Zugriff auf LAN hinter PC-Router über VPN
Ein Freundliches Hallo!
Ich stöbere eine weile schon hier im Forum und fand einige Anleitungen zum Thema PC-Router mit zwei Netzwerkkarten. Leider funktioniert es trotzdem nicht wie es soll.
Ausgangssituation:
PC1 ---(<VPN>Router1 ----- DSL-Modem1---Internet---DSL-Modem2---Router2/<VPN>)---PC2----PC3
Daten dazu:
PC1(Win XP Prof. SP2)
IP:192.168.101.x
Subnet:255.255.255.0
Router1(errichtet VPN Tunnel zu Router2 über das Internet)(DrayTec Vigor 2910)
IP:192.168.101.254(zum LAN)
Subnet:255.255.255.0
DHCP für 101.x
DSL-Modem1 (D-Link 380T)
IP:192.168.1.1
Subnet:255.255.255.0
transparent im Bridgemodus
DSL-Modem2 (D-Link 380T)
IP:192.168.0.1
Subnet:255.255.255.0
transparent im Bridgemodus
Router2 (ende des VPN Tunnels)(DrayTec Vigor 2910)
IP:192.168.103.254(zum LAN)
Subnet:255.255.255.0
statische Route für 120.0 auf 192.168.103.10
DHCP für 103.x
PC2(WIN XP Prof.SP2)
NIC 1
IP:192.168.103.10(fest/statisch)
Subnet:Subnet:255.255.255.0
Gateway:192.168.103.254
NIC 2
IP:192.168.120.74(DHCP)
Subnet:Subnet:255.255.255.0
Standardgateway 192.168.120.254(weil über den ein anderes Internet läuft)
in der registry Ip routing aktiviert, keine statischen Routen
PC3(WIN Server 2003)
IP:192.168.120.254
Subnet:255.255.255.0
Gateway für eigenen Internetanschluss im 120.x Netz, außerdem DHCP server für 120.x
Wunschvorstellung: ein Ping von PC1 zu PC3
Was geht:
Ping von PC1 zu Router 2
Ping von PC1 zu PC2 auf NIC1
Ping von Router2 zu PC2 auf NIC1
Ping von PC2 zu PC3 über NIC 2
Was nicht geht:
Ping von Router2 zu PC3 oder PC2 auf NIC 2 , ergo gesamtes Subnetz nach PC2 aus Richtung PC1
Ich habe soweit alles wie in den tutorials beschrieben eingerichtet. Gibt es eine Möglichkeit das Routing des PC2 zu testen, außer in der Registry nachzuschaun?
Leider kann ich auch auf dem Router1 keine Statische Router für das 120.0 sub auf das VPN Umlenken, mit dem 103.0 sub bin ich dagegen über die LAN-to-LAN VPN Einstellung verbunden.
Habe mit den daten dieser LAN-to-LAN noch eine Verbindung zu 120.0 Netz eingerichtet, scheint aber nciht zu funktioieren, da diese nicht in der Routingtabelle auftaucht.
Router bieten gute Diagnosemöglichkeiten von Ping/trace bis Routingtabelle und Arp, also wenn da Infos gewünscht werden poste ich die auch.
sieht ziemlich kompliziert aus, lässt sich aber nicht anders machen. Ich hoffe es ist einigermaßen durchsichtig.
Ansonsten einfach Fragen stellen.
Danke fürs lesen und für eventuelle Tips im Vorraus
Ich stöbere eine weile schon hier im Forum und fand einige Anleitungen zum Thema PC-Router mit zwei Netzwerkkarten. Leider funktioniert es trotzdem nicht wie es soll.
