Ergebnis 1 bis 13 von 13

Thema: DHCP-Adresspool nur für VPN-Clients?

  1. #1
    IPPF-Einsteiger
    Registriert seit
    23.09.2016
    Beiträge
    25

    DHCP-Adresspool nur für VPN-Clients?

    Zur VPN-Konfiguration muss ja ein DHCP Adresspool angelegt bzw. wenn schon vorhanden, dann angegeben werden. Nun habe ich das Problem, das sich in diesem Adresspool auch normale Geräte aus dem lokalen Netzwerk registrieren. Ich möchte aber, das nur die VPN-Clients (Android-Geräte) diesen Pool nutzen können. Für die lokalen Geräte wird ein separater Adressbereich angelegt. Geht das irgendwie?

  2. #2
    IPPF Zweitausend-Club
    Registriert seit
    23.07.2006
    Ort
    NRW
    Beiträge
    2.163
    Klar, denn ein DHCP - Pool wird ja einer Schnittstelle zugeordnet. Und die definierten VPN - Verbindungen sind dabei eine auswählbare Schnittstelle.
    C&S Comfort Universal - DSL 16000
    Sipgate VoIP, blueSIP, Personal-Voip, voip2gsm
    bintec RS353jv, Elmeg Hybird 120j, Gigaset N510 IP Pro, Gigaset S510H Pro, R650H, OpenStage 40 SIP, Yealink T48G, Gigaset S850 A GO
    viele Kunden mit bintec be.ip plus / Digitalisierungsbox Premium & DECT 150 / D140 + Elmeg S560 u.v.m.

  3. #3
    IPPF-Erfahrener
    Registriert seit
    20.07.2015
    Ort
    SL
    Beiträge
    85
    Zitat Zitat von karl stülpner Beitrag anzeigen
    Zur VPN-Konfiguration muss ja ein DHCP Adresspool angelegt bzw. wenn schon vorhanden, dann angegeben werden.
    Nicht unbedingt. Je nachdem, wie viele Clients es sind, ist auch eine statische Adressvergabe vom Aufwand her überschaubar und gut machbar.
    DeutschlandLAN IP Voice/Data S Premium
    Router: RS353jv
    TK: hybird 300 · DECT150 mit 2x D130 · CS290 · CS410 mit T400/2 und Jabra Pro 920 · IP-S290 · IP-S400 mit Jabra Pro 9470 · Yealink T41P

  4. #4
    IPPF-Einsteiger
    Registriert seit
    23.09.2016
    Beiträge
    25
    Zitat Zitat von Kalle2006 Beitrag anzeigen
    Klar, denn ein DHCP - Pool wird ja einer Schnittstelle zugeordnet. Und die definierten VPN - Verbindungen sind dabei eine auswählbare Schnittstelle.
    Wo kann ich die VPN-Verbindungen denn als schnittstelle auswählen? Bei "lokale Dienste -> DHCP-Server" kann ich irgendwie nichts finden.

    Zitat Zitat von SFA1492 Beitrag anzeigen
    Nicht unbedingt. Je nachdem, wie viele Clients es sind, ist auch eine statische Adressvergabe vom Aufwand her überschaubar und gut machbar.
    Da sich die Clients in überschaubaren Größenordnungen halten (aktuell nur 2 Android-Handies) habe ich kein Problem mit einer staitschen Adresse. Im Idealfall sogar die, die das Gerät auch im lokalen Netz hat (falls das geht). Ich habe jetzt mal bei den IPSec-Peers unter "IPv4-Schnittstellenrouten" die Adressvergabe auf statisch gesetzt und eine IP-Adresse eingetragen, allerdings kann sich das Handy dann nicht mehr einwählen.

  5. #5
    IPPF-Fan
    Registriert seit
    09.09.2016
    Ort
    Südpfalz
    Beiträge
    142
    Zitat Zitat von karl stülpner Beitrag anzeigen
    Nun habe ich das Problem, das sich in diesem Adresspool auch normale Geräte aus dem lokalen Netzwerk registrieren. Ich möchte aber, das nur die VPN-Clients (Android-Geräte) diesen Pool nutzen können. Für die lokalen Geräte wird ein separater Adressbereich angelegt.
    Schau mal, ob Du bei deinem DHCP-Server wie auf dem Bild unten Adressbereiche von der Verteilung ausschließen kannst.

    dhcp.jpg
    Zur Erläuterung des Fotos:
    Grundsätzlich stehen bei mir die Adressen 192.168.0.1 bis 192.168.0.250 für die Verteilung zur Verfügung.
    Da ich jedoch statische IPs bevorzuge, nehme ich einen Großteil der IPs (192.168.0.1 bis 192.168.0.170, die sind für die statischen IPs) von der Verteilung von vornherein gleich wieder aus.
    192.168.0.240 bis 192.168.0.249 habe ich später zusätzlich ausgenommen, da ich diesen Bereich bei der be.ip plus bei VPN eingetragen habe.
    Der klägliche Rest an dynamisch verteilbaren IPs bleibt dann für alle Geräte, die - jedenfalls derzeit noch - keine statische IP bekommen haben.

