VPN Routing

[fads 10]

Hallo,

 

ich habe folgendes Problem. Ich befinde mich in einem 192.168.x.x Netzwerk mit der Subnetmaske 255.255.0.0. Von hier aus baue ich einen PPTP VPN Verbindung auf und bekomme dort eine 10.78.1.x IP Adresse zugewisen. Die Server die ich dem anderen Netz aber erreichen muss sind in dem Bereich 192.168.0.x. Ich erreiche im Moment z.B. 192.168.0.1 nicht über die VPN Verbindung.

Ich denke das mein Rechner die 192.168.0.1 über die Lan Verbindung sucht und nicht über die Aufgebaute PPTP VPN verbindung.

Kann ich spezielles Routing einrichten das für bestimmte IP Adressen den Weg über die VPN Verbindung vorgibt, und wenn ja wie ?

 

Gruß Fads

[phoenixcp 10]

Ich glaube eher das dein Default Gateway der VPN-Verbindung das Problem darstellt. Kannst du von dem Gateway aus den Netzbereich überhaupt auflösen und erreichen?

[fads 10]

Ja das geht, wenn ich mich in anderen Netzen aufhalte funktioniert die VPN Verbinung auch einwandfrei.

[phoenixcp 10]

Hm, poste doch spaßeshalber mal die Ergebnisse von

ipconfig /all[/Code]

und

[Code]Route PRINT[/Code]

bei aufgebauter VPN-Verbindung.

 

Vielleicht sogar noch ein tracert auf die 192.168.0.1, falls da überhaupt Hops drin erkennbar sind.

[fads 10]

Ethernetadapter LAN-Verbindung 2:

 

Verbindungsspezifisches DNS-Suffix: xxxxxxxxxxxx

Beschreibung. . . . . . . . . . . : Intel® PRO/1000 T Desktop Adapter

Physikalische Adresse . . . . . . : 00-02-B3-CB-A6-39

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.41.139

Subnetzmaske. . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . : 192.168.40.1

DHCP-Server . . . . . . . . . . . : 192.168.40.6

DNS-Server. . . . . . . . . . . . : 192.168.40.6

192.168.40.7

Primärer WINS-Server. . . . . . . : 192.168.40.7

Lease erhalten. . . . . . . . . . : Mittwoch, 23. Juli 2008 16:19:19

Lease läuft ab. . . . . . . . . . : Mittwoch, 30. Juli 2008 16:19:19

 

PPP-Adapter -:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 10.78.0.16

Subnetzmaske. . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 10.78.0.16

DNS-Server. . . . . . . . . . . . : 192.168.0.254

192.168.0.1

 

 

 

===========================================================================

Schnittstellenliste

0x1 ........................... MS TCP Loopback interface

0x2 ...00 02 b3 cb a6 39 ...... Intel® PRO/1000 T Desktop Adapter - Paketplane

r-Miniport

0x40004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface

===========================================================================

===========================================================================

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 10.78.0.16 10.78.0.16 1

0.0.0.0 0.0.0.0 192.168.40.1 192.168.41.139 21

10.78.0.16 255.255.255.255 127.0.0.1 127.0.0.1 50

10.255.255.255 255.255.255.255 10.78.0.16 10.78.0.16 50

84.162.234.207 255.255.255.255 192.168.40.1 192.168.41.139 20

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.0.0 255.255.0.0 192.168.41.139 192.168.41.139 20

192.168.41.139 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.41.255 255.255.255.255 192.168.41.139 192.168.41.139 20

224.0.0.0 240.0.0.0 192.168.41.139 192.168.41.139 20

224.0.0.0 240.0.0.0 10.78.0.16 10.78.0.16 1

255.255.255.255 255.255.255.255 10.78.0.16 10.78.0.16 1

255.255.255.255 255.255.255.255 192.168.41.139 192.168.41.139 1

Standardgateway: 10.78.0.16

===========================================================================

Ständige Routen:

Keine

 

 

Info´s aus den Details der VPN Verbindung:

Server Ip Adresse: 10.78.0.254

Client Ip Adresse: 10.78.0.16

 

Ein Tracert auf 192.168.0.1 ist nicht möglich. Die 10.78.0.254 ist der VPN Server / Router und ist über den Browser erreichbar.