Ausgangssituation:
PC1 ---(<VPN>Router1 ----- DSL-Modem1---Internet---DSL-Modem2---Router2/<VPN>)---PC2----PC3
Daten dazu:
PC1(Win XP Prof. SP2)
IP:192.168.101.x
Subnet:255.255.255.0
Router1(errichtet VPN Tunnel zu Router2 über das Internet)(DrayTec Vigor 2910)
IP:192.168.101.254(zum LAN)
Subnet:255.255.255.0
DHCP für 101.x
DSL-Modem1 (D-Link 380T)
IP:192.168.1.1
Subnet:255.255.255.0
transparent im Bridgemodus
DSL-Modem2 (D-Link 380T)
IP:192.168.0.1
Subnet:255.255.255.0
transparent im Bridgemodus
Router2 (ende des VPN Tunnels)(DrayTec Vigor 2910)
IP:192.168.103.254(zum LAN)
Subnet:255.255.255.0
statische Route für 120.0 auf 192.168.103.10
DHCP für 103.x
PC2(WIN XP Prof.SP2)
NIC 1
IP:192.168.103.10(fest/statisch)
Subnet:Subnet:255.255.255.0
Gateway:192.168.103.254
NIC 2
IP:192.168.120.74(DHCP)
Subnet:Subnet:255.255.255.0
Standardgateway 192.168.120.254(weil über den ein anderes Internet läuft)
in der registry Ip routing aktiviert, keine statischen Routen
PC3(WIN Server 2003)
IP:192.168.120.254
Subnet:255.255.255.0
Gateway für eigenen Internetanschluss im 120.x Netz, außerdem DHCP server für 120.x
Wunschvorstellung: ein Ping von PC1 zu PC3
Was geht:
Ping von PC1 zu Router 2
Ping von PC1 zu PC2 auf NIC1
Ping von Router2 zu PC2 auf NIC1
Ping von PC2 zu PC3 über NIC 2
Was nicht geht:
Ping von Router2 zu PC3 oder PC2 auf NIC 2 , ergo gesamtes Subnetz nach PC2 aus Richtung PC1
Ich habe soweit alles wie in den tutorials beschrieben eingerichtet. Gibt es eine Möglichkeit das Routing des PC2 zu testen, außer in der Registry nachzuschaun?
Leider kann ich auch auf dem Router1 keine Statische Router für das 120.0 sub auf das VPN Umlenken, mit dem 103.0 sub bin ich dagegen über die LAN-to-LAN VPN Einstellung verbunden.
Habe mit den daten dieser LAN-to-LAN noch eine Verbindung zu 120.0 Netz eingerichtet, scheint aber nciht zu funktioieren, da diese nicht in der Routingtabelle auftaucht.
Router bieten gute Diagnosemöglichkeiten von Ping/trace bis Routingtabelle und Arp, also wenn da Infos gewünscht werden poste ich die auch.
sieht ziemlich kompliziert aus, lässt sich aber nicht anders machen. Ich hoffe es ist einigermaßen durchsichtig.
Ansonsten einfach Fragen stellen.
Danke fürs lesen und für eventuelle Tips im Vorraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 88059
Url: https://administrator.de/contentid/88059
Ausgedruckt am: 19.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Ähm, warum vergibst du der NIC2 auf PC2 eine dynamische IP über DHCP? Verwende hier mal eine feste IP ...
Danach solltest du auf dem Router2 eine statische Route in das .120.0 Netzwerk einrichten. Meiner Meinung sollte es danach laufen...
EDIT: Schau mal was hier unten drunter steht, das sollte helfen können:
Danach solltest du auf dem Router2 eine statische Route in das .120.0 Netzwerk einrichten. Meiner Meinung sollte es danach laufen...
EDIT: Schau mal was hier unten drunter steht, das sollte helfen können:
Ein Ping von Router 2 auf PC3 kann niemals funktionieren, da der PC3 ein falsches Gateway eingestellt hat. Das Ping reply Packet geht also ganz woanders hin auf dem Rueckweg und niemals zu Router 2. Dort muesste damit es funktioniert 192.168.120.74 stehen also der Router PC2 !
Auch darf hier auf der NIC2 an PC2 niemals ein Standardgateway stehen,denn nun weiss PC2 nicht mehr was er machen soll, da er 2 Standardgateways hat.
So wird das also nichts, denn das Routing ist nicht sauber,da du verschiedene Gateways nutzt. Das musst du entsprechend aendern damit es rennt.
Das ist auch der Weg das Routing durch PC2 sauber zu testen. Das o.a. Tutorial beschreibt auch einen Packet Weg mit dem du den Weg nachvollziehen kannst.
