roterfruchtzwerg
Goto Top

Windows 10 als NAT Gateway im LAN

Hallo zusammen,
ich habe ein häusliches LAN in dem zwei Windows 10 Rechner hängen (je nur ein LAN Interface) und die via FritzBox Internet haben.
Einer der zwei Rechner hat eine VPN Software über die eine spezielle IP Adresse erreichbar ist.
Ich möchte dass diese IP von beiden Rechnern erreicht werden kann.

Ich kann nun in der FritzBox oder am W10 Rechner der das VPN nicht hat eine Route für diese IP konfigurieren und als Gateway den W10 Rechner mit dem VPN eintragen.

Ich habe ähnliches schon oft mit IP Routing gemacht. Dazu musst dann auf dem W10 Rechner der Gateway ist das IP Routing aktiviert werden.

In diesem Fall geht aber Routing nicht, da das VPN nur die Client-IP des W10 Rechners akzeptiert. Der Gateway Rechner muss also NAT machen.

Wie kann ich das erreichen?

Ich kenne noch die "Internetverbindungsfreigabe", aber die zerlegt mir gleich die ganze Netzkonfiguration und haut mir einen DHCP ins LAN.

Das geht doch sicher einfacher?

Vielen Dank!

Content-ID: 571466

Url: https://administrator.de/forum/windows-10-als-nat-gateway-im-lan-571466.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

itisnapanto
itisnapanto 13.05.2020 um 14:28:04 Uhr
Goto Top
Moin ,

das einfachste ist wenn du die Fritzbox den VPN Tunnel aufbauen lässt. Alternativ auch den Zweiten Rechner auch eine VPN aufbauen lassen.
Oder wende dich an den VPN Admin.

Gruss
aqui
aqui 13.05.2020 aktualisiert um 14:47:05 Uhr
Goto Top
Wie kann ich das erreichen?
Auf dem VPN Rechner must du IPv4 Forwarding (Routing) aktivieren ! Das hast du vermutlich nicht gemacht.
Im Default ist das bei Windows 10 immer deaktiviert so das der Windows Rechner keine Pakete vom LAN ins VPN forwarden kann.
Aktiviere das über die Registry und trage wie du schon oben richtig gesagt hast die statische IP Route in das VPN Zielnetz auf deiner FritzBox ein, dann sollte das problemlos klappen.
Hier kannst du das sehen am Beispiel eines OpenVPN Windows 10 Client Rechners:
Merkzettel: VPN Installation mit OpenVPN
RoterFruchtZwerg
RoterFruchtZwerg 13.05.2020 um 14:45:55 Uhr
Goto Top
Grüße,
Danke, aber das sind keine Optionen. Ich brauche eine Lösung für genau das vorgeschlagene Setup, keine alternative. Alternativen habe ich schon dutzende durchgespielt. Ausserdem ist in der Realität auch alles wesentlich komplexer als ich es beschrieben habe...
Ich habe versucht die Fragestellung auf das Wesentliche zu reduzieren.
RoterFruchtZwerg
RoterFruchtZwerg 13.05.2020 um 14:48:39 Uhr
Goto Top
Danke, das kann ich machen und kenne ich, ja. Aber dann wird nur geroutet. Sprich, das IP Paket geht mit der LAN-IP des zweiten Rechners in den VPN Tunnel und der VPN Gateway am gegenüberliegenden Ende kann mit dieser IP nichts anfangen und dort kann ich auch kein Routing konfigurieren (das "VPN" ist auch etwas komplexer). Das Paket wird verworfen, weil die Absender-IP nicht die ist die der VPN Client hat.
Daher brauche ich hier das NAT...
aqui
aqui 13.05.2020 aktualisiert um 14:56:52 Uhr
Goto Top
Der Windows Rechner macht aber dann kein NAT in den VPN Tunnel. Er routet nur. Der 2te Rechner taucht dann am Ziel natürlich mit einer Absender IP aus dem lokalen LAN auf. Dafür muss es dann entsprechend auch eine Rückroute geben.
Ist das nicht der Fall hast du über Windows rein nur die Chance ICS (Connection Sharing) zu aktivieren wie oben schon gesagt wurde.
Microsoft erzwingt dann aber eine fest codierte LAN IP Netzwerk Adresse die du dann nicht mehr frei wählen kannst und die dann ggf. mit deiner bestehenden kollidiert.
Wenn du bei Windows bleiben willst und NAT zwingend ist musst du in diesen sauren (Microsoft) ICS Apfel beissen. Anders geht es definitiv nicht. Jedenfalls solange du bei einem Microsoft OS bleiben willst oder musst.
Details zum Windows ICS kannst du hier nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Eine alternative Lösung gibt es dann nur mit einer anderen Hardware oder einem anderen OS wie z.B. einem 20 Euro Mikrotik Router oder einem RaspberryPi. Beide supporten so gut wie alle VPN Protokolle und du kannst dann im Tunnel auch problemlos NAT machen.
StefanKittel
StefanKittel 13.05.2020 um 15:08:00 Uhr
Goto Top
Hallo,

