16
VPN Tunnel - Client bekommt falsche IP Adresse
Hallo liebe Netzwerker,
ich habe einen Kunden der am Eingang zum Firmennetz eine Zyxel Zywall USG20 stehen hat.
Diese hat eine statische öffentliche IP Adresse, eine 192.168.100.254 LAN Adresse und soweit funktioniert die Firewall einwandfrei.
Nun habe ich auf einen Windows 10 Client den Zyxel VPN Client installiert um einen VPN Tunnel herzustellen.
Client Version : ZyWALL IPSec VPN Client_3.6.204.61.4
Dabei habe ich mich an folgende Anleitung gehalten :
https://www.zyxel.ch/de/support/download/58550_1
Nun, der VPN Tunnel öffnet sich auf anhieb, allerdings bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.
Ich habe jetzt bereits vieles Versucht, komme aber nicht auf den Fehler.
Kann mir von Euch bitte jemand helfen, den VPN herzustellen?
Vielen Dank
Marko
ich habe einen Kunden der am Eingang zum Firmennetz eine Zyxel Zywall USG20 stehen hat.
Diese hat eine statische öffentliche IP Adresse, eine 192.168.100.254 LAN Adresse und soweit funktioniert die Firewall einwandfrei.
Nun habe ich auf einen Windows 10 Client den Zyxel VPN Client installiert um einen VPN Tunnel herzustellen.
Client Version : ZyWALL IPSec VPN Client_3.6.204.61.4
Dabei habe ich mich an folgende Anleitung gehalten :
https://www.zyxel.ch/de/support/download/58550_1
Nun, der VPN Tunnel öffnet sich auf anhieb, allerdings bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.
Ich habe jetzt bereits vieles Versucht, komme aber nicht auf den Fehler.
Kann mir von Euch bitte jemand helfen, den VPN herzustellen?
Vielen Dank
Marko
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305217
Url: https://administrator.de/forum/vpn-tunnel-client-bekommt-falsche-ip-adresse-305217.html
Ausgedruckt am: 09.04.2025 um 19:04 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
Das passt schon so wie es ist.
Gruß
Zitat von @Markowitsch:
Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.
Warum sollte er das? Das ist netzwerktechnisch eher suboptimal.Der VPN Adapter soll aber per DHCP von der Zywall eine 192.168.100.x Adresse zugewiesen bekommen.
Das passt schon so wie es ist.
Gruß
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Suboptimal ist es wie es jetzt ist.
Suboptimal ist es wie es jetzt ist.
Zitat von @Markowitsch:
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Mit Firewall Regeln?Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Suboptimal ist es wie es jetzt ist.
Na jeder wie er es gern hat.Gruß
Lieber Michi,
bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.
Vielen Dank
bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.
Vielen Dank
Zitat von @Markowitsch:
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Durch den Zyxel-Client, der weiß welches Subnetz sich am anderen Ende des Tunnels befindet, und dieser fügt eine entsprechend Route für dieses Remote-Netz am Client hinzu.Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Welche Subnets dem Client mitgeteilt werden kann man auch am VPN-Responder definieren.
@michi1983 hat absolut recht, die VPN Clients sollte man möglichst immer in ein separates Subnetz packen! Das hat verschiedene gute Gründe auch performance technisch. Stichwort: Broadcast-Traffic.
Gruß skybird
Zitat von @Markowitsch:
Lieber Michi,
bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.
Vielen Dank
Nix zu danken, werde deine Zeit nicht weiter verschwenden Lieber Michi,
bitte verschwende Deine und vor allem meine Zeit nicht hier im Forum.
Vielen Dank
Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser 
. Unbelehrbar bleibt meist unbelehrbar.
. Unbelehrbar bleibt meist unbelehrbar.Zitat von @129413:
Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser. Unbelehrbar bleibt meist unbelehrbar.
Aus dem Alter bin ich raus, dass ich mir wegen sowas Gedanken mach Mach dir keine Gedanken, er weiß es sehr wahrscheinlich einfach nicht besser
. Unbelehrbar bleibt meist unbelehrbar.Auf Seite 6 seines verlinkten Tutorials steht übrigens die Lösung, aber was weiß ich schon
Ich entschuldige mich für meine nicht sehr nette Ausdrucksweise von vorhin Michi.
