Jump to content

Magic Packet durch einen VPN-Tunnel senden

EvoIT

Von EvoIT
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

EvoIT Contributor

EvoIT   10

Geschrieben
Geschrieben

Hallo Gemeinde!

 

Gegebenheiten: Router (LANCOM 1711), Server 2008+SP2 mit 2 Netzwerkkarten (LAN 1 internes Netz *192.168.99.x / LAN 2 zum Router *192.168.200.x) + RRAS mit VPN

 

Bemerkung: Wake on LAN im internen Netz funktioniert ohne Probleme

 

Benutzer stellt erfolgreich eine VPN-Verbindung her, danach versucht er eine RDP-Sitzung aufzubauen, was aber nicht geht da das System im Energiesparmodus ist.

 

Jetzt meine Frage: mit welchem Tool kann ich ein Magic Packet senden das durch den VPN Tunnel geht. WoL, Wake und Co funktionieren da leider nicht. Was auch noch wichtig ist, der Bunutzer soll von dem ganzen vorhaben nichts mitbekommen. Wir wissen ja jeder Klick den ein Benutzer machen muss führt oft zu Fehlern ;).

Link zu diesem Kommentar
EvoIT Contributor

EvoIT   10

Geschrieben
  • Autor
Geschrieben
Hallo,

 

ohne dein Gerät jetzt zu kennen bieten einige Firewalls / Router die WOL Funktion

im Menu um interne Rechner zu wecken. Prüfe mal ob dein Lancom das Feature auch hat.

 

Ich setze jetzt mal vorraus das der Rechner welchen du wecken willst hinter dem Lancom steht.

 

Hallo, die Clients (24 Stück) hängen im Server LAN also nicht im Router LAN, damit fällt deine Möglichkeit aus.

Link zu diesem Kommentar
EvoIT Contributor

EvoIT   10

Geschrieben
  • Autor
Geschrieben
Hallo,

 

und vom Server aus dann ?

 

wenn ich z.B. Wake nehme funktioniert das aufwachen aber dazu muss ich mich ja auf dem Server anmelden.

Benutzer haben auf dem Server ja nicht zu suchen!

Habe auch schon nach einer Möglichkeit gesucht das ein Batch auf dem Server startet ohne das man sich lokal Anmelden muss aber sowas gibt es scheinbar nicht.

Link zu diesem Kommentar
EvoIT Contributor

EvoIT   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)
Ich glaube es wäre sehr hilfreich wenn du dein Szenario / Anforderung mal komplett

beschreibst und nicht nach und nach mit den Einzelheiten kommst.

 

OK, das bekomme ich hin :-)

 

Szenario

 

1. Router (LANCOM 1711 * IP 192.168.99.254)

2. Server 2008 SP2 x64 LAN1 IP 192.168.220.2 (internes Netz) / LAN2 IP 192.168.99.250 -> geht zum Router / Rollen: DC, DNS, DHCP, RRAS + VPN + NPS

3. ca. 80 Clients wovon 24 auch Remote-Arbeitsplätze sind. Alle Clients befinden sich im gleichen Subnetz wie der Server (192.168.220.x)

4. bei einen VPN-Aufbau (IPSEC - L2TP o. PPTP) Routet der Router die Daten auf den 2008er Server mit der IP 192.168.99.250, VPN, Authentifizierung, Rechte, Regeln usw. kommen alle vom Server. VPN-Clients bekommen eine IP vom DHCP aus den Subnetz vom Server (z.B. 192.168.220.101).

 

Anforderung

 

Nachdem ein Benutzer eine VPN-Verbindung erfolgreich aufgebaut hat, soll sein Client im Firmennetzwerk aus dem Energiesparmodus aufwachen, so das er ohne Probleme eine RDP-Verbindung zu seinem Client aufbauen kann.

bearbeitet von EvoIT
Link zu diesem Kommentar
EvoIT Contributor

EvoIT   10

Geschrieben
  • Autor
Geschrieben
bei mc wol (Kommandozeilen Tool) kann man ein Zielnetz eingeben, also

mcwol xx:xx:xx:xx:xx:xx 192.168.220.0/24

 

und er schickt das Magic Packet dann in das richtige netz.

