Jump to content

VPN mit NAT HowTo ?!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi dippas,

 

was meinst Du?

Der Client baut den Tunnel auf. Der Router auf Clientseite hat seine Routing Tabelle und merkt sich welche Antwortpakete an welchen internen Rechner zurückgeschickt werden. Auf Serverseite ähnlich. Ist der Router der VPN Server, weiß er von wem die VPN Pakete kommen und merkt sie sich. Leitet dann alles ins interne Netz weiter. Antwortpakete auf die Anfragen schickt er wieder and den Router auf Clientseite raus, der entsprechend Routingtabelle ins interne Netz an den VPN Clinet zurückschickt.

 

Und nun soll das entfernte Netz den Tunnel aufbauen? Dann müssen die entsprechenden Client und Server natürlich vertauscht werden.

 

Sonst weiß ich erst mal nicht, was gemeint ist. :confused:

 

Grüße

Mülli

Link zu diesem Kommentar
Sonst weiß ich erst mal nicht, was gemeint ist. :confused:

 

ok, hier etwas bessere Informationen:

 

- der Tunnel steht

- ich sitze am Rechner (normaler PC) mit der IP 10.11.12.13

- der bei mir im Netz stehende Server - wo Alex drauf will - hat die IP 10.11.12.2 (Beispiel)

- der PC, an dem Alex sitzt hat bei sich die IP 192.168.1.15

 

Jetzt ruft Alex an und sagt: "klappt nich, tu mal Remotedesktop bei mir"

 

Was passiert?

 

Nicht vergessen: Ich habe auch ein Netz 192.168.1.x

 

Off-Topic:

Besser ausgedrückt?

 

grüße

 

dippas

Link zu diesem Kommentar

Du schreibst einmal:

Ich sitze am Rechner mit einer 10. ... IP

 

Dann schreibst Du:

Nicht vergessen: Ich habe auch ein Netz 192. ... IP

 

In dem Moment, wo der Tunnel steht, hat Alex doch automatisch ein zweites virtuelles Netzwerkinterface mit einer IP aus dem 10er Netz vom VPN Server zugewiesen bekommen. Er kann also ruhig vorher in seinem 192er Netz sitzen. Das nimmt im keiner weg. Parallel dazu bekommt er aber ein 10er dazu. Der Rechner routet nun alles, in der Hoffnung ein Interface wird schon klappen. Nun kann er von mir aus auch den Remote Desktop zu dem Rechner im 10er Netz iniziieren.

 

Vielleicht raff ich da irgendwas nicht. Mach jetzt erst mal Mittag :wink2:

 

Gruß

Mülli

Link zu diesem Kommentar
Du schreibst einmal:

Ich sitze am Rechner mit einer 10. ... IP

 

yo

 

Dann schreibst Du:

Nicht vergessen: Ich habe auch ein Netz 192. ... IP

 

yo

 

In dem Moment, wo der Tunnel steht, hat Alex doch automatisch ein zweites virtuelles Netzwerkinterface mit einer IP aus dem 10er Netz vom VPN Server zugewiesen bekommen. Er kann also ruhig vorher in seinem 192er Netz sitzen. Das nimmt im keiner weg. Parallel dazu bekommt er aber ein 10er dazu. Der Rechner routet nun alles, in der Hoffnung ein Interface wird schon klappen. Nun kann er von mir aus auch den Remote Desktop zu dem Rechner im 10er Netz iniziieren.

 

Genau andersherum denken:

Die Aufgabe ist nicht, dass Alex auf das 10er Netz zugreifen soll, sondern das ich aus dem 10er Netz auf Rechner von Alex zugreife.

 

Vielleicht raff ich da irgendwas nicht. Mach jetzt erst mal Mittag :wink2:

 

Mahlzeit :D

 

OK, hier nun mein Gedankengang:

Ich beschäftigt euch munter mit NAT, Site-to-Site-VPNs, Clienteinwahl irgendwo, maskierte IP-Adressen usw.

 

Bei allen Lösungsansätzen wird aber meines Erachtens immer vergessen, dass es da ja auch noch das hinter dem 10er Netz liegende 192.168.1.x Netz gibt.

 

Jetzt kommt die vertrackte Ssche mit dem Routing:

Derjenige, der im 10er Netz sitzt und einen Rechner 192.168.1.x erreichen will, landet automatisch im eigenen 192.168.1.x Netz und nicht im 192.168.1.x Netz von Alex. Das liegt daran, dass das Gateway aus dem 10er Netz ja nur 1 Netz 192.168.1.x kennen kann und weis, wie er das erreicht. Das 192er Netz von Alex erreicht der durch den Tunnel nicht, weil er ja woanders hin geroutet wird.