Das separate Routing im .120 Netz kannst du dann nur noch mit dedizierten Routen auf dem Endgeraet loesen...
Dein Netzwerk müsste dann so aussehen:
Wie bereits gesagt: Wichtig ist der Gateway Eintrag an PC-3. Wenn der, wie du ja selber schreibst, nicht auf den PC-2 Router zeigt kann ein Ping ins .103er und .101 Netz niemals was werden, da Ping replys aus den .103.0er Segment und ggf. auch aus dem .101.0er Segment dann über den weiteren Internet Router im .120.0er Segment (der ja Gateway von PC-3 ist...) ins IP Nirwana rennen !
Damit das klappt müssen folgende Punkte verändert werden:
Damit sollte dein Routing dann sauber funktionieren !! Wenn dem so ist solltest du dann die o.a. Routen mit einem -p als Parameter versehen, damit sie permanent werden und nicht nach einem Rebbot wieder verschwinden !!!
Die genaue Syntax ist dann folgende:
route ADD 192.168.103.0 MASK 255.255.255.0 192.168.120.74 -p
route ADD 192.168.101.0 MASK 255.255.255.0 192.168.120.74 -p
Auch darf hier auf der NIC2 an PC2 niemals ein Standardgateway stehen,denn nun weiss PC2 nicht mehr was er machen soll, da er 2 Standardgateways hat.
So wird das also nichts, denn das Routing ist nicht sauber,da du verschiedene Gateways nutzt. Das musst du entsprechend aendern damit es rennt.
Das ist auch der Weg das Routing durch PC2 sauber zu testen. Das o.a. Tutorial beschreibt auch einen Packet Weg mit dem du den Weg nachvollziehen kannst.
Das separate Routing im .120 Netz kannst du dann nur noch mit dedizierten Routen auf dem Endgeraet loesen...
Dein Netzwerk müsste dann so aussehen:
Wie bereits gesagt: Wichtig ist der Gateway Eintrag an PC-3. Wenn der, wie du ja selber schreibst, nicht auf den PC-2 Router zeigt kann ein Ping ins .103er und .101 Netz niemals was werden, da Ping replys aus den .103.0er Segment und ggf. auch aus dem .101.0er Segment dann über den weiteren Internet Router im .120.0er Segment (der ja Gateway von PC-3 ist...) ins IP Nirwana rennen !
Damit das klappt müssen folgende Punkte verändert werden:
- Gateway und DNS IP an NIC-2 von PC-2 entfernen
- Wenn das default Gate von PC-3 auf den weiteren Internet Router im .120.0er Segment zeigt folgende statische Routen auf PC-3 eingeben:
- route ADD 192.168.103.0 MASK 255.255.255.0 192.168.120.74
- route ADD 192.168.101.0 MASK 255.255.255.0 192.168.120.74
Damit sollte dein Routing dann sauber funktionieren !! Wenn dem so ist solltest du dann die o.a. Routen mit einem -p als Parameter versehen, damit sie permanent werden und nicht nach einem Rebbot wieder verschwinden !!!
Die genaue Syntax ist dann folgende:
route ADD 192.168.103.0 MASK 255.255.255.0 192.168.120.74 -p
route ADD 192.168.101.0 MASK 255.255.255.0 192.168.120.74 -p
Das Problem ist das PC2 dann 2 Standardgateways hat !!! Welches der beiden sollte deiner Meinung der PC-2 denn verwenden wenn er routen will ??? Der IP Stack ist nicht so intelligent das er sich den passenden aussucht, das musst DU ihm schon vorgeben und das eindeutig !!
Du siehst, vor genau dieser unlösbaren Entscheidung steht der PC-2 auch und kann sie natürlich nicht lösen ohne eindeutige Gateway oder Routing Anweisung
Vermutlich entscheidet Winblows dann nach der Bindungsreihenfolge der Adapter welches Gateway es nutzt aber das ist natürlich dann zufälliger Krampf und eine unsaubere Konfiguration die unbedingt zu vermeiden ist, deshalb musst du dich für ein Gateway entscheiden !