es kommt ein bischen auf die Verbindung an.
Du könntest schauen ob es eine TCP-Proxy-Software für Windows gibt.
Wo man also einen einzelnen Port weiterleitet.

Stefan
RoterFruchtZwerg
RoterFruchtZwerg 13.05.2020 aktualisiert um 15:23:19 Uhr
Goto Top
Ich dachte Windows kann NAT face-sad
Vor 20 Jahren hab ich dafür "WinRoute 4.5" installiert, das konnte NAT. Ich hätte auch nichts gegen ein kleines Tool.

Mein Problem ist, das muss keine Dauerlösung sein, sondern eine schnelle Lösung.
Aktuell behelfe ich mir mit https://github.com/vakuum/tcptunnel auf dem Gateway, was sehr mühsam ist, da ich jede TCP Verbindung einrichten muss und ausserdem am zweiten W10 Rechner die Ziel-IP ändern muss... Aber zumindest geht es 😬

Edit: WinRoute gibt es anscheinend noch. face-smile
Sicher dass Windows 10 das nicht kann?
aqui
aqui 13.05.2020 aktualisiert um 15:59:53 Uhr
Goto Top
Ich dachte Windows kann NAT
Kann es ja auch mit ICS. Aber dann eben nur zu den Microsoft Bedingungen ! Du solltest auch nicht vergessen das das ein Rechner Betriebssystem ist und nicht das eines vollwertigen Routers. Also statt denken mal nachdenken face-wink Microsoft Knechte müssen mit dem leben was sie da vorgesetzt bekommen. Wenn du Freiheit willst hast du das falsche Betriebssystem ! Solche banalen Binsenweisheiten kennt aber auch jeder ITler.
Aber zumindest geht es
Da muss man dann halt etwas frickeln...aber wenns so klappt ist ja gut.
Sicher dass Windows 10 das nicht kann?
Ganz sicher ! Frag sonst die Winblows Gurus hier... face-wink
117471
117471 13.05.2020 um 22:56:04 Uhr
Goto Top
Hallo,

vermutlich denkt die Fritz!Box - wie die meisten Firewalls, dass ein Gateway immer im WAN statt im LAN ist.

Ich würde eher dazu tendieren, auf dem zweiten Rechner eine Route zu setzen.

Wenn das VPN das nicht unterstützt, können wir die Diskussion eigentlich beenden?!?

Gruß,
Jörg
RoterFruchtZwerg
RoterFruchtZwerg 14.05.2020 um 08:35:31 Uhr
Goto Top
Danke, ja die Idee hatte ich auch als nicht ganz so schöne Zwischenlösung.
Windows kann das übrigens out of the box wie ich festgestellt habe:

netsh interface portproxy add v4tov4 listenport=123 connectaddress=1.2.3.4 connectport=456 listenaddress=0.0.0.0 protocol=tcp
aqui
aqui 14.05.2020 aktualisiert um 11:03:06 Uhr
Goto Top
Ich würde eher dazu tendieren, auf dem zweiten Rechner eine Route zu setzen.
Nützt aber herzlich wenig wenn es im VPN Zielnetz keinerlei Rückroute in sein lokales LAN gibt, denn dann versanden die Antwortpakete von dort im Nirwana.
In dem Punkt ist der Fruchtzwerg dann, wie er schon sagt, zwingend auf NAT angewiesen !
Windows kann das übrigens out of the box
Das ist aber kein NAT bzw. PAT sondern lediglich eine simple Proxy Funktion.