VPN Server - Subnetmask

[Darkmind 10]

Hallo leute.

 

Ich weiss nicht ob meine Konfiguration meines RAS/VPN Servers Richtig ist, da eigentlich alles funktioniert.

 

Ich habe nur gesehen das der VPN / RAS Server eine andere Subnetmask als das lokale netzwerk hat.

 

Auch wenn ich mich mit einem vpn client an den server anmelde, wird mir zwar eine Ip Adresse in der selben Range zugewiesen, doch die Subnetmask und der Standardgateway ist eigentlich komplet falsch.

 

zum bild:

 

Im verbundenen Netzwerk ist die Server

LAN NIC IP 192.168.1.100

Subnetmask: 255.255.255.0

gateway: 192.168.1.150

 

und des RAS Servers

IP: 192.168.1.170.

SN: 255.255.255.255

Gateway: -

 

 

Muss das so sein ? Wenn nicht.... wie könnte ich das wieder gradebiegen ?!?

 

 

über eine Antwort würde ich mich freuen.

 

Gruss

 

Darkmind

[Wildi 10]

Hallo Darkmind

 

das ist bei mir das Gleiche. Hat mich zwar auch schon gewundert aber weils funtzt wollt ich das gar nicht wissen.

 

Aber wenn es schon mal angesprochen wird. Würde mich auch interessieren.

 

Ich reime mir das so zusammen:

 

VPN steht und fällt mit Routing. Da Routing aber nur mit unterschiedlichen Netzen geht ist das so irgendwie die Lösung. Quasi ein Pseudo Routing. Lieg ich da wenigstens a bissi richtig?

 

Übrigens, geradebiegen kannst Du das nicht. Kannst ja nur ne Range angeben (IP's). Eine Subnetmask kannst ja ned eintragen. Die wird auch ned vom DHCP über den Relay-Agenten mitgeschickt. (Da fällt mir doch glatt was ein. Hab ich mich eigentlich schon bei Grizzly bedankt, dass er mir wegen der Sache letzte Woche, also VPN-DHCP-Relayagent so super geholfen hat *grübel*. Na lieber dann nochmal --> Dangääää Grizzly)

[grizzly999 11]

Nein, kein Pseudo Routing.

Der RAS-Client (oder auch VPN-Client - ist ja das gleiche) bekommt vom RAS/VPN-Server eine IP-Adresse zugewiesen, und zwar mit einer 255.255.255.255 Subnetmask und sich selber als Gateway. Das ist richtig so, denn er ist ja ein einziger Rechner in diesem "virtuellen Netz". Alle anderen IP-Adressen befinden damit außerhalb seines Netzes, schon die zwei benachbarten IP-Adressen sind nicht mehr sein Netz, und er muss einen Router benutzen, um diese Nachbar-IPs zu erreichen. Logisch, denn die Nachbar-Adresse könnte ja bereits ein anderer RAS-Client erhalten haben, der in einem anderen phyischen Netzwerk liegt.

Damit muss die RAS-Client für jede andere IP als seine eigene einen Router bemühen, und zwar den RAS-Server als Router. Um eine Paket an dieses Gateway zu schicken (RAS-Server) muss er es über seine RAS-IP rausschicken.

Das gelingt nur dadurch, dass er eine 255.255.255.255 Subnetmask erhält.

 

Ich hoffe, ich konnte es verständlihc genug erklären.

 

grizzly999

[Wildi 10]

Ah ja, das klingt logisch. Natürlich, weil der VPN-Client als einziger im VPN steht. Und jede Netzwerkanfrage immer übers Gateway geht. Jo, is verständlisch.

 

Aber was wäre, wenn ich zwei Netzwerke hätte, die ich mit VPN verbinden würde. Das geht dann nicht, oder zumindest nicht so? Geht das überhaupt mit WIN VPN?

 

Netz A (192.168.1.x/255.255.255.0) - VPN ---- Internet ---- VPN - Netz B (192.168.1.x/255.255.255.0)

 

Kann VPN Server mit VPN Server oder geht nur VPN Server mit x VPN Clients?

[grizzly999 11]

Da ist das Bild schon falsch. Das was du gezeichnet hast, ist faktisch ein einziges VPN. So ist ja mit einem VPN-Client und einem VPN-Server übers Internet auch, also

Netz---VPN (über Internet)----Netz

 

grizzly999

[Wildi 10]

Ja, aber Netz und Netz über VPN kann doch dann ned gehen, wenn Sub 255.255.255.255 ist, oder?

 

Da wäre das doch nur ein Rechner und nicht ein Pool von Rechnern.