Du kannst das natürlich auch an NIC-2 lassen, wenn du den Router im 120.0er Segment mit dem PC-2 fürs Internet benutzen willst und nur die VPN Verbindung über NIC-1 bedienen willst.
Das geht natürlich auch problemlos, allerdings musst du dann in der Tat, wie du richtig bemerkst, dem PC-2 eine zusätzliche statische Route dahin konfigurieren mit:
route ADD 192.168.101.0 MASK 255.255.255.0 192.168.103.254 -p
Der default Gateway Eintrag von NIC-1 muss in dem Falle natürlich entfernt werden, damit das Routing wieder sauber und eindeutig ist.
Noch ein Tip: Du kannst übrigens mit dem Traceroute Kommando ("tracert" oder "pathping" bei Windows !) immer einfach deine Routing Wege Hop für Hop verfolgen und checken !
Du siehst, vor genau dieser unlösbaren Entscheidung steht der PC-2 auch und kann sie natürlich nicht lösen ohne eindeutige Gateway oder Routing Anweisung
Vermutlich entscheidet Winblows dann nach der Bindungsreihenfolge der Adapter welches Gateway es nutzt aber das ist natürlich dann zufälliger Krampf und eine unsaubere Konfiguration die unbedingt zu vermeiden ist, deshalb musst du dich für ein Gateway entscheiden !
Du kannst das natürlich auch an NIC-2 lassen, wenn du den Router im 120.0er Segment mit dem PC-2 fürs Internet benutzen willst und nur die VPN Verbindung über NIC-1 bedienen willst.
Das geht natürlich auch problemlos, allerdings musst du dann in der Tat, wie du richtig bemerkst, dem PC-2 eine zusätzliche statische Route dahin konfigurieren mit:
route ADD 192.168.101.0 MASK 255.255.255.0 192.168.103.254 -p
Der default Gateway Eintrag von NIC-1 muss in dem Falle natürlich entfernt werden, damit das Routing wieder sauber und eindeutig ist.
Noch ein Tip: Du kannst übrigens mit dem Traceroute Kommando ("tracert" oder "pathping" bei Windows !) immer einfach deine Routing Wege Hop für Hop verfolgen und checken !
Kannst du so oder so nicht, da die öffentlichen Provider IPs für den Tunnel und das Routing im Tunnel vollkommen unerheblich sind !!! Die dienen nur einzig und allein dazu den Tunnel aufzubauen für sonst nichts ! Was du im Tunnel darüberschiebst ist nicht sichtbar für diese Adressen und darf es auch niemals sein !!
Das wäre auch fatal, da du ja wie viele andere Admins richtigerweise RFC 1918 Private-IPs benutzt die im Internet nicht geroutet werden bzw. beim Provider automatisch sofort in den Datenmülleimer wandern ! (Accessliste)
Die Router behandeln das also strikt getrennt was VPN Tunnel und öffentliche IPs sind... Müssen sie aus den o.a. Gründen ja auch zwingend tun !!!
Um eine statische Route anzugeben kannst du immer die LAN IP des gegenüberliegenden VPN Routers als next Hop bzw. Gateway nehmen wenn man den Tunnel nicht selber als Gateway angeben kann im Setup.
Dafür ist wichtig die Rolle zu wissen. Also welcher Router ist VPN Server und wer ist Client bzw. wählt sich auf. Der Client bekommt im Tunnel meist die Adressen vom Server zugeteilt und das sind immer LAN Adressen des Servers.
Bei guten Routern funktioniert das immer problemlos und ermöglicht so andere IP Netze die sich noch am remoten Standort befinden zu erreichen, wie das bei dir ja der Fall ist.
Für deinen Router 1 müsste dann die Route:
Zielnetz: 192.168.120.0, Maske: 255.255.255.0, Gateway: 192.168.103.254
Eigentlich zum Ziel führen. Voraussetzung ist das PC-2 dann analog (wenn er den Router im .120.0er Segment benutzt) eine statische Route mit
route add 192.168.101.0 mask 255.255.255.0 192.168.103.254 -p
konfiguriert hat !!
