hacol22
Goto Top

VPN Verbindung aufbauen - Clientseitig kein DHCP Server

Hallo,

habe ein Problem das ich nicht lösen kann. Vielleicht könnt Ihr mir helfen.
Ich möchte von Standort A eine VPN-Verbindung zur Firma Standort B (VPN Server) aufbauen. Leider läuft in Standort A kein DHCP, das heißt die Workstation bekommt eine feste IP. An dieser Stelle scheitert das ganze.

Standort A hat den IP-Bereich 170.0.1.x und Standort B hat 192.168.79.x, erreichbar über Dyndns.

Gibt es irgendeine Möglichkeit am Client die Netzwerkeinstellungen auf "Feste IP" zu lassen und trotzdem eine Verbindung mit einem Netzwerk aufzubauen auch wenn dieser einen anderen IP-Bereich hat? Bin nicht gerade der VPN Experte - Vielleicht gibt es noch weitere Einstellmöglichkeiten die ich nicht kenne...

Gruß
hacol22

Content-ID: 64884

Url: https://administrator.de/forum/vpn-verbindung-aufbauen-clientseitig-kein-dhcp-server-64884.html

Ausgedruckt am: 24.12.2024 um 16:12 Uhr

oskopik
oskopik 27.07.2007 um 21:35:28 Uhr
Goto Top
verwendest du vpn vom windows 2003 server?
oskopik
oskopik 27.07.2007 um 21:40:27 Uhr
Goto Top
bei windows 2003 server kannst du einen statischen adresspool anlegen.

eine diese adressen dann bei der vpn verbindung am client angeben.

habs nicht getestet aber sollte gehen.
spacyfreak
spacyfreak 27.07.2007 um 22:58:35 Uhr
Goto Top
Dass der Client ne statische Ip hat ist egal - im Tunnel kriegt er eh eine verpasst, die auf den virtuellen Adapter gebunden wird.
hacol22
hacol22 27.07.2007 um 23:23:16 Uhr
Goto Top
@oskopik
Nein, ist kein Server 2003, sondern ein Checkpoint VPN-1 Gateway. Hätte ich vorab schon erwähnen sollen. Das macht die ganze Sache natürlich etwas komplizierter. Muss ich dann am Client diese statische, die am Gateway eingetragen ist, am Client als zweite IP eintragen?

@einfach-mal-die-klappe-halten
Verbunden wird über eine Client-Software, in der man nur die IP bzw. dyndns und Sicherheitseinstellungen eintragen kann, deshalb ist auch kein virtueller Adapter angelegt. Es sind nur die physikalischen Adapter aufgeführt. Der VPN-Gateway vergibt auch per DHCP IP´s, man kann aber auch statische anlegen.

Soll ich jetzt die 170... IP in den Gateway eintragen, genauso wie am Client? Wenn ja passt das doch wieder nicht, weil das Firmennetzwerk eine 192... Netz hat. Wenn ich in den Gateway eine 192... Adressvergabe eintrage, dann bekommt das der Client nicht, weil der Netzwerkadapter nicht auf "automatisch Beziehen" eingestellt ist.
oskopik
oskopik 28.07.2007 um 01:50:44 Uhr
Goto Top
einfach am client vpn programm auf dhcp stellen würde ich sagen.

das gateway und die ip bekommt er dann automatisch.

du meinst ja am vpn router läuft ein dhcp der adressen im bereicht 192.168.79.x vergibt.

was ist das problem?

man muss das im vpc client programm sicher einstellen können -> advanced settings oder so ;)

lg,
otis
spacyfreak
spacyfreak 28.07.2007 um 07:47:09 Uhr
Goto Top
Auf dem VPN Server wird ein IP-Range definiert, der weder aus dem IP-Range des Remote Clients ist, noch aus dem IP-range des Zielnetzes. Also ein gängzlich anderes Netz.

Wenn der Client dann eine Verbindung aufbaut, bekommt er im Tunnel eine von diesen IP-Adressen die auf dem VPN Server konfiguriert wurden.

Eventuell fehlt dir eine Route, damit die Pakete aus dem Netz, in dem der VPN Server steht, den Weg finden.
Ist der auf dem VPN Server konfigurierte IP-Range beispielsweise 10.10.0.0 mit SN-Maske 255.255.0.0, und gehn wir beispielsweise davon aus dass die Checkpoint Kiste die IP 192.168.99.99 hat, dann brauchst die Route

ip route 10.10.0.0 255.255.0.0 192.168.99.99


Auf dem Remote Client siehts bei VPN Verbindung dann so aus:

C:\Dokumente und Einstellungen\georgeWBush>ipconfig
Windows-IP-Konfiguration
Ethernetadapter Drahtlose Netzwerkverbindung:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.178.24
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1

Ethernetadapter LAN-Verbindung:

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung

Ethernetadapter VPN Adapter:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.10.46.78
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 10.10.46.78


So ungefähr hab ich das jedenfalls letzte Woche gemacht, wenn auch nicht mit ner Checkpoint.
hacol22
hacol22 28.07.2007 um 10:00:23 Uhr
Goto Top
OK, genau das ist ja mein Problem. An der Client-Software kann man eben keine IP einstellen. Es gibt auch kein virtuellen Adapter. Stelle ich den physikalischen Adapter auf "automatisch beziehen", hat der Client keine IP und somit keine Internetverbindung da kein DHCP in Standort A.
Der Client hat nur eine physikalische Verbindung, und die muss auf feste IP stehen, sonst kein Internet. Werde das mit der Route testen, vielleicht geht das.

Danke für die Antworten.

Gruß
spacyfreak
spacyfreak 28.07.2007 um 17:48:26 Uhr
Goto Top
Der virtuelle VPN Adapter wird erst aktiv, wenn der VPN Tunnel aufgebaut wurde.
Bei der Installation der client VPN Software wird der Adapter auf dem Client installiert, automatisch.

Beim VPN Client musst du garkeine IP einstellen, die erhält er doch beim Verbindungsaufbau vom VPN Server, aber eben erst im Tunnel. Der client behält ansonsten seine "normale" IP weiter, die hat mit dem VPN Tunnel garnix zu tun.
Der VPN Client muss nur wissen, wo bzw. wie er den VPN Server erreichen kann, sprich welchen Namen oder IP er hat.

Der Rest wird auf dem VPN Server eingestellt, also welche Verschlüsselungsparameter, SAs, ESP, Tunnel oder Transport Modus, IP-Range für Clients usw.
hacol22
hacol22 28.07.2007 um 18:01:59 Uhr
Goto Top
ja stimmt, du hast recht. Ich hatte immer dann nach einem virtuellen Adapter gesucht als noch keine VPN Verbindung aufgebaut war. Erst nach der Verbindung erscheint dieser Adapter.

Habe es so gelöst wie du es oben beschrieben hattest. Das war eine sehr gute Idee von Dir. Eine dritte IP-Range die nicht existiert in den VPN-Gateway als IP-Vergabe eingetragen und eine Weiterleitung eingerichtet. So habe ich auch die Möglichkeit bestimmte Ports für die Weiterleitung des dritten IP-Range zu sperren. Hat somit weitere Vorteile mit sich gebracht. War eine schwere Geburt. Vielen Dank!

Gruß
hacol22
Viper-821
Viper-821 10.08.2007 um 07:42:59 Uhr
Goto Top
Hallo

Ich wuerde als erstes Versuchen der Netzwerkkarte in Standort A eine zweite Adresse zuzuweisen
die der im Standort B entspricht.
Gruss Viper