VPN Tunnel bei gleichen IP-Netzwerknummern

[Herbert Leitner 10]

Hallo!

 

Wir verwenden im Netzwerk die Nummern 192.168.0.0/24, und greifen von außen über einen VPN Tunnel auf das Netzwerk zu.

 

Beim Öffnen des Tunnels erhält der Client eine IP-Adresse aus dem Privat-Network (zB: 192.168.0.224). Das funktioniert soweit ausgezeichnet, der Client kan sich im Netzwerk anmelden.

 

Mir ist nicht klar, was passiert, wenn sich jemand mit seinem Laptop in ein Netzwerk verbindet (unterwegs, beim Kunden, im Hotel, im Schulungszentrum), das ebenfals die Nummern 192.168.0.0 verwendet. Der Zugriff von dort ins Intenet ist noch klar.

 

Ich kann auch den Tunnel öffnen, aber ich kriege keine Kommunikaiton zustande. Mir ist klar warum: Weil die Packete zu 192.168.0.0 **NIE** durch den Tunnel gehen, sondern sofort im dortigen Netzwerk (Standort des Clients) zugestellt werden.

 

Wie kriegt man sowas zum Laufen?

Wie schaffe ich es in der Konfiguration, den Tunnel zu verwenden?

Wie lösen andere das Problem?

 

tks!

Herbert

[rablu 10]

Indem die IP-Adressen eines der Netzwerke geaendert werden.

[Velius 10]

Das kommt ganz auf den VPN Client/Server an. Wenn du den MS Cleint (PPTP/L2TP) verwendest, dann wird sowieso alles über den Tunnel gerouted.

 

Es gibt auch andere Lösungen, wo du einen vituellen Adress-Range bekommst, sobald der Tunnel steht.

 

 

Wie gesagt, kommt drauf an.....

 

Gruss

Velius

[Herbert Leitner 10]

Das kommt ganz auf den VPN Client/Server an. Wenn du den MS Cleint (PPTP/L2TP) verwendest, dann wird sowieso alles über den Tunnel gerouted.

 

Es gibt auch andere Lösungen, wo du einen vituellen Adress-Range bekommst, sobald der Tunnel steht.

Gruss

Velius

 

Hallo!

 

Ich verwende den PPTP/L2TP von Microsoft und lasse den Tunnel auf der Pix Firewall enden. Da werden die Packete aber nicht zum anderen Netzwerk geroutet. Ich habe das probiert. Ich "sehe" die Clients/IPAdressen auf der anderen Seite nicht, wohl aber weiterhin meine eigenen.

 

Gibts da noch was zu konfigurieren?

 

tks!

Herbert

[Velius 10]

Böh, keine Ahnung von PIX, aber gewöhnlich kannst du keine weitere Verbindung neben einer bestehenden PPTP/L2TP erstellen, oder im I-Net surfen, ausser du gehst über einen Proxy oder so.

 

Kann auch sein dass das so nicht mehr stimmt, aber das ist mein Wissenstand.

 

 

P.S.: Möglicherweise ist es ein Routing Problem?

[rablu 10]

Dieses Verhalten eines Routers ist bei zwei gleichen Netzen normal.

D.h. eines der Netze umstellen und es geht problemlos.

[Dr Kiffer 10]

@all

würde mich auch interressieren falls dazu jemand eine lösung hat!

 

@rablu

Klar die Netze ändern ist die oder eine Lösung, nur sag mal einem Hotel die sollen mal eben ihre Netz Range ändern nur weil du ne VPN-Verbindung aufbauen möchtest :D :nene:

 

Gruß

 

Dr.Kiffer

[Velius 10]

@rablu

 

Ähm sorry, mag sein, dass das ein gewöhnliches Routing Verhalten ist, aber VPN funktioniert meines Wissens da doch etwas anders. Man kann den L2TP Clients locker eine IP durch zum Beispiel RRAS oder durch 3rd Party Firewalls eine IP zuweisen, der Rest mach der VPN Server.

 

Siehe auch: http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/intwork/inbe_vpn_obwd.asp

 

 

Da musst du nicht unbedingt das ganze Netz umstellen, was in einigen Situation auch ziemlich schwer fallen dürfte.

 

 

Gruss

Velius

 

P.S.: Wie auch schon erwähnt, kann ich nicht für die PIX reden, ich denke aber, dass die PIX sowas auch kann. In meinem Fall (Checkpoint NG) kann man zu einem DHCP relayen lassen, oder einen virtuellen Adress-Pool verwenden. Bei mir klappt's... ;)

[Dr Kiffer 10]

Hi Velius!

 

Problem liegt in der Sache, angenommen wir haben jetzt

 

Netz A --> 192.168.0.0

Netz B --> 192.168.0.0

 

Von Netz B wird eine Verbindung zu Netz A aufgebaut! vom DHCP aus Netz A bekommt der Client von Netz B z.B die IP-Adresse 192.168.0.12, da diese in Netz A noch frei ist und im DHCP Pool liegt! Aber in Netz B könnte diese Adresse schon belegt sein und da hätten wir schon den Ärger!

Ist ne ziemlich Kniffelige Sache!

 

Gruß

 

Dr.Kiffer

[Velius 10]

Dafür gibt's ja den Relay Agent oder?

Stell einen anderen DHCP Server mit einer von mir aus 172.16.0.0 Range auf und dein Problem ist geritzt.

 

So klappt's mit der Checkpoint:

Virtueller IP Range von 172.16.x.x von mir aus und nirgends gibt's ärger. Ich geb zu, mit dem RRAS hab ich's noch nicht gemacht, aber in der Theorie sollte das klappen.

 

 

P.S.: Das Problem liegt aber nicht darin, dass die IP schon vergeben ist, sondern dass der Client oder der Server nicht wissen wohin das Päckchen routen und es im schlimmsten Fall in's lokale Netz senden.

[Dr Kiffer 10]

Hi Velius!

 

Du hast recht! Mit den Routen ist klar also das beispiel mit dem adressen Konflikt wäre der schlimmste fall!

 

In den meisten fällen wird es so funktinieren ausser Donner und Blitz schlagen gleichzeitig ein und das Netz B ist das selbe wie das virtuelle :D

 

Gruß

 

Dr.Kiffer

[Velius 10]

Na ja, konflikte gibt's wohl auch keine, den wie gesagt, der L2TP macht keine Verbindungen ausser über den Tunnel, da kann im lokalen nicht viel passieren, und der DHCP im remote Netz vergibt nur einmal Adressen :D

 

 

Glücklicherweise habe ich bis jetzt noch keine Bude gesehen, die ein 172.16.x.x Range verwendet, aber ich bin noch jung