10
VPN Lösungvorschlag
Hallo,
Ich bin dabei ein Netzwerk aufzubauen. Ich will mit VPN 3 Standorte verbinden und jederzeit von außen mich auch in mein Netz per VPN verbinden können.
So ich hab mir das so gedacht.
Ich habe einen Server. Zu dem bauen alle Clients eine VPN Verbindung über das Internet auf. Somit sind alle meine Computer mit diesem VPN-Server verbunden. Jetzt habe ich eine Frage.
Auf dem VPN-Server habe ich einen Ordner freigegeben. Jedoch kann ich nicht auf diesen Ordner zugreifen. Von Client zu Client funktioniert die Freigabe ohne Probleme. Nur auf die Ordner die auf dem VPN-Server sind kann man nicht connecten. Ports sind alle freigegeben! Was muss ich aktivieren damit ich einen auf dem VPN-Server liegenden Ordner im VPN erreichen kann?
Und noch eine Frage. Ich habe einen Linksys WRT610N. Und dahinter einen VPN-Server(Windows). Ich benutze PPTP. Wie kann ich dieses GRE Protokoll 47 weiterleiten auf eine bestimmte IP? Kennt sich jemand mit Linksys Routern aus? Port 1723 TCP und 500 UDP freigeschalten. Das einzige Problem ist das ich das GRE Protokoll nicht zur verfügung habe. Nur TCP und UDP.
Ich hoffe ihr könnt mir bei den beiden Fragen helfen.
Mit freundlichen Grüßen,
Matthias
Ich habe einen Server. Zu dem bauen alle Clients eine VPN Verbindung über das Internet auf. Somit sind alle meine Computer mit diesem VPN-Server verbunden. Jetzt habe ich eine Frage.
Auf dem VPN-Server habe ich einen Ordner freigegeben. Jedoch kann ich nicht auf diesen Ordner zugreifen. Von Client zu Client funktioniert die Freigabe ohne Probleme. Nur auf die Ordner die auf dem VPN-Server sind kann man nicht connecten. Ports sind alle freigegeben! Was muss ich aktivieren damit ich einen auf dem VPN-Server liegenden Ordner im VPN erreichen kann?
Und noch eine Frage. Ich habe einen Linksys WRT610N. Und dahinter einen VPN-Server(Windows). Ich benutze PPTP. Wie kann ich dieses GRE Protokoll 47 weiterleiten auf eine bestimmte IP? Kennt sich jemand mit Linksys Routern aus? Port 1723 TCP und 500 UDP freigeschalten. Das einzige Problem ist das ich das GRE Protokoll nicht zur verfügung habe. Nur TCP und UDP.
Ich hoffe ihr könnt mir bei den beiden Fragen helfen.
Mit freundlichen Grüßen,
Matthias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124680
Url: https://administrator.de/contentid/124680
Printed on: May 13, 2024 at 09:05 o'clock
10 Comments
Latest comment
Hy,
meiner Meinung würde ich mir Firewalls besorgen. Um eine Site to Site Verbindung aufzubauen.
Kostet nicht viel und ist sicher die Bessere Lösung.
Meine Empfehlung 3 kleine PC´s mit Atom Prozessor brauchen nicht viel Strom bekommst
um ca. €450,- IPCop drauf und die ganze sache eingerichtet fertig ist der Spaß.
Schreib mal etwas zu deiner IP Konfig sonst ist die Analyse ganz schwer.
Bei Hardware bedarf einfach ne PN
lg
Reinhard
meiner Meinung würde ich mir Firewalls besorgen. Um eine Site to Site Verbindung aufzubauen.
Kostet nicht viel und ist sicher die Bessere Lösung.
Meine Empfehlung 3 kleine PC´s mit Atom Prozessor brauchen nicht viel Strom bekommst
um ca. €450,- IPCop drauf und die ganze sache eingerichtet fertig ist der Spaß.
Schreib mal etwas zu deiner IP Konfig sonst ist die Analyse ganz schwer.
Bei Hardware bedarf einfach ne PN
lg
Reinhard
UDP 500 ist Unsinn wenn dein VPN Mit PPTP als Protokoll betrieben wird. UDP 500 benötigst du nur wenn du IPsec oder L2TP benutzt. Vergiss das also.
