Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Tunnel - Client bekommt falsche IP Adresse

Mitglied: Markowitsch

Markowitsch (Level 2) - Jetzt verbinden

23.05.2016 um 16:33 Uhr, 3044 Aufrufe, 16 Kommentare, 1 Danke

Hallo liebe Netzwerker,

ich habe einen Kunden der am Eingang zum Firmennetz eine Zyxel Zywall USG20 stehen hat.
Diese hat eine statische öffentliche IP Adresse, eine 192.168.100.254 LAN Adresse und soweit funktioniert die Firewall einwandfrei.
Nun habe ich auf einen Windows 10 Client den Zyxel VPN Client installiert um einen VPN Tunnel herzustellen.

Client Version : ZyWALL IPSec VPN Client_3.6.204.61.4

Dabei habe ich mich an folgende Anleitung gehalten :

https://www.zyxel.ch/de/support/download/58550_1

Nun, der VPN Tunnel öffnet sich auf anhieb, allerdings bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.

Ich habe jetzt bereits vieles Versucht, komme aber nicht auf den Fehler.
Kann mir von Euch bitte jemand helfen, den VPN herzustellen?

Vielen Dank

Marko
Mitglied: michi1983
23.05.2016 um 16:37 Uhr
Hallo,

Zitat von Markowitsch:
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.
Warum sollte er das? Das ist netzwerktechnisch eher suboptimal.
Das passt schon so wie es ist.

Gruß
Bitte warten ..
Mitglied: Markowitsch
23.05.2016 um 17:05 Uhr
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Suboptimal ist es wie es jetzt ist.
Bitte warten ..
Mitglied: michi1983
23.05.2016 um 17:13 Uhr
Zitat von Markowitsch:
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Mit Firewall Regeln?

Suboptimal ist es wie es jetzt ist.
Na jeder wie er es gern hat.

Gruß
Bitte warten ..
Mitglied: Markowitsch
23.05.2016 um 17:17 Uhr
Lieber Michi,

bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.

Vielen Dank
Bitte warten ..
Mitglied: 129413
23.05.2016, aktualisiert um 17:27 Uhr
Zitat von Markowitsch:
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Durch den Zyxel-Client, der weiß welches Subnetz sich am anderen Ende des Tunnels befindet, und dieser fügt eine entsprechend Route für dieses Remote-Netz am Client hinzu.

Welche Subnets dem Client mitgeteilt werden kann man auch am VPN-Responder definieren.

@michi1983 hat absolut recht, die VPN Clients sollte man möglichst immer in ein separates Subnetz packen! Das hat verschiedene gute Gründe auch performance technisch. Stichwort: Broadcast-Traffic.

Gruß skybird
Bitte warten ..
Mitglied: michi1983
23.05.2016 um 17:27 Uhr
Zitat von Markowitsch:

Lieber Michi,

bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.

Vielen Dank
Nix zu danken, werde deine Zeit nicht weiter verschwenden
Bitte warten ..
Mitglied: 129413
23.05.2016, aktualisiert um 17:29 Uhr
Zitat von michi1983:
Vielen Dank
Nix zu danken, werde deine Zeit nicht weiter verschwenden
Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser . Unbelehrbar bleibt meist unbelehrbar.
Bitte warten ..
Mitglied: michi1983
23.05.2016 um 17:34 Uhr
Zitat von 129413:
Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser . Unbelehrbar bleibt meist unbelehrbar.
Aus dem Alter bin ich raus, dass ich mir wegen sowas Gedanken mach
Auf Seite 6 seines verlinkten Tutorials steht übrigens die Lösung, aber was weiß ich schon
Bitte warten ..
Mitglied: Markowitsch
23.05.2016 um 17:53 Uhr
Ich entschuldige mich für meine nicht sehr nette Ausdrucksweise von vorhin Michi.
Es ist halt schwirig wenn man schon so viel Zeit investiert, dann ein Forum fragt und eigentlich keine richtige Antwort bekommt.
Passiert hier leider immer wieder - aber trotzdem ist es von mir auch keine nette Art mich mitzuteilen.
Hoffe Du nimmst meine Entschuldigung an.

