8
VPN (PPTP) Zugriff aufs LAN
Roadwarrior (VPN) und Zugriff aufs LAN
Guten Tag!
Ich habe in einer Filiale ein VPN eingerichtet mit einem D-Link DI-804HV. Davor sitzt noch ein Linksys AG241 (DSL-Router mit integr. Modem).
www -> Linksys Router (öff. IP auf 192.168.1.1) -> D-Link VPN Router (192.168.1.2 auf 192.168.0.1, das Außendienstler sich im 0er Netz befinden (im 1er befinden sich noch andere Geräte wo diese nicht dran sollen) -> weitere PCs in unserem Netz (z. B. 192.168.0.10)
Wenn ich mich nun per VPN einwähle von hier (Zentrale) aus geht das auch, und ich bekomme die erste freie IP im 0er Netz zugewiesen. Den VPN Router kann ich mit seiner 192.168.0.1 auch anpingen, wobei das Web-Interface nicht geht. Ein Roadwarrior, der sich über VPN nun einwählt (so wie ich das gerade teste über die Netzwerkumgebung -> neue Verbindung erstellen) kommt also ins 0er Netz, aber nicht auf das Webinterface des D-Links (evtl. gewolltes Sicherheitsfeature? Egal erstmal!).
Was mir Bauchschmerzen bereitet: Jemand wählt sich ins VPN ein, bekommt beispielsweise die 192.168.0.5. Der D-Link VPN Router hat einen integrierten 4-Port Switch. Dort hängt beispielsweise ein PC mit der 192.168.0.10. Diese beiden Geräte befinden sich also beide im gleichen Netzwerk (192.168.0.x), der VPN-User von außen (0.5), sowie der Mitarbeiter vor Ort mit seinem PC, direkt am Switch des D-Links (0.10). Trotzdem finden sich die beiden nicht (ping geht nicht etc.)!
Warum ist das so? Macht im Moment noch keinen Sinn, wenn der Außendienstmitarbeiter sich zwar sind VPN wählen kann, aber dort dann an keinerlei PCs und Server gelangt. Es wäre fast so, als hätte das D-Link VPN Gerät intern zwei 192.168.0.x Netzte aufgebaut, eines "vor Ort" für die Geräte, die direkt am D-Link hängen, und ein weiteres 0er Netz für die Leute, welche sich per VPN einwählen von außen.
Irgendwie müsste ich diese beiden Netze miteinander verbinden (intern, nicht noch durch einen dritten Router hoffe ich!), damit die VPN-Einwähler den Rest im 0er Netz erreicht. Anbei ein paar Screenshots von der Konfiguration von dem Gerät, Tipps sind herzlich willkommen. Nach 2 Tagen Recherche bin ich langsam mit meinem Latein am Ende.
Mit freundlichen Grüßen
Tim
Guten Tag!
Ich habe in einer Filiale ein VPN eingerichtet mit einem D-Link DI-804HV. Davor sitzt noch ein Linksys AG241 (DSL-Router mit integr. Modem).
www -> Linksys Router (öff. IP auf 192.168.1.1) -> D-Link VPN Router (192.168.1.2 auf 192.168.0.1, das Außendienstler sich im 0er Netz befinden (im 1er befinden sich noch andere Geräte wo diese nicht dran sollen) -> weitere PCs in unserem Netz (z. B. 192.168.0.10)
Wenn ich mich nun per VPN einwähle von hier (Zentrale) aus geht das auch, und ich bekomme die erste freie IP im 0er Netz zugewiesen. Den VPN Router kann ich mit seiner 192.168.0.1 auch anpingen, wobei das Web-Interface nicht geht. Ein Roadwarrior, der sich über VPN nun einwählt (so wie ich das gerade teste über die Netzwerkumgebung -> neue Verbindung erstellen) kommt also ins 0er Netz, aber nicht auf das Webinterface des D-Links (evtl. gewolltes Sicherheitsfeature? Egal erstmal!).
Was mir Bauchschmerzen bereitet: Jemand wählt sich ins VPN ein, bekommt beispielsweise die 192.168.0.5. Der D-Link VPN Router hat einen integrierten 4-Port Switch. Dort hängt beispielsweise ein PC mit der 192.168.0.10. Diese beiden Geräte befinden sich also beide im gleichen Netzwerk (192.168.0.x), der VPN-User von außen (0.5), sowie der Mitarbeiter vor Ort mit seinem PC, direkt am Switch des D-Links (0.10). Trotzdem finden sich die beiden nicht (ping geht nicht etc.)!
Warum ist das so? Macht im Moment noch keinen Sinn, wenn der Außendienstmitarbeiter sich zwar sind VPN wählen kann, aber dort dann an keinerlei PCs und Server gelangt. Es wäre fast so, als hätte das D-Link VPN Gerät intern zwei 192.168.0.x Netzte aufgebaut, eines "vor Ort" für die Geräte, die direkt am D-Link hängen, und ein weiteres 0er Netz für die Leute, welche sich per VPN einwählen von außen.
Irgendwie müsste ich diese beiden Netze miteinander verbinden (intern, nicht noch durch einen dritten Router hoffe ich!), damit die VPN-Einwähler den Rest im 0er Netz erreicht. Anbei ein paar Screenshots von der Konfiguration von dem Gerät, Tipps sind herzlich willkommen. Nach 2 Tagen Recherche bin ich langsam mit meinem Latein am Ende.
Mit freundlichen Grüßen
Tim
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113410
Url: https://administrator.de/contentid/113410
Ausgedruckt am: 15.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Hi...
irgendwie alles sehr verwirrend.
Hättest Du ein Bild mit den Netzwerk, Clients, Router und Co.?
Würde uns allen bestimmt das Denken vereinfachen.
Danke,
Volker
irgendwie alles sehr verwirrend.
Hättest Du ein Bild mit den Netzwerk, Clients, Router und Co.?
Würde uns allen bestimmt das Denken vereinfachen.
Danke,
Volker
Hi,
deine Routeranordung erscheint mir etwas seltsam.
Aber der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz.
Im Normalfall bekommt er ja vom Internetprovider eine IP. Ein Router ist ja eben dafür geschaffen verschiedene Netze miteinander zu verbinden.
Also z.B. das Netz 192.168.0.xxx mit dem des Ausendiestlers z.B. 83.342.23.1 zu verbinden und die Datenpackete entsprechend zu Routen.
Wenn dein VPN-Cient (Ausendienstler) eine Adresse aus dem Subnetz 192.168.0.xxx bekommt gibt es für den Router nix zu Routen, Datenpackete im gleichen Netz werden nicht geroutet.
Also kommt auch nichts an.
Die Router die wir im Einsatz haben lassen sich alle nicht über eine VPN Verbindung Administrieren (Webinterface).
MfG
Kmpec1
deine Routeranordung erscheint mir etwas seltsam.
Aber der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz.
Im Normalfall bekommt er ja vom Internetprovider eine IP. Ein Router ist ja eben dafür geschaffen verschiedene Netze miteinander zu verbinden.
Also z.B. das Netz 192.168.0.xxx mit dem des Ausendiestlers z.B. 83.342.23.1 zu verbinden und die Datenpackete entsprechend zu Routen.
Wenn dein VPN-Cient (Ausendienstler) eine Adresse aus dem Subnetz 192.168.0.xxx bekommt gibt es für den Router nix zu Routen, Datenpackete im gleichen Netz werden nicht geroutet.
Also kommt auch nichts an.
Die Router die wir im Einsatz haben lassen sich alle nicht über eine VPN Verbindung Administrieren (Webinterface).