Viele Router haben das VPN Passthrough Feature und wenn du TCP 1723 forwardest dann wird das GRE (Generic Route Encapsulation) Protokoll gleich mitgeforwardet. Es ist also gut möglich das du das gar nicht musst.
Wenns klappt mit dem PPTP Forwarding dann ist das ja der beste Beweis das du GRE nicht extra eintragen musst.
Wie bereits in anderen Threads bemerkt, diese Frickelei erspart man sich wenn man das VPN von den Routern selber erledigen lässt und keinen Server dafür nimmt..!!
Allgemeine Infos zum Thema PPTP VPNs findest du in diesem Tutorial:
VPNs einrichten mit PPTP
Thema Verzeichnis:
Wie immer ist das zu 98% ein Firewall Problem. Bedenke das du aus einem Fremdnetz kommst und die lokale Firewall am Server diese Netze per default blockt sofern du keine Ausnahme (Bereich) dafür eintragst beim Datei und Druckersharing. Alternativ hilft auch der Klick auf das Scheunentor "alle Computer zulassen" oder das testweise deaktivieren der FW auf dem Server.
Was ergibt denn ein Zwangsconnect mit Start -> Ausführen \\:<ip_adresse_server> ??
(Natürlich nachdem du die FW angepasst hast !)
Und... was sagt das Ereignislog des Servers beim Zugriff ??
Viele Router haben das VPN Passthrough Feature und wenn du TCP 1723 forwardest dann wird das GRE (Generic Route Encapsulation) Protokoll gleich mitgeforwardet. Es ist also gut möglich das du das gar nicht musst.
Wenns klappt mit dem PPTP Forwarding dann ist das ja der beste Beweis das du GRE nicht extra eintragen musst.
Wie bereits in anderen Threads bemerkt, diese Frickelei erspart man sich wenn man das VPN von den Routern selber erledigen lässt und keinen Server dafür nimmt..!!
Allgemeine Infos zum Thema PPTP VPNs findest du in diesem Tutorial:
VPNs einrichten mit PPTP
Thema Verzeichnis:
Wie immer ist das zu 98% ein Firewall Problem. Bedenke das du aus einem Fremdnetz kommst und die lokale Firewall am Server diese Netze per default blockt sofern du keine Ausnahme (Bereich) dafür eintragst beim Datei und Druckersharing. Alternativ hilft auch der Klick auf das Scheunentor "alle Computer zulassen" oder das testweise deaktivieren der FW auf dem Server.
Was ergibt denn ein Zwangsconnect mit Start -> Ausführen \\:<ip_adresse_server> ??
(Natürlich nachdem du die FW angepasst hast !)
Und... was sagt das Ereignislog des Servers beim Zugriff ??
So, danke für die schnellen antworten. Bin leider noch nicht zuhause. Naja das mit den Firewalls. Ich habe schonmal ne Linux Firewall (normaler pc mit Linux Suse 10) vorn dran gehabt und naja dort hatte ich das Problem das der Router dann sich selbst als Gateway eingeteilt hat und nicht den Linux Rechner. Und naja der Server ist angemietet.
Meine ip settings:
zugeteilt wird per dhcp
von 200.0.200.1
bis 200.0.200.50
200.0.200.1 nimmt dann der Server.
Wie gesagt es ist nicht grad das VPN-Netzwerk an sich das problem sondern eher das ich auf dem Server keine Laufwerk Freigabe machen kann. Es ist der Ordner freigegeben und alle Ports offen für alle Benutzer für mein VPN netz und beim verbinden bei einen clienten auf das Laufwerk dauert es ewig und bricht dann ab.
Hergestellt wird die VPN Verbindung über eine .bat im autostart. Und wie gesagt das VPN funktioniert ( Ping USW).
MfG
matthias
Meine ip settings:
zugeteilt wird per dhcp
von 200.0.200.1
bis 200.0.200.50
200.0.200.1 nimmt dann der Server.
Wie gesagt es ist nicht grad das VPN-Netzwerk an sich das problem sondern eher das ich auf dem Server keine Laufwerk Freigabe machen kann. Es ist der Ordner freigegeben und alle Ports offen für alle Benutzer für mein VPN netz und beim verbinden bei einen clienten auf das Laufwerk dauert es ewig und bricht dann ab.
