heparus
Goto Top

VPN Verbindungen scheitern, wenn Client-IP und Netz des Standortes gleich sind

Hallo zusammen,

ich hoffe dass man mir hier helfen kann, denn allmählich gehen mir die Ideen aus, wie ich das Problem lösen kann.

Zur Situation:

Ich habe einen Server mit 2 Netzwerkkarten, die mit verschiedenen IP's belegt sind.

1.NIC: 192.168.001.021

2.NIC: 192.168.071.021

Über die 1. NIC kommen die Anfragen aus dem Firmennetzwerk an den WEB-Datenbank-Server (WIN SBS 2k3 mit ISS, MSSQL 2005 und WSS3.0)

Die 2. NIC soll die Anfragen der VPN-Clients an den WEB-DB-Server managen.

Nun kann es vorkommen, wenn unsere Außendienstler unterwegs sind, dass diese Ihren Client in einem Netzwerk haben,
in dem sie ebenfalls eine IP-Adresse aus dem Bereich 192.168.001.000-192.168.001.255 beziehen. Mein Server hat nun das Problem,
dass er 2 mal den selben Netzbereich sieht. Die Folge währe, er bekommt die Anfrage, kann aber nicht antworten, da er den VPN-Client
im Netzwerkbereich der 1. NIC sucht. Der Außendienstler bekommt jetzt natürlich die Timeout-Fehlermeldung der Web-Anwendung.
Überschneiden sich die Netzwerkbereiche nicht, habe ich kein Problem den Server über die 192.168.71.21 zuerreichen.

Das Problem würde ja gelöst sein, in dem ich einfach die IP-Range des Firmennetzwerkes ändern würde. Leider ist dies zur Zeit nicht möglich,
da wir verschiedene selbstgeschriebene Programme haben, bei denen wir uns nicht sicher sein können, dass nicht irgendwo
eine feste IP im Quellcode steht. Die Anwendungen sind alle im Laufe der letzten 10 Jahre entstanden und nicht alle Entwickler sind
heute noch bei uns. Leider liegt auch keine Doku für die verschieden Programme vor, welche auf diesen Themen-Bereich eingeht und ein
Try-And-Error-Ausschluß-Verfahren können und wollen wir nicht durchführen.

Ich bin jetzt also auf der Suche nach einer Lösung, wie ich den Server dazu bringe auf Anfragen der Clients zu reagieren, obwohl eine Überschneidung
der IP-Adressen existieren könnte.

Eine Überlegung von mir war auf dem IIS die WEB-Anwendung 2x laufen zulassen (nur den HTML-Krempel nicht die DB), und jeder dieser Anwendungen eine eigene Netzwerkkarte
zuweisen zulassen. Ich bin mir aber nicht sicher ob dies der Schlüssel zum Erfolg währe. Da die Sharepoint-Services zu diesem Anwendungskonstrukt dazugehören, währe diese
Lösung sehr aufwendig. Ich weiss auch nicht ob sie funktionieren würde. Habt Ihr/ Haben Sie eine Idee, wie ich diese Problem recht zeitnah und ohne großen Aufwand lösen könnte.

Ich bedanke mich im Vorraus für eure / Ihre Antworten.

Content-ID: 99324

Url: https://administrator.de/contentid/99324

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

aqui
aqui 15.10.2008 um 19:41:53 Uhr
Goto Top
Ums gleich vorwegzunehmen: Du hast keine Chance !
Das ist eins der Grundregeln beim Einsatz von VPNs das diese IP Netze niemals gleich sein duerfen.
Damit schaffst du ein IP Routing Problem, denn der VPN Server kann niemals mehr unterscheiden in welches netz er routen soll !!

Stell dir vor du bist Brieftraeger und du hast 4 Briefe von Lieschen Mueller, Bergstrasse, Bergstadt Jetzt gibt es 3 Bergstadt in Deutschland, 10 in Amerika, 5 in Oesterreich und 4 in der Schweiz.
Was machst du nun ????
In genau dergleichen Situation steckt dein VPN Server !!!