Es ist halt schwirig wenn man schon so viel Zeit investiert, dann ein Forum fragt und eigentlich keine richtige Antwort bekommt.
Passiert hier leider immer wieder - aber trotzdem ist es von mir auch keine nette Art mich mitzuteilen.
Hoffe Du nimmst meine Entschuldigung an.
Zum Problem dass ich habe - warum wird mir die 10.10.10.10 Adresse an den Client vergeben?
Wie schaffe ich es, dass der Client gleich die 192.168.100.x Adresse zugewiesen bekommt?
Seite 6 vom Tutorial hatte ich versucht, allerding habe ich eine neuere Firmware auf meine Zywall und da schaut nicht jede Konfig. genau so aus wie im Tutorial.
Danke
Es ist halt schwirig wenn man schon so viel Zeit investiert, dann ein Forum fragt und eigentlich keine richtige Antwort bekommt.
Passiert hier leider immer wieder - aber trotzdem ist es von mir auch keine nette Art mich mitzuteilen.
Hoffe Du nimmst meine Entschuldigung an.
Zum Problem dass ich habe - warum wird mir die 10.10.10.10 Adresse an den Client vergeben?
Wie schaffe ich es, dass der Client gleich die 192.168.100.x Adresse zugewiesen bekommt?
Seite 6 vom Tutorial hatte ich versucht, allerding habe ich eine neuere Firmware auf meine Zywall und da schaut nicht jede Konfig. genau so aus wie im Tutorial.
Danke
Ich bin nicht nachtragend, also Schwamm drüber.
Aber ich hab dir in meinem 1. Kommentar schon die Antwort gegeben.
Es ist vollkommen üblich, dass VPN Clients in einem anderen Netz untergebracht werden als das produktiv LAN. Das passt also schon, dass du eine 10.10.10.0/24 Adresse erhältst .
Auf der Zyxel USG musst du jetzt nur noch die passenden Firewall Regeln/Policies anlegen, damit das VPN Netz oder eben nur bestimmte VPN Clients Zugriff auf entweder das komplette LAN oder eben nur bestimmte IPs des LANs erhalten.
Gruß
Aber ich hab dir in meinem 1. Kommentar schon die Antwort gegeben.
Es ist vollkommen üblich, dass VPN Clients in einem anderen Netz untergebracht werden als das produktiv LAN. Das passt also schon, dass du eine 10.10.10.0/24 Adresse erhältst .
Auf der Zyxel USG musst du jetzt nur noch die passenden Firewall Regeln/Policies anlegen, damit das VPN Netz oder eben nur bestimmte VPN Clients Zugriff auf entweder das komplette LAN oder eben nur bestimmte IPs des LANs erhalten.
Gruß
1
Michi hat recht. Kannst ihm glauben
bekommt mein Client für den VPN Tunnel Adapter die IP Adresse 10.10.10.10
Das ist bei einem natove IPsec VPN Client in der Tat richtig, denn die werden immer geroutet.Du machst ja kein L2TP wo ein Bridging Szenario verwendet wird. Kollege Michi hat also Recht hier.
Aha, und wie soll der Client auf den Server im Firmennetzwerk kommen, wenn dieser eine 10.10.10.10 Adresse bekommt?
Na ja Routing eben... Sieh dir die Routing Tabelle der Zyxel Gurke an, dann weisst du es !Der Zyxel Client kann vermutlich kein Split Tunneling und redirected das Default Gateway in den Tunnel bei aktivem Client.
Abgesehen davon...ist es ja auch letztlich völlig Egal welche Client IP der VPN Client hat solange du deine Endgeräte erreichen kannst.
Ansonsten musst du auf L2TP wechseln als VPN Protokoll.
OK, danke erstmal für die Hilfe.
Jetzt ist es aber so, dass nicht nur der Client auf den Server im Firmennetzwerk zugreifen soll, sonder auch umgekehrt.
Lasst mich das erklären :
Der Client befindet sich in der Aussenstelle des Betriebes und dient als Registrierkasse.
Im Firmennetzwerk intern funktioniert das folgendermasen :
Es wird eine Rechnung im Programm das am Server läuft erstellt.