Hergestellt wird die VPN Verbindung über eine .bat im autostart. Und wie gesagt das VPN funktioniert ( Ping USW).
MfG
matthias
Warum das Rad neu erfinden. Einfacher ist es mit fertig customizten Firewalls die du einfach per Mausklick fpr VPNs aktivierst....
Nichts gegen Atom Prozessoren aber es geht noch schicker und kleiner mit einem Monowall Bausatz:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Wie man das dann in eine VPN Vernetzung umsetzt sagt dir dieses Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
(Denk dir statt des Ciscos einfach ein paar weitere Monowalls...)
Zu deiner IP Adressierung:
200.0.200.1 ist kein privates Netzwerk nach RFC 1918 !!
Der Besitzer ist:
inetnum: 200.0.200/24
status: assigned
owner: Instituto Nacional de Investigacion yDesarrollo Pe
ownerid: AR-INIY-LACNIC
address: Paseo Victoria Ocampo s/n
address: Escollera Norte
address: (7600) Mar del Plata
country: AR
owner-c: JEC5-ARIN
created: 19951031
changed: 19951031
source: ARIN-HISTORIC
nic-hdl: JEC5-ARIN
person: Jorge Felipe Ee Churio
e-mail: jchurio@CORREO.TELINTAR.COM.AR
address: Talcahuano 185 6 Piso
address: (1013) Buenos
address: Aires
country: AR
Davon solltest du also besser die Finger lassen !
Lies dir den RFC durch:
http://de.wikipedia.org/wiki/Private_IP-Adresse
und natürlich die allgemeinen Punkte zum VPN Design:
VPNs einrichten mit PPTP
Dann weisst du wie du dein VPN zu designen hast !!
Nichts gegen Atom Prozessoren aber es geht noch schicker und kleiner mit einem Monowall Bausatz:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Wie man das dann in eine VPN Vernetzung umsetzt sagt dir dieses Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
(Denk dir statt des Ciscos einfach ein paar weitere Monowalls...)
Zu deiner IP Adressierung:
200.0.200.1 ist kein privates Netzwerk nach RFC 1918 !!
Der Besitzer ist:
inetnum: 200.0.200/24
status: assigned
owner: Instituto Nacional de Investigacion yDesarrollo Pe
ownerid: AR-INIY-LACNIC
address: Paseo Victoria Ocampo s/n
address: Escollera Norte
address: (7600) Mar del Plata
country: AR
owner-c: JEC5-ARIN
created: 19951031
changed: 19951031
source: ARIN-HISTORIC
nic-hdl: JEC5-ARIN
person: Jorge Felipe Ee Churio
e-mail: jchurio@CORREO.TELINTAR.COM.AR
address: Talcahuano 185 6 Piso
address: (1013) Buenos
address: Aires
country: AR
Davon solltest du also besser die Finger lassen !
Lies dir den RFC durch:
http://de.wikipedia.org/wiki/Private_IP-Adresse
und natürlich die allgemeinen Punkte zum VPN Design:
VPNs einrichten mit PPTP
Dann weisst du wie du dein VPN zu designen hast !!
Anstatt der Monowall kannst du auch wieder den IPCop nutzen 
DAs ist dann geschmackssache. Am Besten beide mal testen
DAs ist dann geschmackssache. Am Besten beide mal testen
Ja wie gesagt Wichtig ist das es ein Privates Netzwerk ist. Was bei dir nicht der Fall ist. Sehr schön das das gleich aufgefallen ist.
Diesen Hoster wenns einer ist würde ich nicht nehmen bzw. empfehlen.
Und dein Problem mit den Freigaben denke ich hat aqui schon beantwortet
lg Reinhard
Diesen Hoster wenns einer ist würde ich nicht nehmen bzw. empfehlen.
Und dein Problem mit den Freigaben denke ich hat aqui schon beantwortet
lg Reinhard
So... habe das mal alles umgebaut.... jetzt ist mein VPN Server zuhause bei mir....
Das Netzwerk schaut so aus:
modem --> Linksys Router --> HP 1900er Switch --> LAN
|
DMZ
Routerdaten:
IP: 200.0.100.1
SUB: 255.255.255.0
DHCP: ON
Range: 200.0.100.100-149
DMZ: 200.0.100.20
In der DMZ steht mein VPN-/Web-Server. Der Server bekommt eine fixe IP zugewießen.