Zum Problem dass ich habe - warum wird mir die 10.10.10.10 Adresse an den Client vergeben?
Wie schaffe ich es, dass der Client gleich die 192.168.100.x Adresse zugewiesen bekommt?

Seite 6 vom Tutorial hatte ich versucht, allerding habe ich eine neuere Firmware auf meine Zywall und da schaut nicht jede Konfig. genau so aus wie im Tutorial.

Danke
Bitte warten ..
Mitglied: michi1983
23.05.2016 um 18:15 Uhr
Ich bin nicht nachtragend, also Schwamm drüber.

Aber ich hab dir in meinem 1. Kommentar schon die Antwort gegeben.

Es ist vollkommen üblich, dass VPN Clients in einem anderen Netz untergebracht werden als das produktiv LAN. Das passt also schon, dass du eine 10.10.10.0/24 Adresse erhältst .

Auf der Zyxel USG musst du jetzt nur noch die passenden Firewall Regeln/Policies anlegen, damit das VPN Netz oder eben nur bestimmte VPN Clients Zugriff auf entweder das komplette LAN oder eben nur bestimmte IPs des LANs erhalten.

Gruß
Bitte warten ..
Mitglied: ArnoNymous
23.05.2016 um 18:21 Uhr
Michi hat recht. Kannst ihm glauben
Bitte warten ..
Mitglied: aqui
23.05.2016, aktualisiert um 18:57 Uhr
bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Das ist bei einem natove IPsec VPN Client in der Tat richtig, denn die werden immer geroutet.
Du machst ja kein L2TP wo ein Bridging Szenario verwendet wird. Kollege Michi hat also Recht hier.
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Na ja Routing eben... Sieh dir die Routing Tabelle der Zyxel Gurke an, dann weisst du es !
Der Zyxel Client kann vermutlich kein Split Tunneling und redirected das Default Gateway in den Tunnel bei aktivem Client.
Abgesehen davon...ist es ja auch letztlich völlig Egal welche Client IP der VPN Client hat solange du deine Endgeräte erreichen kannst.
Ansonsten musst du auf L2TP wechseln als VPN Protokoll.
Bitte warten ..
Mitglied: Markowitsch
23.05.2016, aktualisiert um 19:58 Uhr
OK, danke erstmal für die Hilfe.
Jetzt ist es aber so, dass nicht nur der Client auf den Server im Firmennetzwerk zugreifen soll, sonder auch umgekehrt.
Lasst mich das erklären :

Der Client befindet sich in der Aussenstelle des Betriebes und dient als Registrierkasse.
Im Firmennetzwerk intern funktioniert das folgendermasen :

Es wird eine Rechnung im Programm das am Server läuft erstellt.
Dannach sendet der Server den Druckauftrag direkt zum Kassencomputer, an welchem der Bondrucker hängt - der Bon kommt raus.

Jetzt steht der Client extern, trotzdem muss der Auftrag vom Server an den Client gesendet werden können.
Meine Vermutung ist nun, wenn der Client per VPN am Netzwerk angebunden ist und eine interne IP Adresse im Bereich 192.168.100.x bekommt, kann der Client den Server direkt anpingen, aber auch der Server müsste den Client per Ping erreichen - stimmt das so oder bin ich da sowieso auf den Holzweg?

Ich habe mal vor Jahren mit der Zywall eine VPN Verbindung hergestellt und da hat der Client gleich die echte IP Adresse bekommen.

