schlot

Aha, ich sehe gerade... Mein Thread http://www.mcseboard.de/showthread.php?s=&threadid=51232 ist geschlossen worden... Ich möchte mich noch mal recht herzlich bei Data für die Hilfe, und bei den Moderatoren für die Nichthilfe bedanken... Nochmal zur Erklärung: Ich versuche nicht, mich in irgend ein Netzwerk zu hacken, oder Sicherheitsmechanismen jedweder Art zu umgehen, sonst hätte ich wohl schon erreicht, was ich will. Ihr solltet mal mein Netzwerk zu Hause sehen, da gibt es keine hässlichen Workarounds, sondern nur sauber konfigurierte Lösungen. Auf der Suche nach einer solchen Lösung kam ich hier her... Übrigens... In der Benutzerordnung, die ich an der Uni unterschrieben habe, steht nichts davon, dass es verboten ist, eine VPN-Verbindung nach Hause aufzubauen. Und weil es nicht verboten ist, gehe ich mal davon aus, dass es erlaubt ist! Sonst müssen die Admins es eben in die Ordnung reinschreiben. Ich bekomme eine IP-Verbindung zur Verfügung gestellt, mit der ich grundsätzlich alles machen kann, was keine Urheberrechte oder andere Gesetze verletzt. Bitte, bitte, bitte, mit Zucker oben drauf, zeigt mir doch den Paragraphen, der sagt, dass PPTP böse ist... Alles was ich will, ist ein Internetprotokoll nach RFC-Spezifikation verwenden. Gut, das mit den Standards, RFCs und Nutzen der Protokolle hat die M$-Community noch nie so genau genommen, das hätte ich wissen sollen, als ich in ein MCSE-Board ging. Für alle MCSEs: Die RFCs findet ihr z. B. HIER: http://www.rfc-editor.org/ Lest meinen Thread durch, und ihr seht, dass ich mich nicht nach dem umgehen von Sicherheitsrestriktionen, sondern nach einer technischen Frage erkundigt habe. Ich habe heute Linux auf mein Notebook installiert, das native IPsec support zur Einwahl verwendet, und mich dann per PPTP ganz bequem auf mein Netzwerk zu Hause eingewählt. Über Netzwerke weiß ich sehr wohl bescheid, nur nicht über die grauenvolle Netzwerkimplementation in M$-Betriebssystemen. Gebt ihr Euch eigentlich immer damit zufrieden, dass alles, was auf der Luna-Oberfläche keinen Button hat, nicht geht? Oder habt Ihr doch schon mal das Fenster mit der komischen Fehlermeldung "C:\>" aufgemacht? Naja, wer sich nicht bewegt, spürt seine Ketten ja nicht. Ich wünsche Euch noch frohe Weihnachten usw... Schlot === Wir leben alle unter dem gleichen Himmel, haben aber nicht alle den gleichen Horizont.

ok. du sagst der Cisco-VPN-Router ist so eingerichtet, dass er nur Traffic innerhalb des Uni-Netzwerks zulässt. Also kein Routing nach draussen... Ist aber nicht so, ich kann ja über das VPN im Internet surfen. Ich kann ALLE IPs im Internet erreichen. Und das über die VPN-Verbindung!!! Und ich habe wie gesagt schon erfolgreich emails von MEINEM pop3 auf MEINEM pc zu hause abgerufen. analog zu der pop3-verbindung, die dann also vom VPN-Interface meines Notebooks (131.82.xxx.yyy) über den gateway zur IP meines pcs zu hause geht (z. b. 212.81.xxx.yyy, t-online halt), kann ich ja auch pakete an einen vpn-server zu hause schicken. ist dann halt nicht tcp-port 110, sondern das GRE-protokoll. soweit funktioniert ja auch alles, das lässt der cisco ohne weiteres zu. und was in diesen paketen drin ist, interessiert ja den cisco nicht. (ob es POP3-daten oder ein paket im paket ist). private IP-adressen gibts ja erst, sobald die pakete, die übers internet laufen, wieder "ausgepackt" werden. also auf dem notebook und auf meinem pc zu hause. der cisco-router sieht ja nur das envelope-paket. Der Cisco-Router sieht also niemals ein Paket zu einem nicht routbaren bereich, sondern nur zu öffentlichen adressbereichen, wie die T-Online-IP meines PCs. So habe ich den Sinn von Tunneling verstanden... ich bin davon so fest überzeugt, weil mir IP-Monitoring-Tools sagen, dass die ICMP-Echo-Requests, die ich von zu Hause (192.168.4.1/255.255.255.255) absende, am Notebook (192.168.4.2/255.255.255.255) ankommen! Und das geht ja auch über den Cisco-Gateway! Nur schickt das Notebook wohl die Replies über das falsche Interface raus: Es nimmt scheinbar das Paket an 192.168.4.1 und sendet es über das 131.82.xxx.yyy-Interface raus. Und da weiß der cisco natürlich nichts mit anzufangen. Ich will, dass das Notebook die Pakete mit den LAN-Adressen schön brav nimmt, in ein anderes Paket einpackt, als Absender 131.82.xxx.yyy draufschreibt und als Empfänger 212.82.xxx.yyy. So dass ein Paket über das Internet läuft, ohne dass jemand eine private IP sieht; das Paket an meinem Rechner zu Hause wieder ausgepackt wird, und erst da wieder eine private IP da ist. Und dass die Pakete mit den priv. Adressen nicht verpackt werden, sondern direkt gesendet, ist doch ein lokales Routing-Problem auf dem Notebook...

