sqlexception
Goto Top

VPN (PPTP) Zugriff aufs LAN

Roadwarrior (VPN) und Zugriff aufs LAN

Guten Tag!

Ich habe in einer Filiale ein VPN eingerichtet mit einem D-Link DI-804HV. Davor sitzt noch ein Linksys AG241 (DSL-Router mit integr. Modem).

www -> Linksys Router (öff. IP auf 192.168.1.1) -> D-Link VPN Router (192.168.1.2 auf 192.168.0.1, das Außendienstler sich im 0er Netz befinden (im 1er befinden sich noch andere Geräte wo diese nicht dran sollen) -> weitere PCs in unserem Netz (z. B. 192.168.0.10)

Wenn ich mich nun per VPN einwähle von hier (Zentrale) aus geht das auch, und ich bekomme die erste freie IP im 0er Netz zugewiesen. Den VPN Router kann ich mit seiner 192.168.0.1 auch anpingen, wobei das Web-Interface nicht geht. Ein Roadwarrior, der sich über VPN nun einwählt (so wie ich das gerade teste über die Netzwerkumgebung -> neue Verbindung erstellen) kommt also ins 0er Netz, aber nicht auf das Webinterface des D-Links (evtl. gewolltes Sicherheitsfeature? Egal erstmal!).

Was mir Bauchschmerzen bereitet: Jemand wählt sich ins VPN ein, bekommt beispielsweise die 192.168.0.5. Der D-Link VPN Router hat einen integrierten 4-Port Switch. Dort hängt beispielsweise ein PC mit der 192.168.0.10. Diese beiden Geräte befinden sich also beide im gleichen Netzwerk (192.168.0.x), der VPN-User von außen (0.5), sowie der Mitarbeiter vor Ort mit seinem PC, direkt am Switch des D-Links (0.10). Trotzdem finden sich die beiden nicht (ping geht nicht etc.)!

Warum ist das so? Macht im Moment noch keinen Sinn, wenn der Außendienstmitarbeiter sich zwar sind VPN wählen kann, aber dort dann an keinerlei PCs und Server gelangt. Es wäre fast so, als hätte das D-Link VPN Gerät intern zwei 192.168.0.x Netzte aufgebaut, eines "vor Ort" für die Geräte, die direkt am D-Link hängen, und ein weiteres 0er Netz für die Leute, welche sich per VPN einwählen von außen.

Irgendwie müsste ich diese beiden Netze miteinander verbinden (intern, nicht noch durch einen dritten Router hoffe ich!), damit die VPN-Einwähler den Rest im 0er Netz erreicht. Anbei ein paar Screenshots von der Konfiguration von dem Gerät, Tipps sind herzlich willkommen. Nach 2 Tagen Recherche bin ich langsam mit meinem Latein am Ende.

bb45c7fa5c62bc11cf9e7e5744f64df5-54254924virtserver

7ffeb9b433fbc4218b07ebc7d1bea049-e3766728routing

Mit freundlichen Grüßen

Tim

Content-ID: 113410

Url: https://administrator.de/forum/vpn-pptp-zugriff-aufs-lan-113410.html

Ausgedruckt am: 25.12.2024 um 04:12 Uhr

v-m-r-de
v-m-r-de 07.04.2009 um 18:18:47 Uhr
Goto Top
Hi...
irgendwie alles sehr verwirrend.
Hättest Du ein Bild mit den Netzwerk, Clients, Router und Co.?

Würde uns allen bestimmt das Denken vereinfachen.

Danke,
Volker
Kmpec1
Kmpec1 07.04.2009 um 20:20:32 Uhr
Goto Top
Hi,

deine Routeranordung erscheint mir etwas seltsam.
Aber der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz.
Im Normalfall bekommt er ja vom Internetprovider eine IP. Ein Router ist ja eben dafür geschaffen verschiedene Netze miteinander zu verbinden.
Also z.B. das Netz 192.168.0.xxx mit dem des Ausendiestlers z.B. 83.342.23.1 zu verbinden und die Datenpackete entsprechend zu Routen.
Wenn dein VPN-Cient (Ausendienstler) eine Adresse aus dem Subnetz 192.168.0.xxx bekommt gibt es für den Router nix zu Routen, Datenpackete im gleichen Netz werden nicht geroutet.
Also kommt auch nichts an.

Die Router die wir im Einsatz haben lassen sich alle nicht über eine VPN Verbindung Administrieren (Webinterface).

MfG

Kmpec1
SQLException
SQLException 07.04.2009 um 21:59:12 Uhr
Goto Top
Hallo!

danke für die Antworten. Hier das Schaubild.

http://pic.leech.it/pic.php?id=96da3b2vpn.jpg

Kein besonderer Aufbau nehme ich an. Kmpec1, im Handbuch des D-Links steht das was du sagst ("der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz"), wobei das noch nicht in mein Hirn geht warum das so ist. Ob sein PC jetzt schon im 192.168.0.x Netz ist sollte doch keine Rolle spielen. Für den Login in das VPN erstellt er sich unter Systemsteuerung -> Netzwerkverbinungen -> "Neue Verbindung erstellen" eine zweite LAN-Verbindung (bzw. VPN-Verbindung) und ob diese dann per DHCP von meinem D-Link VPN Router auch eine IP 192.168.0.x Netz bekommt sollte doch nichts ausmachen.

Somit hätte der Außenstehende unter "Netzwerkverbindungen" zwei Verbindungen, beide im Netz 192.168.0.x (nämlich 192.168.0.123 lokal, und 192.168.0.2 durch das VPN). Genauso gut könnte ich auch zwei Netzwerkkarten in einen Rechner stecken und beide in das 0.x Netz stellen, das wäre doch das gleiche?

Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.

Zusammengefasst: der Außendienstler soll per VPN an den Server 192.168.0.11 und 192.168.0.12 kommen. Einloggen ins VPN geht, Ping von 192.168.0.2 (PC Außendienst) an 192.168.0.1 (VPN Router) funktioniert, Ping an 0.11 und 0.12 aber nicht.
v-m-r-de
v-m-r-de 07.04.2009 um 23:23:14 Uhr
Goto Top
Hallo,

mal ein paar Fragen zum VPN-Router.
- Welches VPN-Verfahren nutzt Du bei ihm?
- Hast Du IKE Einstellungen gemacht? Wenn ja welche? Insbesondere bei Lokales und entferntes Subnetz.

Ich vermute mal Du nutzt L2TP.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:

Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.

Gruß,
Volker

PS: Danke fürs Bild... jetzt ist zumindest der Aufbau klar zu verstehen.
SQLException
SQLException 08.04.2009 um 01:08:04 Uhr
Goto Top
Hallo,

- Bei ihm? Wem? PPTP. Beidseitig.
- IKE ist laut Recherche Teil von IPSec, und IPSec wird bei L2TP verwendet.

welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:

Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.

Der L2TP-Server ist deaktiviert. Das Subnetz des D-Link VPN Router (VPN-Gateway/PPTP-Server, ist vermutlich das gleiche?) ist die 192.168.1.9 (siehe Bild), im VPN ist er unter der 192.168.0.1 zu erreichen.

Den L2TP-Server könnte man auch gar nicht ins gleiche Subnetz stellen wie den PPTP-Server, das lässt die Eingabemaske schon gar nicht zu.
v-m-r-de
v-m-r-de 08.04.2009 um 01:17:11 Uhr
Goto Top
Hi,

Du nutzt also PPTP.
Dann heitß es im Handbuch auf Seite 56:

Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.

Was für eine Adresse hast Du hier gewählt?

Bei IKE ist also ncihts konfiguriert?

Grüße,
Volker
Kmpec1
Kmpec1 08.04.2009 um 12:09:20 Uhr
Goto Top
Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.

Genau hier liegt dein Denkfehler ein Router verbindet Netze z.B. das Netz 192.168.0.xxx mit dem Netz 192.168.3.xxx.
Er schickt also deinen Ping nicht weiter weil der Ping aus dem Netz "0"ins gleiche Netz "0" geht also gibt es für den Router nichts zu tun.
Stelle den Router so ein das der Ausendienstler eine IP aus z.B. 192.168.3.x bekommt.
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz 192.168.0.x
Allerdings musst du beachten das du die PC´s mit der IP Adresse und nicht mit dem Namen ansprechen musst also "Ping 192.168.0.xxx" nicht "Ping MEINRECHNER".
Wenn der Ping dann Funktioniert ist deine VPN Verbindung I.O.
Aber die PC´s hinter dem Router sind nicht in der Netzwerkumgebung zu sehen, Sie können aber über die IP-Adresse angesprochen werden, einfach im Explorer oben die IP-Adresse eingeben.

MfG

Kmpec1
SQLException
SQLException 10.04.2009 um 01:20:58 Uhr
Goto Top
Zitat von @Kmpec1:
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz
192.168.0.x

Das war der richtige Denkanstoss.

http://pic.leech.it/i/8aa89/c492d629vpn.jpg

Die VPN-User bekommen jetzt eine IP aus einem anderen Netz, und ein "route add 192.168.0.0 mask 255.255.255.0 192.168.3.2" (nicht 3.1...!?) nach der VPN-Einwahl macht jetzt den Rest.

Vielen Dank!