Ich bin erst am testen - wenns nicht funktioniert muss ich mir was anderes überlegen.
Bitte warten ..
Mitglied: 129413
23.05.2016, aktualisiert um 20:11 Uhr
Auch wenn der VPN-Client eine Adresse aus einem anderen Subnetz hat, kann ihn dein Server problemlos erreichen wenn er als DefaultGW den Router eingetragen hat, der Router kennt dann ja seinerseits bereits das 10.10.10.x Netz und kann die Pakete korrekt an den VPN-Client routen. Bei Windows -Clients sollte man nur beachten das die Firewall ICMP und SMB Pakete per Default aus anderen Subnetzen blockt, aber das lässt sich sehr einfach in der Client bzw. Serverfirewall freischalten!

Ein Layer2-VPN bei dem der VPN-Client mit im Netz des Servers hängt ist Performance-Technisch immer suboptimal, da dann auch Broadcasttraffic die VPN-Verbindung unnötig belastet.
Bitte warten ..
Mitglied: Markowitsch
24.05.2016 um 10:24 Uhr
Hallo,

nach einigen Versuchen funktioniert nun der VPN Tunnel.
Ja, der PC bekommt die IP Adresse 10.10.10.10, kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Wie schon Michi sagte steht auf Seite 6 die Lösung - man muss bei Related Settings die Zone auf das jeweilige LAN ändern - in meinem Fall auf LAN1.

Dann Funktionierts auch mit VPN.

Danke nochmals für Eure Hilfe
Bitte warten ..
Mitglied: aqui
25.05.2016 um 09:56 Uhr
kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Das ist das tägliche Wunder von IP Routing
Glücklicherweise gibts ja noch andere Lösungen mit weniger Fussfallen....
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
VPN Router (client) VPN Tunnel Bauen
Frage von fundave3Switche und Hubs26 Kommentare

Hallo zusammen, ich habe mir ma wieder ein Projekt ageschafft. Da ich einen Server gemietet habe und nur ungern ...

Netzwerkgrundlagen
IP Zuweisung bei VPN Tunnel
gelöst Frage von H4rdQu0r3Netzwerkgrundlagen5 Kommentare

Hallo Leute, Ich habe eine für mich sehr wichtige Frage zu klären. Ich habe in der Theorie ein kleines ...

Router & Routing
Tunnel VPN to VPN
Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

LAN, WAN, Wireless
VPN Tunnel aufbauen
gelöst Frage von Hajo2006LAN, WAN, Wireless16 Kommentare

Hallo, also ich habe mal eine Frage. Ich möchte gerne einen VPN-Tunnel aufbauen. Doch das Problem was sich stellt ...

Neue Wissensbeiträge
Microsoft Office

Supportlebenszyklus für Office 2010 verlängert

Information von Dani vor 14 StundenMicrosoft Office4 Kommentare

Moin, Like most Microsoft products, Microsoft Office 2010 has a support lifecycle during which we provide new features, software ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 1 TagWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 1 TagExchange Server3 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 1 TagSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Hardwareberatung: Business Notebook
gelöst Frage von waellerNotebook & Zubehör41 Kommentare

Hallo zusammen, da wir bislang nur MacBooks im Einsatz haben - nun aber auf Windows umsteigen werden - bräuchte ...

Drucker und Scanner
Suche Laserdrucker (Duplex) mit 3 Papierfächern der NICHT ständig Papier frisst
Frage von mabiesDrucker und Scanner18 Kommentare

Hallo, bislang versuchen wir es immer wieder mit Lexmark T650N. Habe da jetzt grad wieder einen sehr guten, wenig ...

Netzwerke
Seltsame Verbindungsprobleme nach Netzwerk-Switch-Tausch
Frage von MondragorNetzwerke16 Kommentare

Hallo an alle. Ich habe gestern in der Firma das NEtzwerkswitch gegen ein moderneres, leistungsstärkeres getauscht. Das alte war ...

Windows Server
Datenträger-Umbau Windows 2012 R2
Frage von petereWindows Server13 Kommentare

Hallo, ich habe auf einem Windows 2012 R2 auf Datenträger 0 diese Volumes: 0 = Startpartition 1 = EFI-Systempartition ...