VPN Verbindung klappt - kann jedoch nicht über den entfernten Ziel-PC in ein anderes Netz zugreifen?
Hi ihr.
Ich versuche nun schon seit langem via VPN Verbindung von PC3 den PC6 zu erreichen, siehe wiefolgt:
EDIT am 16.04.2009 11:35:
PING von PC3 NIC1 zu PC5 NIC1 - erfolgreich
PING von PC3 NIC1 zu PC5 NIC2 - erfolgreich !!!!!
PING von PC3 NIC1 zu PC6 NIC1 - NICHT erfolgreich ?!?!?
Warum funktioniert der Ping von PC3 NIC1 ins fremde Netz zu PC5 NIC2, aber der Ping zu PC6 NIC1, welcher sich im selben Netz befindet wie PC5 NIC2 nicht???
Gruß Markus
Ich versuche nun schon seit langem via VPN Verbindung von PC3 den PC6 zu erreichen, siehe wiefolgt:
EDIT am 16.04.2009 11:35:
PING von PC3 NIC1 zu PC5 NIC1 - erfolgreich
PING von PC3 NIC1 zu PC5 NIC2 - erfolgreich !!!!!
PING von PC3 NIC1 zu PC6 NIC1 - NICHT erfolgreich ?!?!?
Warum funktioniert der Ping von PC3 NIC1 ins fremde Netz zu PC5 NIC2, aber der Ping zu PC6 NIC1, welcher sich im selben Netz befindet wie PC5 NIC2 nicht???
Gruß Markus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113865
Url: https://administrator.de/forum/vpn-verbindung-klappt-kann-jedoch-nicht-ueber-den-entfernten-ziel-pc-in-ein-anderes-netz-zugreifen-113865.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
12 Kommentare
Neuester Kommentar
Hast du an PC 5 das Routing aktiviert über die Registry ???
Wie das geht kannst du hier nachlesen:
Dort erfährst du acuh ein paar Details zum Routing selber.
Denk dran an PC 3 und PC 6 die Firewall entsprechend zu customizen, da diese normalerweise Zugriffe aus Fremdnetzen blocken !!
Testweise kannst du sie deaktivieren !!
Wie das geht kannst du hier nachlesen:
Dort erfährst du acuh ein paar Details zum Routing selber.
Denk dran an PC 3 und PC 6 die Firewall entsprechend zu customizen, da diese normalerweise Zugriffe aus Fremdnetzen blocken !!
Testweise kannst du sie deaktivieren !!
Der VPN Tunnel, wird der zwischen den Firewalls aufgebaut oder zwischen den beiden Endgeräten PC-3 und PC-5 ???
Und....ist die Firewall in PC-6 entsprechend angepasst, das sie Pakete aus dem IP Netz 192.168.13.0 /24 durchlässt ??
Im Zweifelsfall klemmst du einen Sniffer mit Wireshark oder dem MS NetMonitor zwischen PC-5 und PC-6 und checkst mal ob Pakete aus dem 13er Netz da überhaupt ankommen !!
Zur Not installierst du den Sniffer direkt auf PC-5 und checkst das dort !!
Und....ist die Firewall in PC-6 entsprechend angepasst, das sie Pakete aus dem IP Netz 192.168.13.0 /24 durchlässt ??
Im Zweifelsfall klemmst du einen Sniffer mit Wireshark oder dem MS NetMonitor zwischen PC-5 und PC-6 und checkst mal ob Pakete aus dem 13er Netz da überhaupt ankommen !!
Zur Not installierst du den Sniffer direkt auf PC-5 und checkst das dort !!
Na tolle Antwort !!!
Also, spann uns hier nicht auf die Folter und poste es !!!
(Oder ist es dir peinlich ??)
Zum Schluss dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Also, spann uns hier nicht auf die Folter und poste es !!!
(Oder ist es dir peinlich ??)
Zum Schluss dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Mmmmhhh, das es an solcher Banalität gescheitert ist hat hier vermutlich keiner gedacht, denn das das Gateway von PC6 logischerweise die NIC von PC5 sein muss hätte dir jeder IP Anfänger sagen können, das ist natürlich sträflich und in deinem falle tödlich für den Ping.
Wenn du das o.a. Tutorial mit den 2 NICs wirklich gelesen hättest hätte dir sofort ein Licht aufgehen müssen !!!
Naja...Schwamm drüber....
Du hast übrigens noch einen gravierenden denkfehler in deiner Beschreibung von oben !
Die statische Route für das 8er netz ist vollkommen überflüssig, denn für PC6 ist das vollkommen irrelevant !
Dieser sieht ja nur die ursprüngliche IP Adresse von PC3 nämlich 192.168.13.167.
Das 8er netzwerk spielt keine Rolle, das ist ja nur ein VPN Tunnel zw. PC3 und PC5.
Das komplette Paket mit Absender 192.168.13.167 und Empfänger 192.168.17.60 wird in ein IP Paket mit 8er Adressen eingepackt.
Der tiefere Sinn eines VPN !!!
Der VPN Tunnelendpunkt an PC5 schneidet aber den 8er Adressheader wieder komplett ab und schickt das Originalpaket weiter.
In der Beziehung ist also das 8er Netz vollkommen irrelevant für PC6 und logischerweise benötigt der auch keine Route dahin.
Ist ja so oder vollkommen überflüssig, denn sein Standardgateway (da wo er alles hinschickt was er nicht kennt und auch das 8er Netz !!) zeigt ja sowieso auf die NIC 2 von PC5
Fazit: Die statische Route an PC6 ist sinnlos und überflüssig.