  6. #6
    IPPF Zweitausend-Club
    Registriert seit
    23.07.2006
    Ort
    NRW
    Beiträge
    2.163
    Unter "DHCP-Server" -> DHCP-Konfiguration stehen alle Schnittstellen denen ein DHCP - Pool zugeordnet ist.
    In diesem Menu kann man auch einen Eintrag mit dem VPN-Zugang als Schnittstelle anlegen und den IP-Poolnamen zuordnen.
    C&S Comfort Universal - DSL 16000
    Sipgate VoIP, blueSIP, Personal-Voip, voip2gsm
    bintec RS353jv, Elmeg Hybird 120j, Gigaset N510 IP Pro, Gigaset S510H Pro, R650H, OpenStage 40 SIP, Yealink T48G, Gigaset S850 A GO
    viele Kunden mit bintec be.ip plus / Digitalisierungsbox Premium & DECT 150 / D140 + Elmeg S560 u.v.m.

  7. #7
    IPPF-Einsteiger
    Registriert seit
    23.09.2016
    Beiträge
    25
    Zitat Zitat von Werner_1959 Beitrag anzeigen
    Schau mal, ob Du bei deinem DHCP-Server wie auf dem Bild unten Adressbereiche von der Verteilung ausschließen kannst.
    Hallo Werner, das Menu ist aber nicht von einer be.IP plus, oder? Sowas hab ich jedenfalls nicht.

    Zitat Zitat von Kalle2006 Beitrag anzeigen
    Unter "DHCP-Server" -> DHCP-Konfiguration stehen alle Schnittstellen denen ein DHCP - Pool zugeordnet ist.
    In diesem Menu kann man auch einen Eintrag mit dem VPN-Zugang als Schnittstelle anlegen und den IP-Poolnamen zuordnen.
    Hallo Kalle, genau dort hatte ich geschaut, ob man eine Schnittstelle zuweisen kann, in der Liste stand jedoch nur die br0. Da ich sowieso komische Probleme mit der Anlage habe, habe ich einen Factory-Reset gemacht und dann die vorher gesicherte Konfiguration zurückgespielt. Und siehe da, jetzt kann ich unter Schnittstellen auch das VPN auswählen.

    ...dafür geht die firewall jetzt nicht mehr.

  8. #8
    IPPF Zweitausend-Club
    Registriert seit
    23.07.2006
    Ort
    NRW
    Beiträge
    2.163
    Mit dem Einspielen der gesicherten Konfiguration hast du ja auch den alten Zustand wiederhergestellt.
    C&S Comfort Universal - DSL 16000
    Sipgate VoIP, blueSIP, Personal-Voip, voip2gsm
    bintec RS353jv, Elmeg Hybird 120j, Gigaset N510 IP Pro, Gigaset S510H Pro, R650H, OpenStage 40 SIP, Yealink T48G, Gigaset S850 A GO
    viele Kunden mit bintec be.ip plus / Digitalisierungsbox Premium & DECT 150 / D140 + Elmeg S560 u.v.m.

  9. #9
    IPPF-Einsteiger
    Registriert seit
    23.09.2016
    Beiträge
    25
    Ja, das hab ich mir dann auch gedacht. Also hab ich jetzt nochmals factory reset gemacht und die groben Telefoniefunktionen konfiguriert, damit ic hwenigstens erreichbar. Ein kurzer Test der firewall brachte jedoch das gleiche Ergebnis wie vorher - funktioniert nicht.
    Test:
    - Adresse eines Netzwerkgerätes eingerichtet
    - Quelle -> diese Adresse
    - Ziel -> WAN Telekom
    - Dienst -> any
    - Zugriff -> verweigern
    ergebnis: Gerät kommt immer noch ins internet

  10. #10
    IPPF-Fan
    Registriert seit
    09.09.2016
    Ort
    Südpfalz
    Beiträge
    142
    Zitat Zitat von karl stülpner Beitrag anzeigen
    Hallo Werner, das Menu ist aber nicht von einer be.IP plus, oder? Sowas hab ich jedenfalls nicht.
    Nein, das ist der DHCP-Server auf einem Windows-Server (Windows Home Server 2011). Ich wollte damit nur vom Prinzip her verdeutlichen, dass alle IP-Adressen, die nicht explizit von der Verteilung ausgeschlossen werden, nach Lust und Laune des DHCP-Servers irgendwelchen Clients (PCs, Smartphones, Waschmaschinen, usw.) dynamisch zugeteilt werden. Denn du hast ja geschrieben, dass bei dir "sich in diesem Adresspool auch normale Geräte aus dem lokalen Netzwerk registrieren".

