zentralplasma
Goto Top

VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?

Es gib schon viele ähnliche Beiträge in dieser Richtung, allerdings konnte ich leider das für mich passende nicht finden oder habe es nicht verstanden face-wink

Mein Problem ist, das ich mit meinem Notebook per RDP auf unser Firmennetzwerk möchte und es nicht geht.
Hierfür habe ich ein Dlink Client Programm auf dem Notebook installliert - in der Firma steht ein Dlink VPN Router.
Das Firmennetz hat eine feste IP (also nix mit Dyndns oder so) - der VPN Router und die Pc dahinter auch.

Der VPN Kanal ist soweit richtig eingerichtet - die Verbindung steht - (sehe ich im VPN Router Status wenn ich direkt auf die Web basierte Verwaltung des VPN Routers von einem Firmenrechner gehe)

Grundsätzlich funktioniert das ganze "Dlink Client - VPN Router Modell" auch - habe privat zuhause schon dieselbe Installation - dort geht alles einwandrei - gehe dort aber per Fritz Box Router ins Internet und nicht wie jetzt im Problem Fall per UMTS Eplus Karte.

Da liegt glaub ich auch der Haken. Soweit ich es rauslesen konnte habe ich wohl ein Problem mit den Routen, wenn ich das richtig interpretiert habe. Habe aber so langsam den Durchblick verloren...

Also: UMTS/Gprs Eplus - Tunnel steht - Firmennetz hinter VPN Router nicht anpingbar.

Hier mal die Auswertungen - evtl. wird für die Profis sofort ersichtlich was ich noch einstellen muss:

C:\>ipconfig /all

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . :
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter DLink:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : D-Link Secure Client Adapter
Physikalische Adresse . . . . . . : 02-00-CE-A9-F0-D2
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.254.2
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 192.168.254.3
Lease erhalten. . . . . . . . . . : Freitag, 19. September 2008 08:58:00

Lease läuft ab. . . . . . . . . . : Donnerstag, 6. November 2008 22:03:2
5

Ethernetadapter WAN Lenovo:

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Beschreibung. . . . . . . . . . . : Ericsson F3507g Mobile Broadband Min
icard Network Adapter
Physikalische Adresse . . . . . . : 02-80-37-EC-02-00

PPP-Adapter Eplus:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.161.54.118
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 10.161.54.118
DNS-Server. . . . . . . . . . . . : 212.23.97.2
212.23.97.3

C:\>route print
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...02 00 ce a9 f0 d2 ...... D-Link Secure Client Adapter - Paketplaner-Minip
ort
0x10004 ...02 80 37 ec 02 00 ...... Ericsson F3507g Mobile Broadband Minicard Ne
twork Adapter - Paketplaner-Miniport
0x160005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 10.161.54.118 10.161.54.118 1
10.161.54.118 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.161.54.118 10.161.54.118 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
(Lan hinter VPN Router) 255.255.255.0 192.168.254.3 192.168.254.2 1
192.168.254.0 255.255.255.0 192.168.254.2 192.168.254.2 30
192.168.254.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.254.255 255.255.255.255 192.168.254.2 192.168.254.2 30
212.37.53.249 255.255.255.255 10.161.54.118 10.161.54.118 1
224.0.0.0 240.0.0.0 192.168.254.2 192.168.254.2 30
224.0.0.0 240.0.0.0 10.161.54.118 10.161.54.118 1
255.255.255.255 255.255.255.255 10.161.54.118 10.161.54.118 1
255.255.255.255 255.255.255.255 192.168.254.2 10004 1
255.255.255.255 255.255.255.255 192.168.254.2 192.168.254.2 1
Standardgateway: 10.161.54.118
Ständige Routen:
Keine


Gruß an alle Helfenden !!!

Content-ID: 97337

Url: https://administrator.de/forum/vpn-per-umts-karte-tunnel-steht-aber-netz-dahinter-nicht-anpingbar-97337.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
aqui 21.09.2008, aktualisiert am 18.10.2012 um 18:36:16 Uhr
Goto Top
Das ist klar das es nicht geht !

Der entscheidende Hinweis ist:

PPP-Adapter Eplus:
IP-Adresse. . . . . . . . . . . . : 10.161.54.118 !!


Wie du ja oben selber sehen kannst verwendet Eplus (und auch einige andere UMTS Billigheimer) auf seinem UMTS Netzwerk RFC-1918 IP Adressen:
http://de.wikipedia.org/wiki/Private_IP-Adresse

Das sind IPs die im Internet nicht geroutet werden und für lokale Netze gedacht sind wie du ja sicher selber weisst !!

Eplus hat also ein zentrales IP NAT Gateway (IP Adress Translation) indem diese 10er IP Adressen zentral per NAT ins Internet gebracht werden um teurer öffentliche IPs zu sparen.

VPN Protokolle wie IPsec, L2TP oder PPTP können aber über NAT nicht übertragen werden wie du ja selber weisst. Wenn dann geht es nur per Port Forwarding oder wie bei deiner FB die von sich aus VPN Passthrough macht.
Generell gilt das auch für alle Port Forwardings in solche zentral geNATteten IP Netze.

Eplus und auch andere Mobilprovider die diese Technik nutzen können aber nicht für tausende von Benutzern Port Forwarding eintragen und machen es auch nicht, so das VPNs über so einen UMTS Datenaccount von vorn herein zum Scheitern verurteilt sind !!

Du hast nur 3 Möglichkeiten:
1.) Du wechselst den Provider (T-Com, Vodafone) der dir öffentliche IPs im UMTS Netz zur Verfügung stellt ! Oder...

2.) Du fragst mal bei Eplus ob sie einen APN haben der dir öffentliche IPs vergibt. Wenn sie sowas machen ist das meist ein anderer und erheblich teuerer Tarif !

3.) Du installierst ein SSL Gateway als VPN Zugang der das VPN über einen HTTPS Tunnel (TCP Port 443) realisiert und der klappt auch wunderbar über NAT Gateways !!
SSL-VPNs im Enterprise Umfeld
Zentralplasma
Zentralplasma 22.09.2008 um 10:14:20 Uhr
Goto Top
Erst einmal vielen Dank. Habe den Wald vor lauter Bäumen nicht gesehen.

Habe jetzt mit Eplus telefoniert - es gibt einen Dienst der nennt sich bei Eplus "IpSec Enabler" - kostet ca. 2 Euro mehr, damit bekommt man eine öffentliche IP.

Ansonsten fiel das Stichwort mit der Technik Hotline "UDP-NAT-Traversal". Damit könnte man sich die 2 Euro sparen - habe ich aber bei mir im Dlink Client leider nicht gefunden...

Gruß !
aqui
aqui 22.09.2008 um 11:40:54 Uhr
Goto Top
Deshalb sollte man auch wie generell bei VPN von D-Link die Finger lassen face-wink
Zentralplasma
Zentralplasma 23.09.2008 um 13:12:02 Uhr
Goto Top
Jetzt habe ich doch noch ein Ergänzungs Posting.

Und zwar habe ich ja jetzt bei Eplus den IpSec Enabler Dienst gebucht - habe jetzt auch eine öffentliche IP - sprich meine VPN Verbindung funktioniert.

Aber was auf einmal nicht mehr ging war die normale direkte Internetverbindung - kann z.b. www.google.de anpingen aber es wird in den Browsern absolut nicht angezeigt - dachte natürlich an eine DNS Problematik aber es sah eigentlich alles gut aus.

Bis ich dann irgendwann einfach mal bei Eplus angerufen habe - der gute Mann sagte mir das wäre normal...

Entweder ich melde mich als APN über ipsec.eplus.de an - dann bekomme ich ne öffentliche IP aber kann nicht mehr normal ins Internet oder ich melde mich über internet.eplus.de an und bekomme eine private IP, komme ins Internet aber natürlich funktioniert dann VPN nicht mehr. Als Lösung sollte ich doch immer die APN vorher umbenennen je nachdem was ich machen will... Löse das ganze indem ich jetzt im Access Zugriffsprogramm des Laptops zwei Profile angelegt habe - das Prg stellt dann den APN Modem dementsprechend selbst um.
Geht - aber so ganz glücklich ist das auch nicht...