 

/Edit: Wake-on-LAN [ MATCODE.com ]

 

Leider funktioniert das auch nicht! :(

Wenn ich MC-Wol auf einem Server im Firmennetz benutze wacht er auf, über vpn leider nicht.

Im Firewall LOG beim Router ist nichts zufinden, trotzdem kommt das Paket nicht an..... kann es sein das es im RRAS verworfen wird?

Link zu diesem Kommentar
EvoIT Contributor

EvoIT   10

Geschrieben
  • Autor
Geschrieben
Hatte das Problem seinerzeit bei einem Kunden mit einer internen Website und einem Perlskript gelöst, dass per Button das Magic Packet gesendet hat.

Hat eigentlich immer gut funktioniert, abhängig von Eurem Sicherheitbedürfnis ist das aber auch nicht ohne Weiteres umsetzbar.

 

Wir sind zwar nicht Fort Knox aber die Sicherheit ist schon sehr hoch. :D

Es muss doch eine Möglichkeit geben ein Magic Packet durch einen VPN-Tunnel + RRAS in das richtige Netz zu senden.

Link zu diesem Kommentar
Gulp Grand Master

Gulp   254

Geschrieben
Geschrieben

Nein, da ein VPN nur eine Verbindung auf IP-Ebene ist, ein Magic Packet für das WOL ist aber mehr ein Ethernet Broadcast, der zudem unabhängig vom Protokoll (also IP oder auch in IPX funktioniert und gesendet werden kann) ist. Das Magic Packet enthält zum einen 6 Mal den Hexadezimalen Code FF und 16 Mal die MAC Adresse der Netzwerkkarte.

 

Ein VPN verändert aber Ethernetpakete, wie zB das Magic Packet, da sich der VPN-Router den IP-Teil jedes Pakets anschaut und ihn neu einpackt (je nach VPN-Technik unterschiedlich). Dabei verwirft er alle Pakete, die nicht ausdrücklich an IP-Adressen im entfernten Netz gehen. Deshalb bleiben die Ethernet-Broadcasts auf der Strecke.

 

Somit gibt es derzeit keine bekannte oder gar verfügbare Technik, die das versenden von Magic Packets über ein VPN möglich macht, hier bleibt nur der Versand über das echte LAN Segment des zu weckenden Rechners als Alternative.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
s.k. Rising Star

s.k.   11

Geschrieben
Geschrieben
Somit gibt es derzeit keine bekannte oder gar verfügbare Technik, die das versenden von Magic Packets über ein VPN möglich macht, hier bleibt nur der Versand über das echte LAN Segment des zu weckenden Rechners als Alternative.
Diese Aussage stimmt so einfach nicht. Mit einem WOL-Tool, welches directed broadcasts erzeugt, geht es sehrwohl. Das Problem ist nur, dass heutzutage die meisten Router diese Pakete aus Sicherheitsgründen (zumindest per default) nicht mehr weiterleiten.

Siehe http://www.mcseboard.de/windows-forum-security-47/wake-on-lan-firewall-118655.html

 

Gruß

s.k.

Link zu diesem Kommentar
EvoIT Contributor

EvoIT   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)
Diese Aussage stimmt so einfach nicht. Mit einem WOL-Tool, welches directed broadcasts erzeugt, geht es sehrwohl. Das Problem ist nur, dass heutzutage die meisten Router diese Pakete aus Sicherheitsgründen (zumindest per default) nicht mehr weiterleiten.

Siehe http://www.mcseboard.de/windows-forum-security-47/wake-on-lan-firewall-118655.html

 

Gruß

s.k.

 

Also beim Lancom-Router wird die Deny_ALL Firewall Strategie gefahren..... bedeutet alles wird erstmal geblockt, das was erlaubt werden soll bekommt eine Regel was hier natürlich der Fall ist. UDP 9 wird als Ziel erlaubt und nicht geblockt nur geht das Magic Packet trotzdem verloren. Was mich vermuten lässt das es im RRAS gefiltert wird. Werde am Montag mal ein System an den Router anschliessen und dieses in das gleiche Subnetz bringen wie der Router. Dann das Makic Packet versenden, sollte das funktionieren liegt es 100%ig nicht am Router oder am RRAS und ich habe das nachsehen... weil dann nur noch die Magic-Tools als Fehlerquelle überbleiben.

bearbeitet von EvoIT
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...