    Sorry, falls ich zu deiner Verwirrung beigetragen habe. Ich nehme an, dass es beim DHCP-Server der be.ip plus, den ich mir allerdings nie näher angeschaut habe, ebenfalls eine Funktion gibt, mit der man IP-Adressen von der allgemeinen dynamischen Verteilung ausschließen kann. Allerdings könnte es auch so sein, dass ein unter VPN eingetragener IP-Bereich automatisch beim DHCP-Server der be.ip plus zu einem gesperrten Bereich wird, ohne diesen dort (bei DHCP-Server) nochmals explizit ausschließen zu müssen.

    Soweit meine Annahmen, als ich Dir hier geschrieben hatte.

    Wenn ich mir das nun ansehe in meiner Anlage schaut das unter VPN so aus:

    vpn.JPG

    Ich erinnere mich, den Bereich 192.168.0.240 - 192.168.0.249 so auch explizit selbst eingetragen zu haben. Der andere Bereich ist m.E. das WLan-Gastnetz.

    Wenn ich nun die DHCP-Konfiguration aufrufe (ohne dass der dortige Server nun aktiv wäre, wobei ich nicht mal weiß, wie das ginge), finde ich diesen reservierten Bereich dort (m. W. automatisch) als ausgeschlossenen Bereich eingetragen vor:

    dhcp.JPG

    Damit ist sichergestellt, dass der DHCP-Server die IPs aus dem Bereich 192.168.0.240 - 192.168.0.249 nicht an deine Waschmaschine oder Deine Spielkonsole oder sonstwohin, sondern nur an VPN-Clients vergibt.

    Da ich, wie gesagt, einen separaten DHCP-Server verwende, muss ich den Bereich natürlich DORT ausschließen.

    Schau Dir mal unter
    https://www.telekom.de/hilfe/downloa...e-uebervpn.pdf
    die Anleitung an, auch wenn die Anleitung sich auf eine alte Benutzeroberfläche (der insoweit vergleichbaren Digitalisierungsbox der Telekom) bezieht, das Prinzip ist das gleiche. Insbesondere S. 3 des PDFs, da steht was über den IP-Adresspool für die Einwahl-Clients.
    Geändert von Werner_1959 (12.01.2017 um 10:43 Uhr)

  11. #11
    IPPF-Einsteiger
    Registriert seit
    23.09.2016
    Beiträge
    25
    Hallo Werner, ja so sieht das jetzt bei mir auch aus. Inzwischen weiß ich auch, in welcher Reihenfolge die Adresspools angelegt werden müssen - nachträglich Schnittstelle ändern geht ja nicht.
    VPN funktioniert jetzt wieder, ich kann auf die Login-Seite der be.ip zugreifen. Allerdings wars das dann auch - auf andere lokale Geräte (NAS, Fritte etc.) kann ich nicht zugreifen. Was ist da schon wieder falsch?

  12. #12
    IPPF-Einsteiger
    Registriert seit
    04.03.2010
    Beiträge
    22
    Hallo karl stülpner,

    das liegt wahrscheinlich am fehlenden Proxy ARP.
    Wenn du für die VPN-Client Einwahl denselben IP-Bereich gewählt hast, den du auch im LAN verwendest, dann versuchen Netzwerkteilnehmer in deinem LAN (für die Antwort) eine ARP Auflösung um im Layer 2 zu kommunizieren. Da IPSec im Layer 3 aufsetzt (Routing) muss hier die be.IP im LAN für den eingewählten Client antworten.
    Bitte sowohl auf der LAN Schnittstelle (br0) als auch am IPSec Tunnel Proxy-ARP aktivieren.
    Findest du jeweils unter den erweiterten Einstellungen.

    Vorsicht: Niemals Proxy-ARP auf der Schnittstelle über die die Default Route zeigt (also z.B. dein WAN-Partner 30010001) aktivieren!

    Gruß

    MvmmgdA
    MvmmgdA

    (Mal verliert man, mal gewinnen die Anderen!)
    (2463915. Abwandlung vom Murphy's Law)

  13. #13
    IPPF-Einsteiger
    Registriert seit
    23.09.2016
    Beiträge
    25
    Hallo MvmmgdA,
    danke, das wars. Zugriff geht jetzt.

Ähnliche Themen

  1. [Gelöst] Geändertes IPv6 Prefix ohne DHCP an Clients weiterleiten
    Von rentier-s im Forum FRITZ!Box Fon: DSL, Internet und Netzwerk
    Antworten: 5
    Letzter Beitrag: 12.03.2015, 07:44
  2. IP-Adresspool
    Von kleinroland im Forum Kabel-BW
    Antworten: 5
    Letzter Beitrag: 27.11.2010, 14:30
  3. Antworten: 15
    Letzter Beitrag: 31.08.2009, 14:49
  4. 7270 und Kabel-Internet: Merkwürdige DHCP-Clients
    Von sportfreund im Forum FRITZ!Box Fon: DSL, Internet und Netzwerk
    Antworten: 22
    Letzter Beitrag: 28.10.2008, 17:22
  5. DHCP Clients löschen
    Von thuebner im Forum FRITZ!Box Fon: DSL, Internet und Netzwerk
    Antworten: 5
    Letzter Beitrag: 21.01.2005, 21:06

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •