nebelritter
Goto Top

Zugriff auf LAN hinter PC-Router über VPN

Ein Freundliches Hallo!

Ich stöbere eine weile schon hier im Forum und fand einige Anleitungen zum Thema PC-Router mit zwei Netzwerkkarten. Leider funktioniert es trotzdem nicht wie es soll.

Ausgangssituation:
PC1 ---(<VPN>Router1 ----- DSL-Modem1---Internet---DSL-Modem2---Router2/<VPN>)---PC2----PC3

Daten dazu:
PC1(Win XP Prof. SP2)
IP:192.168.101.x
Subnet:255.255.255.0

Router1(errichtet VPN Tunnel zu Router2 über das Internet)(DrayTec Vigor 2910)
IP:192.168.101.254(zum LAN)
Subnet:255.255.255.0
DHCP für 101.x

DSL-Modem1 (D-Link 380T)
IP:192.168.1.1
Subnet:255.255.255.0
transparent im Bridgemodus

DSL-Modem2 (D-Link 380T)
IP:192.168.0.1
Subnet:255.255.255.0
transparent im Bridgemodus

Router2 (ende des VPN Tunnels)(DrayTec Vigor 2910)
IP:192.168.103.254(zum LAN)
Subnet:255.255.255.0
statische Route für 120.0 auf 192.168.103.10
DHCP für 103.x

PC2(WIN XP Prof.SP2)
NIC 1
IP:192.168.103.10(fest/statisch)
Subnet:Subnet:255.255.255.0
Gateway:192.168.103.254
NIC 2
IP:192.168.120.74(DHCP)
Subnet:Subnet:255.255.255.0
Standardgateway 192.168.120.254(weil über den ein anderes Internet läuft)
in der registry Ip routing aktiviert, keine statischen Routen

PC3(WIN Server 2003)
IP:192.168.120.254
Subnet:255.255.255.0
Gateway für eigenen Internetanschluss im 120.x Netz, außerdem DHCP server für 120.x

Wunschvorstellung: ein Ping von PC1 zu PC3

Was geht:
Ping von PC1 zu Router 2
Ping von PC1 zu PC2 auf NIC1
Ping von Router2 zu PC2 auf NIC1
Ping von PC2 zu PC3 über NIC 2

Was nicht geht:
Ping von Router2 zu PC3 oder PC2 auf NIC 2 , ergo gesamtes Subnetz nach PC2 aus Richtung PC1

Ich habe soweit alles wie in den tutorials beschrieben eingerichtet. Gibt es eine Möglichkeit das Routing des PC2 zu testen, außer in der Registry nachzuschaun?
Leider kann ich auch auf dem Router1 keine Statische Router für das 120.0 sub auf das VPN Umlenken, mit dem 103.0 sub bin ich dagegen über die LAN-to-LAN VPN Einstellung verbunden.
Habe mit den daten dieser LAN-to-LAN noch eine Verbindung zu 120.0 Netz eingerichtet, scheint aber nciht zu funktioieren, da diese nicht in der Routingtabelle auftaucht.
Router bieten gute Diagnosemöglichkeiten von Ping/trace bis Routingtabelle und Arp, also wenn da Infos gewünscht werden poste ich die auch.

sieht ziemlich kompliziert aus, lässt sich aber nicht anders machen. Ich hoffe es ist einigermaßen durchsichtig.
Ansonsten einfach Fragen stellen.

Danke fürs lesen und für eventuelle Tips im Vorraus

Content-Key: 88059

Url: https://administrator.de/contentid/88059

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: TopGun2
TopGun2 20.05.2008 um 13:24:36 Uhr
Goto Top
Ähm, warum vergibst du der NIC2 auf PC2 eine dynamische IP über DHCP? Verwende hier mal eine feste IP ...

Danach solltest du auf dem Router2 eine statische Route in das .120.0 Netzwerk einrichten. Meiner Meinung sollte es danach laufen...

