VPN (PPTP) Zugriff aufs LAN
Roadwarrior (VPN) und Zugriff aufs LAN
Guten Tag!
Ich habe in einer Filiale ein VPN eingerichtet mit einem D-Link DI-804HV. Davor sitzt noch ein Linksys AG241 (DSL-Router mit integr. Modem).
www -> Linksys Router (öff. IP auf 192.168.1.1) -> D-Link VPN Router (192.168.1.2 auf 192.168.0.1, das Außendienstler sich im 0er Netz befinden (im 1er befinden sich noch andere Geräte wo diese nicht dran sollen) -> weitere PCs in unserem Netz (z. B. 192.168.0.10)
Wenn ich mich nun per VPN einwähle von hier (Zentrale) aus geht das auch, und ich bekomme die erste freie IP im 0er Netz zugewiesen. Den VPN Router kann ich mit seiner 192.168.0.1 auch anpingen, wobei das Web-Interface nicht geht. Ein Roadwarrior, der sich über VPN nun einwählt (so wie ich das gerade teste über die Netzwerkumgebung -> neue Verbindung erstellen) kommt also ins 0er Netz, aber nicht auf das Webinterface des D-Links (evtl. gewolltes Sicherheitsfeature? Egal erstmal!).
Was mir Bauchschmerzen bereitet: Jemand wählt sich ins VPN ein, bekommt beispielsweise die 192.168.0.5. Der D-Link VPN Router hat einen integrierten 4-Port Switch. Dort hängt beispielsweise ein PC mit der 192.168.0.10. Diese beiden Geräte befinden sich also beide im gleichen Netzwerk (192.168.0.x), der VPN-User von außen (0.5), sowie der Mitarbeiter vor Ort mit seinem PC, direkt am Switch des D-Links (0.10). Trotzdem finden sich die beiden nicht (ping geht nicht etc.)!
Warum ist das so? Macht im Moment noch keinen Sinn, wenn der Außendienstmitarbeiter sich zwar sind VPN wählen kann, aber dort dann an keinerlei PCs und Server gelangt. Es wäre fast so, als hätte das D-Link VPN Gerät intern zwei 192.168.0.x Netzte aufgebaut, eines "vor Ort" für die Geräte, die direkt am D-Link hängen, und ein weiteres 0er Netz für die Leute, welche sich per VPN einwählen von außen.
Irgendwie müsste ich diese beiden Netze miteinander verbinden (intern, nicht noch durch einen dritten Router hoffe ich!), damit die VPN-Einwähler den Rest im 0er Netz erreicht. Anbei ein paar Screenshots von der Konfiguration von dem Gerät, Tipps sind herzlich willkommen. Nach 2 Tagen Recherche bin ich langsam mit meinem Latein am Ende.
Mit freundlichen Grüßen
Tim
Guten Tag!
Ich habe in einer Filiale ein VPN eingerichtet mit einem D-Link DI-804HV. Davor sitzt noch ein Linksys AG241 (DSL-Router mit integr. Modem).
www -> Linksys Router (öff. IP auf 192.168.1.1) -> D-Link VPN Router (192.168.1.2 auf 192.168.0.1, das Außendienstler sich im 0er Netz befinden (im 1er befinden sich noch andere Geräte wo diese nicht dran sollen) -> weitere PCs in unserem Netz (z. B. 192.168.0.10)
Wenn ich mich nun per VPN einwähle von hier (Zentrale) aus geht das auch, und ich bekomme die erste freie IP im 0er Netz zugewiesen. Den VPN Router kann ich mit seiner 192.168.0.1 auch anpingen, wobei das Web-Interface nicht geht. Ein Roadwarrior, der sich über VPN nun einwählt (so wie ich das gerade teste über die Netzwerkumgebung -> neue Verbindung erstellen) kommt also ins 0er Netz, aber nicht auf das Webinterface des D-Links (evtl. gewolltes Sicherheitsfeature? Egal erstmal!).
Was mir Bauchschmerzen bereitet: Jemand wählt sich ins VPN ein, bekommt beispielsweise die 192.168.0.5. Der D-Link VPN Router hat einen integrierten 4-Port Switch. Dort hängt beispielsweise ein PC mit der 192.168.0.10. Diese beiden Geräte befinden sich also beide im gleichen Netzwerk (192.168.0.x), der VPN-User von außen (0.5), sowie der Mitarbeiter vor Ort mit seinem PC, direkt am Switch des D-Links (0.10). Trotzdem finden sich die beiden nicht (ping geht nicht etc.)!
Warum ist das so? Macht im Moment noch keinen Sinn, wenn der Außendienstmitarbeiter sich zwar sind VPN wählen kann, aber dort dann an keinerlei PCs und Server gelangt. Es wäre fast so, als hätte das D-Link VPN Gerät intern zwei 192.168.0.x Netzte aufgebaut, eines "vor Ort" für die Geräte, die direkt am D-Link hängen, und ein weiteres 0er Netz für die Leute, welche sich per VPN einwählen von außen.
Irgendwie müsste ich diese beiden Netze miteinander verbinden (intern, nicht noch durch einen dritten Router hoffe ich!), damit die VPN-Einwähler den Rest im 0er Netz erreicht. Anbei ein paar Screenshots von der Konfiguration von dem Gerät, Tipps sind herzlich willkommen. Nach 2 Tagen Recherche bin ich langsam mit meinem Latein am Ende.
Mit freundlichen Grüßen
Tim
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113410
Url: https://administrator.de/forum/vpn-pptp-zugriff-aufs-lan-113410.html
Ausgedruckt am: 25.12.2024 um 04:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
deine Routeranordung erscheint mir etwas seltsam.
Aber der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz.
Im Normalfall bekommt er ja vom Internetprovider eine IP. Ein Router ist ja eben dafür geschaffen verschiedene Netze miteinander zu verbinden.
Also z.B. das Netz 192.168.0.xxx mit dem des Ausendiestlers z.B. 83.342.23.1 zu verbinden und die Datenpackete entsprechend zu Routen.
Wenn dein VPN-Cient (Ausendienstler) eine Adresse aus dem Subnetz 192.168.0.xxx bekommt gibt es für den Router nix zu Routen, Datenpackete im gleichen Netz werden nicht geroutet.
Also kommt auch nichts an.
Die Router die wir im Einsatz haben lassen sich alle nicht über eine VPN Verbindung Administrieren (Webinterface).
MfG
Kmpec1
deine Routeranordung erscheint mir etwas seltsam.
Aber der Rechner deines Ausendienstlers darf keine IP aus dem Adressbereich des VPN - Routers bekommen "Nuller " Netz.
Im Normalfall bekommt er ja vom Internetprovider eine IP. Ein Router ist ja eben dafür geschaffen verschiedene Netze miteinander zu verbinden.
Also z.B. das Netz 192.168.0.xxx mit dem des Ausendiestlers z.B. 83.342.23.1 zu verbinden und die Datenpackete entsprechend zu Routen.
Wenn dein VPN-Cient (Ausendienstler) eine Adresse aus dem Subnetz 192.168.0.xxx bekommt gibt es für den Router nix zu Routen, Datenpackete im gleichen Netz werden nicht geroutet.
Also kommt auch nichts an.
Die Router die wir im Einsatz haben lassen sich alle nicht über eine VPN Verbindung Administrieren (Webinterface).
MfG
Kmpec1
Hallo,
mal ein paar Fragen zum VPN-Router.
- Welches VPN-Verfahren nutzt Du bei ihm?
- Hast Du IKE Einstellungen gemacht? Wenn ja welche? Insbesondere bei Lokales und entferntes Subnetz.
Ich vermute mal Du nutzt L2TP.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Gruß,
Volker
PS: Danke fürs Bild... jetzt ist zumindest der Aufbau klar zu verstehen.
mal ein paar Fragen zum VPN-Router.
- Welches VPN-Verfahren nutzt Du bei ihm?
- Hast Du IKE Einstellungen gemacht? Wenn ja welche? Insbesondere bei Lokales und entferntes Subnetz.
Ich vermute mal Du nutzt L2TP.
welche Virtuelle Adresse hast Du dem L2TP-Server vergeben?
Denn laut Handbuch:
Die IP-Adresse sollte sich von den IP-Adressen des PPTP-Servers und des LAN-Subnetzes des VPN-Gateways unterscheiden.
Gruß,
Volker
PS: Danke fürs Bild... jetzt ist zumindest der Aufbau klar zu verstehen.
Oder interpretiere ich deinen Satz falsch und du meinst, das ich dem Außendienstler, wenn er sich einloggt, nicht 192.168.0.2 zuweisen lassen soll, sondern z. B. 192.168.x.2? Dann würde er aber erst recht nicht an die 192.168.0.11 und die 192.168.0.12 und das VPN wäre sinnlos, wenn der VPNler ganz alleine sich im VPN befindet, und an keine anderen Geräte (PCs, Server) kommt weil diese sich in einem anderen Netz befinden.
Genau hier liegt dein Denkfehler ein Router verbindet Netze z.B. das Netz 192.168.0.xxx mit dem Netz 192.168.3.xxx.
Er schickt also deinen Ping nicht weiter weil der Ping aus dem Netz "0"ins gleiche Netz "0" geht also gibt es für den Router nichts zu tun.
Stelle den Router so ein das der Ausendienstler eine IP aus z.B. 192.168.3.x bekommt.
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz 192.168.0.x
Allerdings musst du beachten das du die PC´s mit der IP Adresse und nicht mit dem Namen ansprechen musst also "Ping 192.168.0.xxx" nicht "Ping MEINRECHNER".
Wenn der Ping dann Funktioniert ist deine VPN Verbindung I.O.
Aber die PC´s hinter dem Router sind nicht in der Netzwerkumgebung zu sehen, Sie können aber über die IP-Adresse angesprochen werden, einfach im Explorer oben die IP-Adresse eingeben.
MfG
Kmpec1
Genau hier liegt dein Denkfehler ein Router verbindet Netze z.B. das Netz 192.168.0.xxx mit dem Netz 192.168.3.xxx.
Er schickt also deinen Ping nicht weiter weil der Ping aus dem Netz "0"ins gleiche Netz "0" geht also gibt es für den Router nichts zu tun.
Stelle den Router so ein das der Ausendienstler eine IP aus z.B. 192.168.3.x bekommt.
Der Router leitet dann die Packete vom Netz 192.168.3.x in das Netz 192.168.0.x
Allerdings musst du beachten das du die PC´s mit der IP Adresse und nicht mit dem Namen ansprechen musst also "Ping 192.168.0.xxx" nicht "Ping MEINRECHNER".
Wenn der Ping dann Funktioniert ist deine VPN Verbindung I.O.
Aber die PC´s hinter dem Router sind nicht in der Netzwerkumgebung zu sehen, Sie können aber über die IP-Adresse angesprochen werden, einfach im Explorer oben die IP-Adresse eingeben.
MfG
Kmpec1