Der Kardinalsfehler ist schon viel frueher gemacht worden beim IP Design des Firmennetzes.
Es zeugt nicht gerade von profundem Fachwissen und Nachdenken mit IP Planungshorizont gerade das duemmste und schlechteste aller RFC 1918 Netzwerke naemlich 192.168.1.x als Firmennetzwerk zu verwenden ! Sorry....
Jeder popelige Router vom Bloedmarkt vom Grabbeltisch verwendet auch dieses IP Netzwerk so das VPN Probleme damit automatisch vorprogrammiert sind... Wie gesagt..kurzsichtiger Planungsfehler vermutlich durch Unwissen des NetAdmins !!

Der RFC 1918 gibt allen eine weitreichende IP Wahlmoeglichkeit:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Es waere also weitaus schlauer gewesen 172.16 - 32 er oder 10er Adressen zu verwenden als nun gerade die dummen 192.168er Adressen die dich festnageln, gerade beim VPN Einsatz.

Fazit: Keine Chance !! Firmennetzwerk in der IP umstellen oder als einzige machbare Alternative den VPN Host mit einem Router (z.B. Linksys WRT54G) isolieren vom Firmennetz, ihm eine neue gescheite IP zum Firmennetz zu geben und NAT zum Firmennetz zu machen. Das waere der einzige Workaround den du hast mit allen Problemen die dir dann Port Forwarding vom Firmennetz zum Server beschert.

Das saehe dann so aus:

(Firmennetz)---192.168.1.0---(NAT Router)---172.31.1.0---(VPN-Server)---192.168.71.0---(VPN-Dialin)
oh2204
oh2204 16.10.2008 um 08:10:36 Uhr
Goto Top
Hi,

oder du verpasst dem Notebook eine UMTS- Karte face-smile


Gruß
heparus
heparus 16.10.2008 um 08:13:04 Uhr
Goto Top
Hallo aqui,


vielen Dank für deine Information. Es ist also wie ich befürchtet habe und so wie es mein Vorgesetzter ablehnt. Ein Redesign des Netzes ist zur Zeit nicht möglich, da wir lange noch nicht alle Leichen im Keller gefunden haben. Die Firma ist in den letzten Jahren explodiert, ohne dass der IT genügend Zeit eingeräumt wurde, die entsprechenden Änderungen vorzunehmen. Und seit man meinem Brötchengeber den Floh mit dem Dokumentenmanagemnt-System, welches über VPN ja für alle erreichbar ist, ins Ohr gesetzt hat. Kämpfen wir mit den Nachwehen, was in den letzten 10 Jahren alles versäumt wurde.
heparus
heparus 16.10.2008 um 08:20:00 Uhr
Goto Top
Zitat von @oh2204:
Hi,

oder du verpasst dem Notebook eine UMTS- Karte face-smile


Gruß

Hallo oh2204,

gute Idee, aber dafür sind es leider zuviele "Nootbooks". Ich habe zur Zeit 2 Niederlassungen in Übersee, eine dritte ist für nächstes Jahr in Kanada geplant und rund 40 Außendienstler in Deutschland. Für die Niederlassungen konnte ich Klasse B-Netze einrichten, da dieser erst letztes Jahr entstanden sind. Probleme machen mir die kleinen Hotel- und Pansionsnetze, wenn sich abends meine Außendienstler zu uns einwählen wollen.

Gruß

Elmar
oh2204
oh2204 16.10.2008 um 08:31:27 Uhr
Goto Top
Hi,

hmm naja aber da gibts doch für Firmen extra Verträge wenn du so viele Notebooks im Einsatz hast. Ich kenne viele die sich über UMTS ins Firmennetz einklicken und so schlecht finde ich das auch nicht. Vorteil ist natürlich das der Nutzer sich von (fast) überall auf der Welt (China ist eine ausnahme) verbinden kann, doch dass Notebook darf halt nicht verloren gehen face-smile

MfG
heparus
heparus 16.10.2008 um 10:11:20 Uhr
Goto Top
Du magst recht haben, aber dann müssten alle Außendienstler auch Angestellte der Firma sein. Wir haben aber auch Cooperationspartner, Freiberufler und Co. im Einsatz, die auf das Dokumentenmanagmentsystem zugreifen sollen, und die haben leider nicht nur Laptops.