 

Also ist alles, was zum Thema Site-to-Site-VPN geschrieben wurde hinfällig, es sei denn, einer ändert seinen IP-Kreis. Ein Site-to-Site-VPN ist ja nichts anderes, als eine Netzkopplung, bei der alle Netze (je nach Konfiguration) mit allen kommunizieren können.

 

Hier würde ein Gesamtnetz aus 3 Einzelnetzen entstehen und die müssen nun mal unterschiedliche IP-Kreise haben.

 

Anders verhält sich die Sache, wenn Alex nur und ausschließlich von einem einzigen Rechner aus auf das andere Netz zugreifen will. Dann funzt es so, wie Du es schreibst, weil Alex mit seinem einzigen PC eben auch Teilnehmer des 10er Netzes ist und von daher Zugriff auf sein 192er und "mein" 10er Netz hat (sofern "Standartgateway des Remotenetzwerks .." abgewählt ist). Dazu etabliert Alex halt ne VPN-Verbindung von seinem Client zum 10er Netz.

 

Kurzfassung:

Site-to-Site-VPN klappt ohne IP-Änderungen gar nicht

Client-to-Site-VPN klappt zwar, aber dann nur von einem einzigen Rechner

 

Allerdings stellt sich mir die Frage, warum der Besitzer des 10er Netzes sein 192er nicht ändert, wo er es doch wohl eh´ nicht braucht :confused:

 

Verstanden was ich meine?

 

grüße

 

dippas

Link zu diesem Kommentar

Na, das ist ja mal 'ne lustige Sache wieder. Wobei mir der Sinn von zwei privaten Netzen, also einem weiteren 192er hinter oder neben dem 10er verschlossen bleibt. Ich meine der Sinn von unterschiedlichen Subnetzen ist schon klar - ich will halt trennen, aber dann muss ich nicht hinten herum durch die kalte Küche wieder alles zusammenfügen oder unbedingt beide Netze über einen Tunnel erreichen wollen. Na egal.

Kann er vielleicht im 192er Netz einige IP's im DHCP sperren lassen? Diese wiederum hätte der Kollege auf der anderen Seite zur Verfügung. Alles was dann im 192er Netz nicht aufgelöst werden kann wird über das 10er Netz in den Tunnel geroutet. Weiß nicht, ob das gehen würde. man müsste für einzelne 192er Adressbereiche eine andere Route festlegen. Ist aber auch Quatsch, denn der Tunnel hat am anderen Ende 'ne 10er Adresse und niemand weiß, das dahinter halt das andere 192er ist.

Also ich glaube, ich würd's lassen.

 

Gruß

Mülli

Link zu diesem Kommentar
yo

 

 

 

yo

 

 

 

Genau andersherum denken:

Die Aufgabe ist nicht, dass Alex auf das 10er Netz zugreifen soll, sondern das ich aus dem 10er Netz auf Rechner von Alex zugreife.

 

 

 

Mahlzeit :D

 

OK, hier nun mein Gedankengang:

Ich beschäftigt euch munter mit NAT, Site-to-Site-VPNs, Clienteinwahl irgendwo, maskierte IP-Adressen usw.

 

Bei allen Lösungsansätzen wird aber meines Erachtens immer vergessen, dass es da ja auch noch das hinter dem 10er Netz liegende 192.168.1.x Netz gibt.

 

Jetzt kommt die vertrackte Ssche mit dem Routing:

Derjenige, der im 10er Netz sitzt und einen Rechner 192.168.1.x erreichen will, landet automatisch im eigenen 192.168.1.x Netz und nicht im 192.168.1.x Netz von Alex. Das liegt daran, dass das Gateway aus dem 10er Netz ja nur 1 Netz 192.168.1.x kennen kann und weis, wie er das erreicht. Das 192er Netz von Alex erreicht der durch den Tunnel nicht, weil er ja woanders hin geroutet wird.

 

Also ist alles, was zum Thema Site-to-Site-VPN geschrieben wurde hinfällig, es sei denn, einer ändert seinen IP-Kreis. Ein Site-to-Site-VPN ist ja nichts anderes, als eine Netzkopplung, bei der alle Netze (je nach Konfiguration) mit allen kommunizieren können.

 

Hier würde ein Gesamtnetz aus 3 Einzelnetzen entstehen und die müssen nun mal unterschiedliche IP-Kreise haben.

 

Anders verhält sich die Sache, wenn Alex nur und ausschließlich von einem einzigen Rechner aus auf das andere Netz zugreifen will. Dann funzt es so, wie Du es schreibst, weil Alex mit seinem einzigen PC eben auch Teilnehmer des 10er Netzes ist und von daher Zugriff auf sein 192er und "mein" 10er Netz hat (sofern "Standartgateway des Remotenetzwerks .." abgewählt ist). Dazu etabliert Alex halt ne VPN-Verbindung von seinem Client zum 10er Netz.

