Problem. Folglich solltest du die MTU deines Adapters entweder am Router oder direkt an deinem Interface einmal herabsetzen auf 1400 oder dadrunter.
Am Router geht das über das Setup dees WAN Interfaces. Falls du das nicht hast dann kannst du es direkt am Adapter des Rechners machen.
Dabei hilft dir ein Tool wie Dr. TCP:

http://www.dslreports.com/drtcp
jackjack
jackjack 20.03.2008 um 13:05:40 Uhr
Goto Top
Okay schon mal vielen Dank für den Tipp! Ich werde mir das Programm mal ansehen.

So ist die Standardkonfiguration der MTU Werte für die unterschiedlichen Adapter:

netsh interface ipv4 show interfaces

Idx Met MTU Status Name
--- --- ----- ----------- -------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
28 20 1400 connected VPN
8 20 1500 connected LAN-Verbindung
11 30 1500 disconnected LAN-Verbindung 2
14 30 1500 disconnected LAN-Verbindung 3
17 30 1404 connected Hamachi

Ich hab es schon mal mit unterschiedlichen MTU Einstellungen für die vpn Verbindung probiert. Leider wurde die Verbindung dann genauso getrennt.

Und du meinst nicht, dass es an dem „Doppeltunnel“ liegt? Also das das System ebenfalls versucht die Verbindung über Hamachi ebenfalls durch die vpn Verbindung zu tunnel du dadurch alles zusammen bricht? Also sollte es deiner Meinung funktionieren?
aqui
aqui 20.03.2008 um 13:09:48 Uhr
Goto Top
Das könnte sein aber dein Traceroute zeigt ja ganz klar das es sauber funktioniert. Setz die MTU mal auf 1396 oder noch tiefer z.B. 1304.
Relevant ist es natürlich nur auf den Adaptern die das "erste" VPN bedienen. Vermutlich ist das dein VPN Adapter der ja dann in Hamachi encapsuliert wird.
Also dessen MTU sollte auf einen kleineren Wert eingestellt werden, denn wie du siehst besteht jetzt mal gerade 4 Byte Unterschied zw. den beiden VPNs, was erheblich zuwenig ist und vermutlich der Auslöser des Problems.
jackjack
jackjack 26.03.2008 um 19:40:35 Uhr
Goto Top
Hallo zusammen.
Tut mir leid das ich mich so lange nicht mehr gemeldet hab, hatte etwas viel um die Ohren…

@aqui: ich hab die mtu mal auf 1304 gestellt, auch niedrigere Werte brachten keinen Erfolg.

Aber ich hab mir ein paar Gedanken gemacht wie ich das Problem lösen könnte.

Gibt es nicht eine Art Software (irgendwas dns Server mäßiges) und diese auf dem Pc zu installieren, welche dann je nach eingegebenener Adresse entscheidet ob er die Anfrage an das vpn Netz weiterleitet oder an das normale Netz. So eine Art Gateway-Gateway, dass entscheidet welches Gateway für die bestimmte Anfrage zuständig ist. Weil ich habe ja theoretisch 2 Gateways zur Verfügung, einmal das von vpn Gateway und das Standardgateway.

Weil ich hab ja das Problem das ich mit ip routen zb nicht alle Microsoft Seiten einschließen kann, die haben ja immer unterscheidliche ips.

Also ich stell mir das so vor:

In der Software stelle ich ein das jede Domain die zb microsoft.com enthält über das vpn Gateway geladen wird.

Vielleicht weiß ja jemand ob es so einen Software gibt.

Ich freue mich auf jedenfall auf Antworten!