MfG
Kmpec1
Hallo!
danke für die Antworten. Hier das Schaubild.
http://pic.leech.it/pic.php?id=96da3b2vpn.jpg
Kein besonderer Aufbau nehme ich an. Kmpec1, im Handbuch des D-Links steht das was du sagst ("der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz"), wobei das noch nicht in mein Hirn geht warum das so ist. Ob sein PC jetzt schon im 192.168.0.x Netz ist sollte doch keine Rolle spielen. Für den Login in das VPN erstellt er sich unter Systemsteuerung -> Netzwerkverbinungen -> "Neue Verbindung erstellen" eine zweite LAN-Verbindung (bzw. VPN-Verbindung) und ob diese dann per DHCP von meinem D-Link VPN Router auch eine IP 192.168.0.x Netz bekommt sollte doch nichts ausmachen.
Somit hätte der Außenstehende unter "Netzwerkverbindungen" zwei Verbindungen, beide im Netz 192.168.0.x (nämlich 192.168.0.123 lokal, und 192.168.0.2 durch das VPN). Genauso gut könnte ich auch zwei Netzwerkkarten in einen Rechner stecken und beide in das 0.x Netz stellen, das wäre doch das gleiche?
Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.
Zusammengefasst: der Außendienstler soll per VPN an den Server 192.168.0.11 und 192.168.0.12 kommen. Einloggen ins VPN geht, Ping von 192.168.0.2 (PC Außendienst) an 192.168.0.1 (VPN Router) funktioniert, Ping an 0.11 und 0.12 aber nicht.
danke für die Antworten. Hier das Schaubild.
http://pic.leech.it/pic.php?id=96da3b2vpn.jpg
Kein besonderer Aufbau nehme ich an. Kmpec1, im Handbuch des D-Links steht das was du sagst ("der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz"), wobei das noch nicht in mein Hirn geht warum das so ist. Ob sein PC jetzt schon im 192.168.0.x Netz ist sollte doch keine Rolle spielen. Für den Login in das VPN erstellt er sich unter Systemsteuerung -> Netzwerkverbinungen -> "Neue Verbindung erstellen" eine zweite LAN-Verbindung (bzw. VPN-Verbindung) und ob diese dann per DHCP von meinem D-Link VPN Router auch eine IP 192.168.0.x Netz bekommt sollte doch nichts ausmachen.
Somit hätte der Außenstehende unter "Netzwerkverbindungen" zwei Verbindungen, beide im Netz 192.168.0.x (nämlich 192.168.0.123 lokal, und 192.168.0.2 durch das VPN). Genauso gut könnte ich auch zwei Netzwerkkarten in einen Rechner stecken und beide in das 0.x Netz stellen, das wäre doch das gleiche?
Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.
Zusammengefasst: der Außendienstler soll per VPN an den Server 192.168.0.11 und 192.168.0.12 kommen. Einloggen ins VPN geht, Ping von 192.168.0.2 (PC Außendienst) an 192.168.0.1 (VPN Router) funktioniert, Ping an 0.11 und 0.12 aber nicht.
Hallo,
mal ein paar Fragen zum VPN-Router.
- Welches VPN-Verfahren nutzt Du bei ihm?
- Hast Du IKE Einstellungen gemacht? Wenn ja welche? Insbesondere bei Lokales und entferntes Subnetz.
Ich vermute mal Du nutzt L2TP.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Gruß,
Volker
PS: Danke fürs Bild... jetzt ist zumindest der Aufbau klar zu verstehen.
mal ein paar Fragen zum VPN-Router.
- Welches VPN-Verfahren nutzt Du bei ihm?
- Hast Du IKE Einstellungen gemacht? Wenn ja welche? Insbesondere bei Lokales und entferntes Subnetz.
Ich vermute mal Du nutzt L2TP.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Gruß,
Volker
PS: Danke fürs Bild... jetzt ist zumindest der Aufbau klar zu verstehen.
Hallo,
- Bei ihm? Wem? PPTP. Beidseitig.
- IKE ist laut Recherche Teil von IPSec, und IPSec wird bei L2TP verwendet.