EDIT: Schau mal was hier unten drunter steht, das sollte helfen können:
Mitglied: Nebelritter
Nebelritter 20.05.2008 um 13:54:08 Uhr
Goto Top
Die IP vergebe ich über DHCP, weil der DHCP das 120.0 Netz bedient, lässt sicgh aber ändern.
die Statische Route ist auf dem Router2 schon eingerichtet.

Den Link les ich gleich mal, vielleicht hilft das.
Mitglied: aqui
aqui 20.05.2008 um 21:16:32 Uhr
Goto Top
Ein Ping von Router 2 auf PC3 kann niemals funktionieren, da der PC3 ein falsches Gateway eingestellt hat. Das Ping reply Packet geht also ganz woanders hin auf dem Rueckweg und niemals zu Router 2. Dort muesste damit es funktioniert 192.168.120.74 stehen also der Router PC2 !

Auch darf hier auf der NIC2 an PC2 niemals ein Standardgateway stehen,denn nun weiss PC2 nicht mehr was er machen soll, da er 2 Standardgateways hat.

So wird das also nichts, denn das Routing ist nicht sauber,da du verschiedene Gateways nutzt. Das musst du entsprechend aendern damit es rennt.
Das ist auch der Weg das Routing durch PC2 sauber zu testen. Das o.a. Tutorial beschreibt auch einen Packet Weg mit dem du den Weg nachvollziehen kannst.
Das separate Routing im .120 Netz kannst du dann nur noch mit dedizierten Routen auf dem Endgeraet loesen...

Dein Netzwerk müsste dann so aussehen:

3a152139689aab3a3a3eda95d66fbf8b-vpn4


Wie bereits gesagt: Wichtig ist der Gateway Eintrag an PC-3. Wenn der, wie du ja selber schreibst, nicht auf den PC-2 Router zeigt kann ein Ping ins .103er und .101 Netz niemals was werden, da Ping replys aus den .103.0er Segment und ggf. auch aus dem .101.0er Segment dann über den weiteren Internet Router im .120.0er Segment (der ja Gateway von PC-3 ist...) ins IP Nirwana rennen !

Damit das klappt müssen folgende Punkte verändert werden:
  • Gateway und DNS IP an NIC-2 von PC-2 entfernen
  • Wenn das default Gate von PC-3 auf den weiteren Internet Router im .120.0er Segment zeigt folgende statische Routen auf PC-3 eingeben:
  • route ADD 192.168.103.0 MASK 255.255.255.0 192.168.120.74
  • route ADD 192.168.101.0 MASK 255.255.255.0 192.168.120.74

Damit sollte dein Routing dann sauber funktionieren !! Wenn dem so ist solltest du dann die o.a. Routen mit einem -p als Parameter versehen, damit sie permanent werden und nicht nach einem Rebbot wieder verschwinden !!!
Die genaue Syntax ist dann folgende:
route ADD 192.168.103.0 MASK 255.255.255.0 192.168.120.74 -p
route ADD 192.168.101.0 MASK 255.255.255.0 192.168.120.74 -p
Mitglied: Nebelritter
Nebelritter 21.05.2008 um 11:19:08 Uhr
Goto Top
Vielen Dank für die Anleitung!

Ich probiers gerade aus, ist nur nicht einfach, da ich nicht direkt an Standort der PCs 2 und 3 sitze.

Bedeutet also, dass ein Ping wahrscheinlich hingekommen ist, aber der Rückweg fehlerhaft.

Eine Frage bleibt mir offen.
Warum darf PC2 an NIC2 keine Standardgateways haben?
Könnte man dies nicht auch durch Einrichtung einer Route auf 101.0 über Router 2 an PC2 umgehen?
Mitglied: aqui
aqui 21.05.2008 um 11:29:57 Uhr
Goto Top
Das Problem ist das PC2 dann 2 Standardgateways hat !!! Welches der beiden sollte deiner Meinung der PC-2 denn verwenden wenn er routen will ??? Der IP Stack ist nicht so intelligent das er sich den passenden aussucht, das musst DU ihm schon vorgeben und das eindeutig !!
Du siehst, vor genau dieser unlösbaren Entscheidung steht der PC-2 auch und kann sie natürlich nicht lösen ohne eindeutige Gateway oder Routing Anweisung face-sad
Vermutlich entscheidet Winblows dann nach der Bindungsreihenfolge der Adapter welches Gateway es nutzt aber das ist natürlich dann zufälliger Krampf und eine unsaubere Konfiguration die unbedingt zu vermeiden ist, deshalb musst du dich für ein Gateway entscheiden !