[phoenixcp 10]

Hm, nimm doch schon mal bitte deine DNS-Suffix raus, das ist ein wenig heikel mit den vielen Daten die du hier mitgibst. Wir wollen doch einen möglichen Angriff ausschliessen ;)

 

So, ich studier dann mal deine Routen und meld mich gleich nochmal.

 

Und vom VPN-Server aus kommst du in das 192.168.0.x-Netz?

[fads 10]

Jap von dem kann ich die 192.168.0.1 erreichen.

 

Das Problem muss wohl eher an meinem Rechner liegen, das er die 192.168.0.x Adressen über die lokale Verbindung versucht zu erreichen.

[IThome 10]

Ja genau, das versucht er und genau das ist der Grund, warum nichts auf der anderen Seite ankommt. Ohne geeignetes VPN-Gateway, welches die VPN Verbindung noch mal nattet, wird das nix. Ändere einfach die Subnetzmaske in Deinem Netz und das dritte Oktett anders als 0 ...

[fads 10]

Wie genau muss in dem VPN Gateway genattet werden? Das ändern der IP-Adressen ist nicht Möglich. Wenn ich das dritte Oktet von 0 auf z.B. 20 ändern würde, hätte das doch keinen effekt da die Subnetmask auf dem Rechner von dem die VPN Verbindung aufgebaut wird immernoch 255.255.0.0 ist und dies auch bleiben muss. Er sucht daher die Rechner immernoch im Lokalen Netz und nicht über die VPN.

Besteht nicht die Möglichkeit eine Route zu erstellen die sagt Clients mit192.168.0.x sollen über die VPN gesucht werden?

[IThome 10]

Das Natten muss das VPN-Gateway übernehmen. Du würdest nach dem Natten keine 192.168.x.x Adresse ansprechen, sondern eine aus Sicht des Clients nicht lokale Adresse (z.B. 172.16.x.x). Das VPN-Gateway setzt dann die Adresse auf die 192.168.x.x um. Ich habe solch eine Funktionalität bis jetzt nur bei Watchguard Produkten in Verbindung mit IPSEC-Tunneln gesehen (gibt es sicher aber bei anderen Produkten, beim RRAS IMHO aber nicht).

Ich habe geschrieben, dass Du das dritte Oktett UND die Maske ändern musst, da es anders nicht funktionieren wird.

Ich denke nicht, dass das Erstellen einer Netz-Route oder Hostroute (die als Schnittstelle die PPP-Schnittstelle haben muss, die ja nicht immer aktiv ist) Dich hier weiter bringt. Weiterhin würdest Du Dich zumindest teilweise aus Deinem lokalen Bereich ausschliessen. Die einzig sinnvolle Aktion ist das Ändern eines der beiden Netz-IDs (was man eigentlich vorher geplant haben sollte) ...

[fads 10]

Hi,

 

ich habe jetzt gerade selbst ein etwas holprige Lösung gefunden. Ich habe auf dem VPN Gateway die Adressen die den VPN Usern zugeteilt werden von 10.78.x.x auf 192.168.0.x geändert. Dann habe ich die Verbindung aufgebaut und in der Routing Tabelle die Metric des Netzwerkziels 192.168.0.0 (gibt es ja zwei mal, einmal von der Lan und dann von der VPN) der VPN Verbindung höher gesetzt als die der LAN Verbindung.

Das funktioniert soweit, aber so richtig zufrieden bin ich mit dieser Lösung aber nicht.

[IThome 10]

Wäre ich auch nicht, das ist Gebastel ... ;)

[fads 10]

Ich weiß zwar das das gebastel ist aber ich habe wohl keine andere Möglichkeit. Das eine ist das Netz eines Kunden und das andere unser Firmennetz und bei keinem habe ich die Möglichkeit IP-Bereich oder Subnetzmaske zu ändern.

Die Frage ist nur wie ich das hin bekomme ohne jedes mal die Metric händisch zu ändern.

[Stephan Betken 43]

Daher sollte man eigentlich von vornherein eine vernünftige Planung bedenken.

192.168.*.* ist eigentlich auch ein für Class C-Netze reservierter Bereich.

 

Mach es lieber gleich vernünftig, dann sparst Du Dir vielleicht etwas Stress in der Zukunft.

 

Ansonsten hat IThome schon alles gesagt, was man dazu sagen kann.