Der L2TP-Server ist deaktiviert. Das Subnetz des D-Link VPN Router (VPN-Gateway/PPTP-Server, ist vermutlich das gleiche?) ist die 192.168.1.9 (siehe Bild), im VPN ist er unter der 192.168.0.1 zu erreichen.
Den L2TP-Server könnte man auch gar nicht ins gleiche Subnetz stellen wie den PPTP-Server, das lässt die Eingabemaske schon gar nicht zu.
- Bei ihm? Wem? PPTP. Beidseitig.
- IKE ist laut Recherche Teil von IPSec, und IPSec wird bei L2TP verwendet.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:
Denn laut Handbuch:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Der L2TP-Server ist deaktiviert. Das Subnetz des D-Link VPN Router (VPN-Gateway/PPTP-Server, ist vermutlich das gleiche?) ist die 192.168.1.9 (siehe Bild), im VPN ist er unter der 192.168.0.1 zu erreichen.
Den L2TP-Server könnte man auch gar nicht ins gleiche Subnetz stellen wie den PPTP-Server, das lässt die Eingabemaske schon gar nicht zu.
Hi,
Du nutzt also PPTP.
Dann heitß es im Handbuch auf Seite 56:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Was für eine Adresse hast Du hier gewählt?
Bei IKE ist also ncihts konfiguriert?
Grüße,
Volker
Du nutzt also PPTP.
Dann heitß es im Handbuch auf Seite 56:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Was für eine Adresse hast Du hier gewählt?
Bei IKE ist also ncihts konfiguriert?
Grüße,
Volker
Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.
Genau hier liegt dein Denkfehler ein Router verbindet Netze z.B. das Netz 192.168.0.xxx mit dem Netz 192.168.3.xxx.
Er schickt also deinen Ping nicht weiter weil der Ping aus dem Netz "0"ins gleiche Netz "0" geht also gibt es für den Router nichts zu tun.
Stelle den Router so ein das der Ausendienstler eine IP aus z.B. 192.168.3.x bekommt.
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz 192.168.0.x
Allerdings musst du beachten das du die PC´s mit der IP Adresse und nicht mit dem Namen ansprechen musst also "Ping 192.168.0.xxx" nicht "Ping MEINRECHNER".
Wenn der Ping dann Funktioniert ist deine VPN Verbindung I.O.
Aber die PC´s hinter dem Router sind nicht in der Netzwerkumgebung zu sehen, Sie können aber über die IP-Adresse angesprochen werden, einfach im Explorer oben die IP-Adresse eingeben.
MfG
Kmpec1
Genau hier liegt dein Denkfehler ein Router verbindet Netze z.B. das Netz 192.168.0.xxx mit dem Netz 192.168.3.xxx.
Er schickt also deinen Ping nicht weiter weil der Ping aus dem Netz "0"ins gleiche Netz "0" geht also gibt es für den Router nichts zu tun.
Stelle den Router so ein das der Ausendienstler eine IP aus z.B. 192.168.3.x bekommt.
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz 192.168.0.x
Allerdings musst du beachten das du die PC´s mit der IP Adresse und nicht mit dem Namen ansprechen musst also "Ping 192.168.0.xxx" nicht "Ping MEINRECHNER".
Wenn der Ping dann Funktioniert ist deine VPN Verbindung I.O.
Aber die PC´s hinter dem Router sind nicht in der Netzwerkumgebung zu sehen, Sie können aber über die IP-Adresse angesprochen werden, einfach im Explorer oben die IP-Adresse eingeben.
MfG
Kmpec1
Das war der richtige Denkanstoss.
http://pic.leech.it/i/8aa89/c492d629vpn.jpg
Die VPN-User bekommen jetzt eine IP aus einem anderen Netz, und ein "route add 192.168.0.0 mask 255.255.255.0 192.168.3.2" (nicht 3.1...!?) nach der VPN-Einwahl macht jetzt den Rest.
Vielen Dank!