vielen dank für eure antworten. ich bin aber noch nicht ganz überzeugt, dass es so ist, wie ihr geschrieben habt: ich habe aus dem VPN der uni zugriff auf IPs ausserhalb der uni. ich kann im internet surfen und ich habe eine IP-verbindung zu meinem pc zu hause (via dyndns). ich kann zum beispiel ohne probleme mails von meinem POP3 abrufen. ich kann auch absolut problemlos meinen rechner zu hause anpingen. ABER: dann starte ich über diesen erreichbaren rechner meine (dann zweite) VPN-verbindung. ich bekomme dann vom rechner zu hause eine PPP-IP zugewiesen. wenn ich dann an dem rechner zu hause einen ping laufen lasse, sehe ich an den icons in der systray den ICMP_ECHO_REQUEST ankommen: die icons sehen folgendermaßen aus: wlan-karte: in/out aktivität cisco: zeigt NIE aktivität (das interface scheint nie direkt verwendung zu finden) mein VPN: incoming-aktivität. nur _keine_ outgoing-pakete daraus schließe ich, dass der windows-rechner einfach nicht weiß, wohin mit den ICMP_ECHO_REPLYs. die verbindung steht aber IP-mäßig, da ja die auth und die eine richtung des PING klappen. noch ein paar werte zu meiner config: Notebook-Seite: VPN endpunkt 1 (192.168.4.2) || wlan (dhcp) --- cisco (dhcp) --- {internet} Server-Seite: {internet} --- dsl (dhcp) --- VPN endpunkt 2 (192.168.4.1) der server hat mehrere interfaces: 192.168.1.1/255.255.255.0 LAN 192.168.3.1/255.255.255.0 WLAN 192.168.4.1/255.255.255.0 VPN zwischen diesen ist forwarding aktiv. und es funktioniert soweit in allen richtungen (ich kann die .4.1 aus jedem netzwerk anpingen usw.) was mich nun noch wundert: das routing in der linux-kiste besagt: pakete an .4.2 gehen über .4.1 raus (eigentlich logisch, pakete an das remote peer müssen über das local interface geroutet werden). der gateway zu dem VPN-Netz ist aber .4.2, denn da sollen ja die pakete hin, die nicht auf der lokalen seite sind. windows sagt mir am anderen ende der leitung: lokales interface ist 192.168.4.2 standard-gateway ist 192.168.4.2 sollte dieses gateway nicht auf die 192.168.4.1 zeigen? nach allem was ich in hunderten von seiten über TCP/IP gelesen habe (und ich habe recht viel drüber gelesen) sollte es. ich habe halt nur wie gesagt unter linux die erfahrung wie ich es einstelle, unter windows reagieren die einstellungen nicht so, wie ich es erwarte. gruß schlot

Hallo Forum, ich versuche, über ein VPN auf ein anderes VPN zuzugreifen: Ich habe an der Uni Zugriff auf das Internet über einen VPN Zugang. Dieser VPN-Zugang wird mit dem meiner meinung nach sehr häßlich implementierten Cisco IPSec-Tool hergestellt. Danach habe ich also schon 2 Netzwerkinterfaces, meine WLAN-Karte und das VPN-Device. Dann starte ich eine weitere VPN-Verbindung, nämlich die zu meinem privaten Netzwerk via PPTP. Wenn ich das von meinem WLAN zu Hause aus mache, läuft alles wunderbar, weil dort nichts über das andere VPN muss. Wenn ich allerdings über beide VPNs muss, kann ich nicht mal mehr die Gegenseite der PPP-Verbingung anpingen. Es ist allerdings definitiv ein Routing-Problem: Ich kann in der Systray sehen, wie Pakete, die von meinem LAN ausgehen, am meinem VPN-Interface ankommen (der hintere PC von den beiden im Symbol leuchtet hellblau). Da es aber ein Ping ist, sollte ja im gleichen Zug auch der vordere leuchten und somit zurücksenden. Das eben tut er aber nicht. Es scheint also, als habe der Windows-Rechner keine Route zu seinem Gegenüber der PPP-Verbindung. Das Gegenüber ist übrigens ein Linux-Server, dessen Routing ich in dem Fall ganz einfach anpassen konnte. Ich komme nur absolut nicht mit dem route-befehl unter Windows klar, denn wenn ich sehe, dass Windows erstmal alle Interfaces auf 127.0.0.1 zu leiten scheint, solange sie nichts raussenden, andere Verbindungen aber dann über die eben genannten als Gateway senden will, kriege ich als jemand, der das Netzwerken auf Linux gelernt hat, einen Schreikrampf. Falls Ihr jetzt nicht wisst, was ich eigentlich von Euch will: Wie kann ich das unter ipconfig angezeigte Standardgateway einer PPP-Verbindung ändern?!? In den Netzwerkeinstellungen ist es nicht. DANKE EUCH VIELMALS!