Du kannst das natürlich auch an NIC-2 lassen, wenn du den Router im 120.0er Segment mit dem PC-2 fürs Internet benutzen willst und nur die VPN Verbindung über NIC-1 bedienen willst.
Das geht natürlich auch problemlos, allerdings musst du dann in der Tat, wie du richtig bemerkst, dem PC-2 eine zusätzliche statische Route dahin konfigurieren mit:

route ADD 192.168.101.0 MASK 255.255.255.0 192.168.103.254 -p

Der default Gateway Eintrag von NIC-1 muss in dem Falle natürlich entfernt werden, damit das Routing wieder sauber und eindeutig ist.

Noch ein Tip: Du kannst übrigens mit dem Traceroute Kommando ("tracert" oder "pathping" bei Windows !) immer einfach deine Routing Wege Hop für Hop verfolgen und checken !
Mitglied: Nebelritter
Nebelritter 21.05.2008 um 12:08:12 Uhr
Goto Top
yap, tracert setz ich sehr gern ein, aber wenn die pakete nur nicht zurückkommen oder gar nicht erst raus, ist es schwer das zu unterscheiden.

Habs jetzt soweit, dassder Router 2 auf den PC3 kommt.
Hab festgestellt, wenn man routen einrichtet, muss der gateway im selben netz sein, ist schade, da ich sonst die Router1 und2 schön transparent bekommen hätte..

So muss ich es nun irgendwie einrichten, dass die Tunnel IP als Statische Route genommen wird, was schwierig ist.
Sind ja keine festen IPs vom Provider, sondern Dyndns- Namen und die kann ich für ne Route nicht nehmen.
Ich spiel noch ein bissel weiter, Teilerfolg ist da, das motiviert.
Mitglied: aqui
aqui 21.05.2008 um 12:59:58 Uhr
Goto Top
Kannst du so oder so nicht, da die öffentlichen Provider IPs für den Tunnel und das Routing im Tunnel vollkommen unerheblich sind !!! Die dienen nur einzig und allein dazu den Tunnel aufzubauen für sonst nichts ! Was du im Tunnel darüberschiebst ist nicht sichtbar für diese Adressen und darf es auch niemals sein !!

Das wäre auch fatal, da du ja wie viele andere Admins richtigerweise RFC 1918 Private-IPs benutzt die im Internet nicht geroutet werden bzw. beim Provider automatisch sofort in den Datenmülleimer wandern ! (Accessliste)
Die Router behandeln das also strikt getrennt was VPN Tunnel und öffentliche IPs sind... Müssen sie aus den o.a. Gründen ja auch zwingend tun !!!

Um eine statische Route anzugeben kannst du immer die LAN IP des gegenüberliegenden VPN Routers als next Hop bzw. Gateway nehmen wenn man den Tunnel nicht selber als Gateway angeben kann im Setup.
Dafür ist wichtig die Rolle zu wissen. Also welcher Router ist VPN Server und wer ist Client bzw. wählt sich auf. Der Client bekommt im Tunnel meist die Adressen vom Server zugeteilt und das sind immer LAN Adressen des Servers.
Bei guten Routern funktioniert das immer problemlos und ermöglicht so andere IP Netze die sich noch am remoten Standort befinden zu erreichen, wie das bei dir ja der Fall ist.