Daten VPN-/Web-Server:
fixe IP!
IP: 200.0.100.20
SUB: 255.255.255.0
SGWay: 200.0.100.1
DNS: 200.0.100.1
Hierdrauf ist der VPN Server eingerichtet. Funktioniert tadelos. Ich kann mich problemlos ein VPN aufbauen und bin mit dem Netz verbunden.
VPN Clienten bekommen diese Daten zugewießen:
IP: 200.0.100.50-99
Anrufern den Zugriff auf das lokale Netzwerk gestatten ist aktiviert!
Dann das Problem. Dann habe ich einen Dataserver eingerichtet. Dort sind verschiedene Laufwerke eingerichtet zur Freigabe.
Daten des Fileserver:
Die IP wird per DHCP zugewiesen! IP ist immer die gleiche per MAC-Adresse festgelegt.
IP: 200.0.100.103
SUB: 255.255.255.0
SGWay: 200.0.100.1
DHCP-Server: 200.0.100.1
DNS: 200.0.100.1
Jetzt ist aber das Problem wenn ich mich von außen ins VPN einlogge komme ich ins VPN, kann aber nicht auf die Laufwerke am Fileserver zugreifen. Gibt immer Probleme beim connecten. Pingen ist Problemlos möglich, und auch im Internet Browser die IP des Fileservers(200.0.100.103) eingebe komme ich auf den Server. (Auf dem Fileserver ist auch ein Webserver für Testzwecke eingerichtet.) Das einzige Problem sind die Netzlaufwerke.
Daweil ich teste habe ich alle Firewalls ausgeschalten! Das VPN-Netzwerk ist ein privates Netzwerk genauso wie mein lokales Netz! Alle PCs befinden sich in der selben Arbeitsgruppe.
Ich habe probeweiße ein Netzlaufwerk direkt am VPN-Server freigegeben. Dieses hat sich ohne Probleme connecten lassen... Also pingen lasst sich der Fileserver problemlos doch Netzlaufwerke verbinden kann ich nicht.
Weiß jemand was falsch ist?
Mit freundlichen Grüßen,
spielebub
Das Netzwerk schaut so aus:
modem --> Linksys Router --> HP 1900er Switch --> LAN
|
DMZ
Routerdaten:
IP: 200.0.100.1
SUB: 255.255.255.0
DHCP: ON
Range: 200.0.100.100-149
DMZ: 200.0.100.20
In der DMZ steht mein VPN-/Web-Server. Der Server bekommt eine fixe IP zugewießen.
Daten VPN-/Web-Server:
fixe IP!
IP: 200.0.100.20
SUB: 255.255.255.0
SGWay: 200.0.100.1
DNS: 200.0.100.1
Hierdrauf ist der VPN Server eingerichtet. Funktioniert tadelos. Ich kann mich problemlos ein VPN aufbauen und bin mit dem Netz verbunden.
VPN Clienten bekommen diese Daten zugewießen:
IP: 200.0.100.50-99
Anrufern den Zugriff auf das lokale Netzwerk gestatten ist aktiviert!
Dann das Problem. Dann habe ich einen Dataserver eingerichtet. Dort sind verschiedene Laufwerke eingerichtet zur Freigabe.
Daten des Fileserver:
Die IP wird per DHCP zugewiesen! IP ist immer die gleiche per MAC-Adresse festgelegt.
IP: 200.0.100.103
SUB: 255.255.255.0
SGWay: 200.0.100.1
DHCP-Server: 200.0.100.1
DNS: 200.0.100.1
Jetzt ist aber das Problem wenn ich mich von außen ins VPN einlogge komme ich ins VPN, kann aber nicht auf die Laufwerke am Fileserver zugreifen. Gibt immer Probleme beim connecten. Pingen ist Problemlos möglich, und auch im Internet Browser die IP des Fileservers(200.0.100.103) eingebe komme ich auf den Server. (Auf dem Fileserver ist auch ein Webserver für Testzwecke eingerichtet.) Das einzige Problem sind die Netzlaufwerke.
Daweil ich teste habe ich alle Firewalls ausgeschalten! Das VPN-Netzwerk ist ein privates Netzwerk genauso wie mein lokales Netz! Alle PCs befinden sich in der selben Arbeitsgruppe.