 

Will das eigentlich nur zum Verständnis wissen. VPN Client mit 255.255.255.255 ist jetzt schon klar. Ein Client - alles weitere raus ans VPN, sozusagen.

 

Aber wenn es mehrere Clients sind.

 

Beispiel:

 

Zentrale

10 Clients

1 VPN Server

 

Filiale

5 Clients

Und wie krieg ich die ins VPN? Klar, könnte jedem Client nen VPN Client geben. Aber kann man das auch über nen einzelnen machen, über die die anderen aufs VPN gehen?

[grizzly999 11]

Jetzt verstehen :D

Ist im Prinzip nicht anders als mit einem Client, nur dass ich statt des Clients einen Server mit zwei NICs hinstelle. Die NIC (oder Modem oder wie auch immer) zum VPN Server hin erhält genauso eine Adresse mit /32-SM. Dahinter hängt noch ein Netz, das aber ein anderes Subnetz sein muss, sonst klaptt's mit dem Routing nicht mehr. Der VPN-Client muss jetzt für die Clients hinter ihm Router spielen, weil er ja die ARP-Broadcasts, die für die Zielrechner drüben aufträten wenn beide Netze dieselbe IP hätten, nicht über das VPN-routen kann. ;)

 

grizzly999

[Wildi 10]

ahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhaaaaaaaaaaaaa,

 

jetzt wirds klar :D VPN kann also selber nicht routen. Deshalb ist der Server nix anderes wie ein VPN Client der wiederum über die 2. NIC routet. Und da, auch klar, ein anderes Subnet, sonst klappts ja ned mitm routing - wieder was dazugelernt ;)

[grizzly999 11]

jetzt wirds klar VPN kann also selber nicht routen

Korrekt. VPN verschlüsselt, Routing ist Sache vom IP-Protokoll.

 

Deshalb ist der Server nix anderes wie ein VPN Client der wiederum über die 2. NIC routet.

Genau so... :) :)

 

Dann kann ich ja beruhigt ins Bettchen gehen.

 

Gute Nacht alle beisammen ;)

 

grizzly999

[Darkmind 10]

cool

 

jetzt hats klick gemacht. :)

 

 

danke für eure Antworten :)

 

 

gruss

 

Darkmind

[Darkmind 10]

ich habe doch noch eine frage dazu...

 

wiess jemand vielleicht was ich tun kann wenn der lokale client im gleichen Netzwerk wie die zugewiesene ip adresse des VPN Servers liegt.

 

Habe nämlich herausgefunden das ich dann die Computer im vpn netzwerk nicht finden kann.

 

also beispiel

 

lokale ip adresse 192.168.1.10

vpn über PPPoE client adresse : 192.168.1.14

IP eines Computers im VPN NEtzwerk z.b. : 192.168.1.60

 

nur wenn ich lokal das z.b wie im bild gezeigt eine IP in einem anderen netz habe.. also zb. 192.168.0.23 nur dann gehts.

 

kann man das irgendwie umgehen ?!?

 

 

danke und gruss Darkmind

[RaptoR 10]

ich schließe mich dieser frage an, will mit freund ein VPN aufbauen und wir benutzen beide 192.168.0.0 als range.

 

wegen ICS kann man da ja leider nich einfach nen anderen nehmen aber das muss doch auch so zu machen sein oda ?

[Lian 2.421]

@RaptoR: Sorry, keine Overtakes, mach bitte einen eigenen thread auf.

[RaptoR 10]

sorry war mir nich klar - gesagt getan -> neuer thread

[Pesti 10]

hi

 

 

also wenn ich das jetzt richtig verstehe würde folgendes ohne probleme funktionieren

 

 

standort 1 (serverkeller )

vpn server (3 nics ) 1 nic local , 2nics für vpn einwahl mit wan addressen

 

internes netz:

192.168.0.0 /255.255.255.0 /24

 

10 server

 

 

 

win2k3ep vpn server mit eingerichteter server zu server verbindung ohne remote einwahl

 

standort 2 (filiale1)2 nics 1lan , 1wan

lan:

192.168.1.0 /255.255.255.255.0 /24

 

20 clients

 

win2k3st server zur einwahl mit server zu server verbindung eingerichtet

 

 

standort 3 (filiale2)2 nics 1lan , 1wan

 

lan:

192.168.2.0 /255.255.255.255.0 /24

 

20 clients

 

win2k3st server zur einwahl mit server zu server verbindung eingerichtet

 

 

 

allerdings wie macht man jetzt die standart routen ?

 

 

ich hoffe was war keine zu blöde frage mit hardware (cisco routern ) bekomme ich sowas gebacken aber dies vpn geschichte ist irgentwie ein bissel seltsam

 

 

mfg