Analog gillt das außerdem für den PC-3 sofern der auch den Router im .120.0er Segment als Standardgateway definiert hat. Auch hier müssen dann zwingend 2 statische Routen rein:
route add 192.168.103.0 mask 255.255.255.0 192.168.120.74 -p
route add 192.168.101.0 mask 255.255.255.0 192.168.120.74 -p
Was du aber vermutlich in einem Fall schon gemacht hast denn sonst könntest du von PC-3 ja den Router-2 nicht pingen
Traceroute:
Da wo traceroute aufhört und Sternchen kommen, ist dann auch meist der Fehler zu suchen, der sich meist immer durch einen fehlende Route äußert !
Das wäre auch fatal, da du ja wie viele andere Admins richtigerweise RFC 1918 Private-IPs benutzt die im Internet nicht geroutet werden bzw. beim Provider automatisch sofort in den Datenmülleimer wandern ! (Accessliste)
Die Router behandeln das also strikt getrennt was VPN Tunnel und öffentliche IPs sind... Müssen sie aus den o.a. Gründen ja auch zwingend tun !!!
Um eine statische Route anzugeben kannst du immer die LAN IP des gegenüberliegenden VPN Routers als next Hop bzw. Gateway nehmen wenn man den Tunnel nicht selber als Gateway angeben kann im Setup.
Dafür ist wichtig die Rolle zu wissen. Also welcher Router ist VPN Server und wer ist Client bzw. wählt sich auf. Der Client bekommt im Tunnel meist die Adressen vom Server zugeteilt und das sind immer LAN Adressen des Servers.
Bei guten Routern funktioniert das immer problemlos und ermöglicht so andere IP Netze die sich noch am remoten Standort befinden zu erreichen, wie das bei dir ja der Fall ist.
Für deinen Router 1 müsste dann die Route:
Zielnetz: 192.168.120.0, Maske: 255.255.255.0, Gateway: 192.168.103.254
Eigentlich zum Ziel führen. Voraussetzung ist das PC-2 dann analog (wenn er den Router im .120.0er Segment benutzt) eine statische Route mit
route add 192.168.101.0 mask 255.255.255.0 192.168.103.254 -p
konfiguriert hat !!
Analog gillt das außerdem für den PC-3 sofern der auch den Router im .120.0er Segment als Standardgateway definiert hat. Auch hier müssen dann zwingend 2 statische Routen rein:
route add 192.168.103.0 mask 255.255.255.0 192.168.120.74 -p
route add 192.168.101.0 mask 255.255.255.0 192.168.120.74 -p
Was du aber vermutlich in einem Fall schon gemacht hast denn sonst könntest du von PC-3 ja den Router-2 nicht pingen
Traceroute:
Da wo traceroute aufhört und Sternchen kommen, ist dann auch meist der Fehler zu suchen, der sich meist immer durch einen fehlende Route äußert !
- Das mit der festen Route auf dem Router hab ich so eingetragen funktioniert aber nicht. ...
- PC-2 hat den 192.168.103.254 als standard gateway braucht somit wohl keine Extraroute...
- Die anderen beiden Routen sind eingerichtet soweit....
- Ne Merkwürdigkeit ist, dass ein Ping von Router2 zu PC-3 läuft, aber kein Tracert. Der Trace geht auf das interne Netzinterface vom Router und danach weg(weil vermutlich im Internet und vom Provider gedroppt)
Der Grund ist vermutlich das dein PC-2 noch eine Firewall am Laufen hat und die die ICMP Packete vom Traceroute filtert. Traceroute nutzt ICMP Typ 11 und 3
http://de.wikipedia.org/wiki/Traceroute
Das wir der banale Grund sein !
Funktioniert denn ein Traceroute von PC-3 zu Router-2 ??? Was macht Pathping ??
- Die Spur meines tracert 192.168.120.254 verliert sich genau an Router 1, dieser wird noch ausgegeben, danach nix mehr.
Dadurch kann die Antwort vom .101.0er Netz ans .120.0er Netz entweder vom Traceroute oder Ping nicht richtig in den Tunnel geroutet werden und versandet vermutlich im Internet in den ACLs des Providers, da sie ja normalerweise in den Tunnel muss zwangsweise...