Dein Kardinalsfehler war nur die vergesslichkeit (oder Unwissenheit) das Standardgateway zu definieren, was in einem gerouetet Umfeld niemals passieren darf.
Zur VPN Funktion solltest du ggf. nochmal einen Wiki Artikel lesen um zu verstehen wie ein VPN Tunnel richtig funktioniert !!!
Aber gut wenn nun alles klappt !
Wenn du das o.a. Tutorial mit den 2 NICs wirklich gelesen hättest hätte dir sofort ein Licht aufgehen müssen !!!
Naja...Schwamm drüber....
Du hast übrigens noch einen gravierenden denkfehler in deiner Beschreibung von oben !
Die statische Route für das 8er netz ist vollkommen überflüssig, denn für PC6 ist das vollkommen irrelevant !
Dieser sieht ja nur die ursprüngliche IP Adresse von PC3 nämlich 192.168.13.167.
Das 8er netzwerk spielt keine Rolle, das ist ja nur ein VPN Tunnel zw. PC3 und PC5.
Das komplette Paket mit Absender 192.168.13.167 und Empfänger 192.168.17.60 wird in ein IP Paket mit 8er Adressen eingepackt.
Der tiefere Sinn eines VPN !!!
Der VPN Tunnelendpunkt an PC5 schneidet aber den 8er Adressheader wieder komplett ab und schickt das Originalpaket weiter.
In der Beziehung ist also das 8er Netz vollkommen irrelevant für PC6 und logischerweise benötigt der auch keine Route dahin.
Ist ja so oder vollkommen überflüssig, denn sein Standardgateway (da wo er alles hinschickt was er nicht kennt und auch das 8er Netz !!) zeigt ja sowieso auf die NIC 2 von PC5
Fazit: Die statische Route an PC6 ist sinnlos und überflüssig.
Dein Kardinalsfehler war nur die vergesslichkeit (oder Unwissenheit) das Standardgateway zu definieren, was in einem gerouetet Umfeld niemals passieren darf.
Zur VPN Funktion solltest du ggf. nochmal einen Wiki Artikel lesen um zu verstehen wie ein VPN Tunnel richtig funktioniert !!!
Aber gut wenn nun alles klappt !
Nein, den Denkfehler machst DU !!!
Sorry aber lies dir mal die Grundlagen von VPN Netzwerken durch und dann kommt dir sicher die Erleuchtung !!
Hier mal ein Ping Weg von PC-3 auf PC-6
...und der Rest ist bekannt.
Das DU hier den Denkfehler machst kannst du dir selber ganz einfach beweisen indem du auf PC-6 einmal einen Wireshark laufen lässt und dir die eingehenden ICMP (Ping) Pakete von PC-3 einmal ansiehst.
Speziell Absender und Empfänger IP Adressen !!!
Danach wirst du vermutlich nicht mehr so vehement rechthaben wollen hier !!!
Sorry aber lies dir mal die Grundlagen von VPN Netzwerken durch und dann kommt dir sicher die Erleuchtung !!
Hier mal ein Ping Weg von PC-3 auf PC-6
- PC-3 erzeugt ein ICMP Echo request Paket (Ping) mit der Quell IP 192.168.13.167 und der Ziel IP 192.168.17.60
- Ein Lookup in der Routing Tabelle sagt ihm das das Zielnetz über seinen VPN Adapter 8.29.34.8 erreichbar ist mit dem Gateway 8.29.76.7.
- Teamviewer bzw. Hamaichi nutzen IPsec im ESP Modus für den VPN Tunnel. Die Abkürzung ESP sagt selber schon was sie macht: Encapsulation Security Payload !!! Der gesamte Ursprungsframe mit der Quell IP 192.168.13.167 und der Ziel IP 192.168.17.60 wird nun komplett in einen IPsec Paket mit der Quell IP 8.29.34.8 und der Ziel IP 8.29.76.7 quasi in einen Huckepack Container über das öffentliche Netzwerk transportiert !!!
- Angekommen beim VPN Server 8.29.76.7 packt dieser das Ursprungspaket wieder aus indem er den Container abschneidet und wegschmeisst und übrig bleibt wieder das originale Paket mit der Quell IP 192.168.13.167 und der Ziel IP 192.168.17.60 !
- Nun sieht PC-5 in seine Routingtabelle und sieht das das 192.168.17er netz direkt an ihm dran ist und forwardet dann das Paket an den Client 192.168.17.60
- Dieser sieht nun die Echo Anforderung und erzeugt ein ICMP Echo Reply Paket (Ping reply) mit der Quell IP 192.168.17.60 und der Ziel IP 192.168.13.167 indem er Quell und Source IP einfach umdreht.
- Default Gate bei ihm zeigt auf PC-5 an den er das Paket schickt (Das was DU vergessen hast !!!)
- PC-5 siehts und kennt das Zielnetz über seinen VPN Tunnel, packt es wieder in den IPsec Container an PC-3
...und der Rest ist bekannt.
Das DU hier den Denkfehler machst kannst du dir selber ganz einfach beweisen indem du auf PC-6 einmal einen Wireshark laufen lässt und dir die eingehenden ICMP (Ping) Pakete von PC-3 einmal ansiehst.
Speziell Absender und Empfänger IP Adressen !!!
Danach wirst du vermutlich nicht mehr so vehement rechthaben wollen hier !!!