VPN zwischen 2 gleichen Netzwerken

[PeterPanAK47 10]

Hallo zusammen,

 

ich habe ein dickes Problem ;)

 

Undzwar habe ich mehrere Standorte ( alle 10.0.0.0er Netzwerk)

 

Habe also an Standort A einen Netgear VPN-Router und an den Außenstellen einen VPN-Softwareclient.

 

Das Problem ist nun folgendes:

Greife ich von einem Client (192.168.....) mit VPN auf den Standort zu klappt alles wunderbar.

Greife ich aber von einem Client (10.0.0.x) auf den Standtort klappt nix - wars***einlich weil die Standorte das gleiche Netzwerk haben.

 

Wie bekomme ich das Problem in den Griff?

 

Lieben Gruß und danke für jede Hilfe!

[Velius 10]

Greife ich aber von einem Client (10.0.0.x) auf den Standtort klappt nix - wars***einlich weil die Standorte das gleiche Netzwerk haben.

 

Das ist genau so - Entweder durch den VPN Server (NetGEAR?) eine virtuelle Range ausserhalb der benutzten Ranges zuteilen lassen, oder dem Zielnetz etwas weniger geläufiges verpassen wie 172.16.0.0/12 oder so ähnlich.

 

 

cheers

Velius

[PeterPanAK47 10]

virtuelle Range hört sich verdammt gut an ;)

 

finde nur leider keine Einstellung dafür - es ist nen Netgear FVX538 - kann der sowas?

 

quasi Standort 10.0.0.0

Range 10.10.0.0

Client (lokal) 10.0.0.0

 

so? oder wie funktionier das dann?

[Velius 10]

finde nur leider keine Einstellung dafür - es ist nen Netgear FVX538 - kann der sowas?

 

Kann mich mal kurz schlau machen wenn du möchtest:suspect: :D

[PeterPanAK47 10]

das wäre echt nett wenn du das machen würdest - irgendwie is die Doku zu dem Router uach nicht das tollste.

 

Ist den das Prinzip was ich geschrieben hab so richtig - damit ich auch kapiere was ich da so anstelle ;)

[Velius 10]

quasi Standort 10.0.0.0

Range 10.10.0.0

Client (lokal) 10.0.0.0

 

so? oder wie funktionier das dann?

 

So ähnlich - du machst dann sowas wie ein VPN Transfernetz: Sagen wir mal 10.250.0.0/24 ist dann das virtuelle VPN Netz, und 10.0.0.0/16 ist dein LAN....

 

Solange sie sich nicht überschneiden geht das.

[PeterPanAK47 10]

okkk hört sich gut an! Aber ob das klappt?!

[Velius 10]

Du, ich glaub mit dem Ding kannst du das knicken - ich find nichtmal 'ne Vernünftige technische Doku dazu.:( :wink2:

[Velius 10]

Na ja, die Specs sagen da schon was dazu:

 

VPN Functionality: Two hundred (200) dedicated VPN tunnels, Manual key and Internet Key Exchange Security Association (IKE SA) assignment with pre-shared key and RSA/DSA signatures, key life and IKE lifetime time settings, perfect forward secrecy (Diffie- Hellman groups 1 and 2 and Oakley support), operating modes (Main, Aggressive, Quick), fully qualified domain name (FQDN) support for dynamic IP address VPN connections.

 

...nur, wie man das konfiguriert ist eine andere Frage.

[PeterPanAK47 10]

Denk ich auch - finde auch keine richtige Anletiung - ob man wohl bei Netgear jemanden ans Telefon bekommt, der sich mit dem Dingen auskennt?!

[PeterPanAK47 10]

also ich weiss net ob das mein Problem löst.

 

Im Moment bekommen die Clients eine 10.10.0.x adresse - liegen also schonmal nicht um 10.0.0.xer Netzwerk

 

ABER - als Zielnetzwerk muss ich doch 10.0.0.0 im VPN-Client hinterlegen - und da das lokale auch 10.0.0.0 ist weiss der Rechner halt net wo er die Daten hinschicken soll.

 

oder soll ich beim Zielnetzwerk mal 10.10.0.0 versuchen? Aber irgendwie will ich doch wieder auf das 10.0.0.0er am Standort...

 

Hmmh - vielleicht hat noch jemand ne grandiose Idee

[Velius 10]

Also, es ist so...

 

Wenn der VPN Client sowas wie split-tunneling kennt oder so etwas ähnliches, jedoch kein virtuelles Interface (und Topologie) hat, dann hält er Anfragen für besipielsweise 10.0.0.0/24, wenn sich dieser auch in genau diesem Netz irgendwoanders auf der Welt aufhält, für lokal, und nicht wie erwarte für remote. Die Anfrage wird dann in's lokale Netz anstatt in das entfernte (über VPN) gesannt.

 

Wenn es der PPTP oder L2TP CLient von MS ist besipielsweise, dann sind nur Verbindungen in das entfernte Netz (über VPN) möglich - das lokale Netz 'sieht' er im Prinzip gar nicht mehr.

 

 

Es kommt ganz auf die Netz-ID des Quell- und Zielnetzes an. Ist die gleich und der erste Punkt deines Clients ist gegeben dann klappt's nicht. Es ist auch Möglich, dass das virtuelle Interface und/oder die Topologie deines VPN Clients fehlkonfiguriert sind, und deswegen sein Ziel nicht erreicht.

[IThome 10]

Ich kenne für solche Szenarien, in denen auf beiden Seiten die gleichen IP-Netze sind, nur die Möglichkeit, die VPN-Netze zu natten (1-to-1 NAT). Andere Adressranges zuweisen usw. haben keine Auswirkung, da der Quellrechner den Zielrechner im gleichen Bereich anspricht und laut seiner Routingtabelle kein einziges Paket das eigene Netz verlässt. Er muss also auf der anderen Seite eine Adresse eines anderen Bereiches ansprechen, damit überhaupt irgendwas zu einem Gateway geschickt wird, welches auch immer das sein mag. Letztlich spricht der Client nicht das eigentliche Zielnetz an, sondern die NAT-Base. Diese wiederum wird vom Gateway (sofern das Gateway sowas unterstützt) an die Real-Base weitergeleitet. Watchguards können das ... :D

[Velius 10]

Check Point, Aventail machen das mit virtuellen Interfacen und virtuellen IP Adressen - und einer Topologie (man könnte es auch Routing Tabelle nennen) die dem Zielnetz entspricht:D

[PeterPanAK47 10]

also doch eins der beiden Netzwerke umstellen?

 

Standort A 10.1.0.0

Standort B 10.2.0.0

Standort C 10.3.0.0

 

so ja? Anders wirds net möglich sein :/