 

Kurzfassung:

Site-to-Site-VPN klappt ohne IP-Änderungen gar nicht

Client-to-Site-VPN klappt zwar, aber dann nur von einem einzigen Rechner

 

Allerdings stellt sich mir die Frage, warum der Besitzer des 10er Netzes sein 192er nicht ändert, wo er es doch wohl eh´ nicht braucht :confused:

 

Verstanden was ich meine?

 

grüße

 

dippas

 

Hi,

Also ich sehe, das Thema VPN mit gleichen Netzen auf beiden Seiten kann eine ganze Community beschäftigen. Also das Problem mit der Rückkehr auf dem richtigen Pfad meiner Datenpakete habe ich nun verstanden. Das entfernte Netz weiß nicht, ob es eine Adresse aus ihrem eigenen 192 Netz ist oder meine entfernte.

Was ich nicht verstehe, wieso ich eine andrere IP bekomme? Ich öffne doch keinen Client oder so, das geht doch automatisch die Umleitung über das VPN sobald ich die Ziel IP anwähle oder nicht?

Also eine Verbindung von einem Single-Client mit einem VPN Clienten sollte funktionieren, aber die globale Lösung, dass alle aus unserem Netz auf den Zielrechner zugreifen können funktioniert nicht ?

Link zu diesem Kommentar
Hi,

Also ich sehe, das Thema VPN mit gleichen Netzen auf beiden Seiten kann eine ganze Community beschäftigen.

 

Es ist eher das Problem mit dem Verständnis für das richtige Routing ;)

 

Also das Problem mit der Rückkehr auf dem richtigen Pfad meiner Datenpakete habe ich nun verstanden. Das entfernte Netz weiß nicht, ob es eine Adresse aus ihrem eigenen 192 Netz ist oder meine entfernte.

 

Damit hast Du schon so ziemlich das Wichtigste aus dem Routing-Bereich verstanden :)

 

Was ich nicht verstehe, wieso ich eine andrere IP bekomme?

 

Das ist abhängig davon, wie der VPN-Server eingestellt ist:

er kann IPs an VPN-Clients vergeben, oder ein "Transfernetz" mit einem Site-to-Site-VPN-Partner aufbauen, oder (bei Site-to-Site) auch ohne IP-Adressen für den Tunnel arbeiten.

 

Ich öffne doch keinen Client oder so, das geht doch automatisch die Umleitung über das VPN sobald ich die Ziel IP anwähle oder nicht? Also eine Verbindung von einem Single-Client mit einem VPN Clienten sollte funktionieren, aber die globale Lösung, dass alle aus unserem Netz auf den Zielrechner zugreifen können funktioniert nicht ?

 

ok, ich versuche den Unterschied mal zu erklären:

 

Wenn Du mit einem stumpfen Software-Client von Deinem PC eine VPN-verbindung aufmachst, erhälst Du eine "virtuelle" Netzwerkkarte von der Software "eingebaut", mit einer IP-Adresse aus dem entfernten Netz. Das ganze funkioniert dann genau so, als hättest Du 2 reale Netzwerkkarten in deinem Rechner stecken.

 

Bei einer globalen Lösung ist es so, dass ein Router/eine Firewall den Tunnel aufmacht. Die PCs haben weiterhin nur ihre eigene Netzwerkkarte drin.

 

Bei den PCs gibt es entsprechenden IP-Einstellungen, unter anderem auch ein Gateway. Alle Anfragen für ein anderes als das eigene Netz, werden automatisch ans Gateway gegeben. Dafür ist es ja schließlich da ;)

 

Am Gateway sind nun Routing-Tabellen eingetragen, die sinngemäß folgendes enthalten:

 

(eigene LAN-IP 192.168.1.1)

Anfrage für Zielnetz 192.168.2.0 -> bitte durch den VPN-Tunnel,

Anfrage für Zielnetz 192.168.3.0 -> bitte bei Router 192.168.1.5 melden (der verbindet das Büro mit der Werkstatt)

Anfrage für Zielnetz 192.168.4.0 -> bitte bei Router 192.168.1.10 melden (der macht eine ISDN-Einwahl zum SmallOffice von Herrn Meier)

Anfrage für Zielnetz 0.0.0.0 (also alles andere) -> bitte an die WAN-Adresse leiten

usw.

 

Die hier beteiligten Router haben ebenfalls solche Tabellen. Die wissen also auch, über welchen Weg sie welches Netz erreichen. Das kann händisch eingetragen werden oder via RIP oder OSPF automatisch von den Routern untereinander ermittelt werden.

 

Würdest Du beispielsweise noch selbst ein Netz 192.168.2.0 haben, wo sollte das denn dann hingeleitet werden, wenn ja schon eine Regel besagt, dass dieses Netz hinter dem VPN-Tunnel steckt?

 

verstanden, oder fehlt noch was an Info?

 

grüße

 

dippas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...