Dannach sendet der Server den Druckauftrag direkt zum Kassencomputer, an welchem der Bondrucker hängt - der Bon kommt raus.
Jetzt steht der Client extern, trotzdem muss der Auftrag vom Server an den Client gesendet werden können.
Meine Vermutung ist nun, wenn der Client per VPN am Netzwerk angebunden ist und eine interne IP Adresse im Bereich 192.168.100.x bekommt, kann der Client den Server direkt anpingen, aber auch der Server müsste den Client per Ping erreichen - stimmt das so oder bin ich da sowieso auf den Holzweg?
Ich habe mal vor Jahren mit der Zywall eine VPN Verbindung hergestellt und da hat der Client gleich die echte IP Adresse bekommen.
Ich bin erst am testen - wenns nicht funktioniert muss ich mir was anderes überlegen.
Jetzt ist es aber so, dass nicht nur der Client auf den Server im Firmennetzwerk zugreifen soll, sonder auch umgekehrt.
Lasst mich das erklären :
Der Client befindet sich in der Aussenstelle des Betriebes und dient als Registrierkasse.
Im Firmennetzwerk intern funktioniert das folgendermasen :
Es wird eine Rechnung im Programm das am Server läuft erstellt.
Dannach sendet der Server den Druckauftrag direkt zum Kassencomputer, an welchem der Bondrucker hängt - der Bon kommt raus.
Jetzt steht der Client extern, trotzdem muss der Auftrag vom Server an den Client gesendet werden können.
Meine Vermutung ist nun, wenn der Client per VPN am Netzwerk angebunden ist und eine interne IP Adresse im Bereich 192.168.100.x bekommt, kann der Client den Server direkt anpingen, aber auch der Server müsste den Client per Ping erreichen - stimmt das so oder bin ich da sowieso auf den Holzweg?
Ich habe mal vor Jahren mit der Zywall eine VPN Verbindung hergestellt und da hat der Client gleich die echte IP Adresse bekommen.
Ich bin erst am testen - wenns nicht funktioniert muss ich mir was anderes überlegen.
Auch wenn der VPN-Client eine Adresse aus einem anderen Subnetz hat, kann ihn dein Server problemlos erreichen wenn er als DefaultGW den Router eingetragen hat, der Router kennt dann ja seinerseits bereits das 10.10.10.x Netz und kann die Pakete korrekt an den VPN-Client routen. Bei Windows -Clients sollte man nur beachten das die Firewall ICMP und SMB Pakete per Default aus anderen Subnetzen blockt, aber das lässt sich sehr einfach in der Client bzw. Serverfirewall freischalten!
Ein Layer2-VPN bei dem der VPN-Client mit im Netz des Servers hängt ist Performance-Technisch immer suboptimal, da dann auch Broadcasttraffic die VPN-Verbindung unnötig belastet.
Ein Layer2-VPN bei dem der VPN-Client mit im Netz des Servers hängt ist Performance-Technisch immer suboptimal, da dann auch Broadcasttraffic die VPN-Verbindung unnötig belastet.
Hallo,
nach einigen Versuchen funktioniert nun der VPN Tunnel.
Ja, der PC bekommt die IP Adresse 10.10.10.10, kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Wie schon Michi sagte steht auf Seite 6 die Lösung - man muss bei Related Settings die Zone auf das jeweilige LAN ändern - in meinem Fall auf LAN1.
Dann Funktionierts auch mit VPN.
Danke nochmals für Eure Hilfe
nach einigen Versuchen funktioniert nun der VPN Tunnel.
Ja, der PC bekommt die IP Adresse 10.10.10.10, kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Wie schon Michi sagte steht auf Seite 6 die Lösung - man muss bei Related Settings die Zone auf das jeweilige LAN ändern - in meinem Fall auf LAN1.
Dann Funktionierts auch mit VPN.
Danke nochmals für Eure Hilfe
kann aber dann ganz normal auf den Server zugreifen, und auch vom Server aus ist der PC erreichbar.
Das ist das tägliche Wunder von IP Routing Glücklicherweise gibts ja noch andere Lösungen mit weniger Fussfallen....
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