Ich habe probeweiße ein Netzlaufwerk direkt am VPN-Server freigegeben. Dieses hat sich ohne Probleme connecten lassen... Also pingen lasst sich der Fileserver problemlos doch Netzlaufwerke verbinden kann ich nicht.
Weiß jemand was falsch ist?
Mit freundlichen Grüßen,
spielebub
Hy
du hast ja noch immer ein öffentliches netz!!!!!
Ich hab keine Ahnung warum du im 200er Netz herummachst
du hast ja noch immer ein öffentliches netz!!!!!
Ich hab keine Ahnung warum du im 200er Netz herummachst
Genau, das mit dem öffentlichen 200er netzwerk ist eine Unart und sollterst du lassen, denn du bist NICHT der Besitzer dieses öffentlichen IP Netzes !
Wie oben bereits gesagt sieh dir bitte den RFC 1918 an:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Der beschreibt dir deine privaten Netzwerke die du zur Verfügung hast !!
Nimm dir dann also sowas wie **10.200.0.0 mit einer 24 Bit Maske 255.255.255.0 wenns dir so auf die 200 ankommt...
Dein Problem ist ein ganz einfaches:
Dein datenserver hat als Default Gateway vermutlich deinen Router, nicht aber den VPN Server an dem die Clients dranhängen. Folglich gehen Antwortpakete für VPN Clients zum Router und dann ins Nirwana.
Fazit: Du musst auf deinem Router eine Route zu deinem Client VPN eintragen mit dem VPN Server als next Hop Gateway. Dann sollte es klappen !
Ein einfacher traceroute (tracert) oder pathping zeigt dir das Problem !
Da wo es stockt fehlt die Route !!
Es ist aber auch möglich das du schlicht und einfach vergessen hast ip forwarding zu aktivieren (Routing/RAS) sofern du mit Winblows dein VPN machst und nicht per OpenVPN oder wie auch immer...
Wie oben bereits gesagt sieh dir bitte den RFC 1918 an:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Der beschreibt dir deine privaten Netzwerke die du zur Verfügung hast !!
Nimm dir dann also sowas wie **10.200.0.0 mit einer 24 Bit Maske 255.255.255.0 wenns dir so auf die 200 ankommt...
Dein Problem ist ein ganz einfaches:
Dein datenserver hat als Default Gateway vermutlich deinen Router, nicht aber den VPN Server an dem die Clients dranhängen. Folglich gehen Antwortpakete für VPN Clients zum Router und dann ins Nirwana.
Fazit: Du musst auf deinem Router eine Route zu deinem Client VPN eintragen mit dem VPN Server als next Hop Gateway. Dann sollte es klappen !
Ein einfacher traceroute (tracert) oder pathping zeigt dir das Problem !
Da wo es stockt fehlt die Route !!
Es ist aber auch möglich das du schlicht und einfach vergessen hast ip forwarding zu aktivieren (Routing/RAS) sofern du mit Winblows dein VPN machst und nicht per OpenVPN oder wie auch immer...
so danke euch...
hab heute zeit gehabt und habe mein ganzes netz auf 10.0.0.* geändert... funktioniert jetzt... und das mit dem gateway ist nich so dolle... der server hängt ja nicht hinter dem vpn server sondern in dem netz... wenn ich per vpn verbunden bin bin ich im lokalen netz drin.. somit ist es kein problem den dataserver anzusprechen... problem war denk ich ma mit der öffentlichen ip adresse da er bei mir wenn ich auf 200.0.100.* connecten wollte auf die öffentliche ip zugreifen wollte und ned in meinem netzwerk... naja danke für die hilfe ist gelöst...
mfg
hab heute zeit gehabt und habe mein ganzes netz auf 10.0.0.* geändert... funktioniert jetzt... und das mit dem gateway ist nich so dolle... der server hängt ja nicht hinter dem vpn server sondern in dem netz... wenn ich per vpn verbunden bin bin ich im lokalen netz drin.. somit ist es kein problem den dataserver anzusprechen... problem war denk ich ma mit der öffentlichen ip adresse da er bei mir wenn ich auf 200.0.100.* connecten wollte auf die öffentliche ip zugreifen wollte und ned in meinem netzwerk... naja danke für die hilfe ist gelöst...
mfg