Für deinen Router 1 müsste dann die Route:

Zielnetz: 192.168.120.0, Maske: 255.255.255.0, Gateway: 192.168.103.254

Eigentlich zum Ziel führen. Voraussetzung ist das PC-2 dann analog (wenn er den Router im .120.0er Segment benutzt) eine statische Route mit

route add 192.168.101.0 mask 255.255.255.0 192.168.103.254 -p

konfiguriert hat !!
Analog gillt das außerdem für den PC-3 sofern der auch den Router im .120.0er Segment als Standardgateway definiert hat. Auch hier müssen dann zwingend 2 statische Routen rein:

route add 192.168.103.0 mask 255.255.255.0 192.168.120.74 -p
route add 192.168.101.0 mask 255.255.255.0 192.168.120.74 -p

Was du aber vermutlich in einem Fall schon gemacht hast denn sonst könntest du von PC-3 ja den Router-2 nicht pingen face-wink

Traceroute:
Da wo traceroute aufhört und Sternchen kommen, ist dann auch meist der Fehler zu suchen, der sich meist immer durch einen fehlende Route äußert !
Mitglied: Nebelritter
Nebelritter 21.05.2008 um 13:36:07 Uhr
Goto Top
Das mit der festen Route auf dem Router hab ich so eingetragen funktioniert aber nicht.
Das ist es eben das mich wundert.

PC-2 hat den 192.168.103.254 als standard gateway braucht somit wohl keine Extraroute...

Die anderen beiden Routen sind eingerichtet soweit.

Die Spur meines tracert 192.168.120.254 verliert sich genau an Router 1, dieser wird noch ausgegeben, danach nix mehr.

Ne Merkwürdigkeit ist, dass ein Ping von Router2 zu PC-3 läuft, aber kein Tracert. Der Trace geht auf das interne Netzinterface vom Router und danach weg(weil vermutlich im Internet und vom Provider gedroppt)

Ich prüfe die einstellungen nochmal, aber eigentlich sollte alels richtig sein.
Mitglied: aqui
aqui 21.05.2008 um 16:29:49 Uhr
Goto Top
  • Das mit der festen Route auf dem Router hab ich so eingetragen funktioniert aber nicht. ...
Dann supportet dein Router das leider nicht, was natürlich dumm ist und letztlich ein Firmware Bug face-sad
  • PC-2 hat den 192.168.103.254 als standard gateway braucht somit wohl keine Extraroute...
Richtig, wenn es das einzige Standardgateway ist und nicht auf NIC-2 auch noch eins ist !!
  • Die anderen beiden Routen sind eingerichtet soweit....
Wo ?? Auf PC-3 ?? (Auf PC-2 wären sie mit dem o.a. Gateway unsinnig !)
  • Ne Merkwürdigkeit ist, dass ein Ping von Router2 zu PC-3 läuft, aber kein Tracert. Der Trace geht auf das interne Netzinterface vom Router und danach weg(weil vermutlich im Internet und vom Provider gedroppt)
Das kann ja unmöglich sein, denn ein Provider ist bei einem Ping von Router-2 auf PC-3 überhaupt nicht dazwischen !!! Der Ping geht ja von Router-2 direkt ans PC-2 Interface 192.168.103.10 und dann zu PC-3, also alles in deinem lokalen Netzwerk ohne Provider !! Hier machst du einen Denkfehler !
Der Grund ist vermutlich das dein PC-2 noch eine Firewall am Laufen hat und die die ICMP Packete vom Traceroute filtert. Traceroute nutzt ICMP Typ 11 und 3
http://de.wikipedia.org/wiki/Traceroute
Das wir der banale Grund sein !
Funktioniert denn ein Traceroute von PC-3 zu Router-2 ??? Was macht Pathping ??
  • Die Spur meines tracert 192.168.120.254 verliert sich genau an Router 1, dieser wird noch ausgegeben, danach nix mehr.
Von wo traceroutest du denn ??? Von PC-2 aus oder PC-3 ?? Vermutlich wohl PC-3. Das ist dann klar, denn die Route in Router 1 greift nicht sei es Firmware Bug oder nicht supportet face-sad
Dadurch kann die Antwort vom .101.0er Netz ans .120.0er Netz entweder vom Traceroute oder Ping nicht richtig in den Tunnel geroutet werden und versandet vermutlich im Internet in den ACLs des Providers, da sie ja normalerweise in den Tunnel muss zwangsweise...