Fritzbox, VPN, PC-to-LAN-Verbindung, Routing?

[AlbertMinrich]

Hallo,

Am Standort 1 ist eine Fritzbox 7270. Es hängen 2 PC´s dran.

Am Standort 2 ist ein PC mit Fritzcard (Internetzugang über ISDN) mit installierter Fritz-Fernzugangssoftware.
VPN klappt einwandfrei. Der PC am Standort 2 kann auf alle PC´s am Standort 1 zugreifen.
Ebenso können alle PC´s am Standort 1 auf den PC am Standort 2 zugreifen.

Wie aber bekomme ich es hin, dass auch andere PC´s am Standort 2 (die im gleichen Netz hängen wie der PC mit der Fritz-Fernzugangssoftware)
über das VPN erreichbar sind bzw. über das VPN auf Standort 1 zugreifen können?

Ich weiss, mit einer FB-to-FB-Verbindung wär´s kein Problem, hab ich aber nicht.

Danke
Martin

 

[frank_m24]

Hallo,

gar nicht. Die Verbindung müsste ja über den PC mit der VPN Verbindung laufen. Dafür gibt es in Windows die "Internetverbindungsfreigabe". Aber: die AVM VPN Lösung stellt kein virtuelles Netzwerkinterface zur Verfügung, auf dem man diese Freigabe anwenden könnte.

Die ISDN Internetverbindung könntest du noch freigeben. Aber für VPN geht das nicht.

 

[AlbertMinrich]

Danke erstmal.

Nächster Versuch.
Ich stelle die VPN-Verbindung nicht über die Fritz!Fernzugangssoftware her, sondern mache auf der Fritzbox die entsprechenden Portfreigaben um eine VPN-Verbindung von dem PC von Standort2 (Assistent für neue Verbindungen > Verbindung mit dem Netzwerk am Arbeitsplatz herstellen > VPN-Verbindung>...) auf einen PC am Standort1 (Assistent für neue Verbindungen > Eine erweiterte Verbindung einrichten > Eingehende Verbindungen zulassen >...) herzustellen.
Klappt wunderbar.
Die beiden PC´s können sich erreichen. PC von Standort2 kann alle PC´s am Standort 1 erreichen, alle PC´s von Standort1 können den PC von Standort2 erreichen.
Ich bin also genauso weit wie vorher, zusätzlich hab ich jetzt auch eine virtuelles Netzwerkinterface:
ipconfig liefert (u.a.) dies
PPP-Adapter testvpn:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.2.27
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 172.16.2.27

Trotzdem kann ich das Netz hinter dem Standort2-PC noch nicht erreichen.
Was fehlt noch?

Danke
Martin

 

[frank_m24]

Hallo,

Trotzdem kann ich das Netz hinter dem Standort2-PC noch nicht erreichen.
Was fehlt noch?

Die Verbindungsfreigabe an Standort 2. Die PCs dort wissen ja noch nicht, wie sie das Netz an Standort 1 erreichen können. Also muss man ihnen sagen, dass sie es über den PC mit der VPN Verbindung erreichen können. Das macht man, indem man die Verbindung auf dem VPN PC freigibt und die anderen PCs ihn als Router verwenden. Die Option ist leider nicht sehr komfortabel, sie führt u.a. dazu, dass die IP-Adresse des VPN PCs fest vorgegeben wird. Aber möglich ist es.

Zum Thema "Internetverbindungsfreigabe" gibt es sehr viele Seiten im Internet. Das hier ausführlich zu erläutern, würde zu weit führen.

 

[AlbertMinrich]

Hallo,

danke nochmal.

Hab das jetzt gemacht, also die Internetverbindungsfreigabe aktiviert für das Netzwerkinterface testvpn.
Jetzt bin ich einen Schritt weiter als vorher.
Also der PC am Standort2 hat die lokale IP 192.168.0.1 bekommen.
Einem weiteren PC am Standort2 hab ich die IP 192.168.0.2 gegeben.
Von diesen beiden PC´s kann ich jetzt alle PC´s am Standort1 erreichen. Z.B. per ping, rdp und 'net use' (funktioniert hat das aber auch erst, nachdem ich in den 'Eigenschaften des Netzwerkinterfaces testvpn > Erweitert > Windows-Firewall Einstellungen > Erweitert > Einstellungen von testvpn > ICMP' mal alle Haken gesetzt habe).

Komischerweise funktioniert die Gegenrichtung nicht. Die Standort1-PC´s können die Standort2-PC´s nicht erreichen. Nicht mal der PC, der die vpn-Verbindung aufgebaut hat, ist erreichbar. Auf jeden Fall nicht über die 192.168.0.1, nur über die vpn-IP-Adresse, die er bei Einwahl erhalten hat.

Testweise hab ich dann analog zur testvpn alle ICMP-Haken gesetzt für LAN-Verbindung (dazu gehört ja die 192.168.0.1). Hat aber nichts gebracht.

Was kann ich noch machen?


Danke
Martin

 

[frank_m24]

Hallo,

Komischerweise funktioniert die Gegenrichtung nicht.

Finde ich bei näherer Betrachtung nicht komisch. War eigentlich zu erwarten.

Auf jeden Fall nicht über die 192.168.0.1, nur über die vpn-IP-Adresse, die er bei Einwahl erhalten hat.

Das Problem ist, dass die Internetverbindungsfreigabe wie ein NAT Router arbeitet. Folglich sind die PCs an Standort 2 nicht vom Standort 1 aus erreichbar.

Damit die beiden Netze sich uneingeschränkt gegenseitig erreichen können, müssten die entsprechenden Gateways vollwertig routen. Das ist mit Windows möglich, ausprobiert habe ich es aber noch nie. Folgendes müsste meines Erachtens getan werden:
- Die Internetverbindungsfreigabe muss wieder aufgehoben werden
- Die verwendeten IP-Subnetze an Standort 1 und an Standort 2 müssen sich unterscheiden
- Dann wird ein VPN Server und ein Client identifiziert, die eine VPN Verbindung zwischen den Netzen aufbauen (das scheint ja schon zu funktionieren)
- Auf diesen beiden PCs wird gemäß diesem Artikel die IP Routing Funktion aktiviert.
- Alle anderen PCs bekommen eine Statische Route auf das jeweils gegenüber liegende Subnetz, als Gateway die lokale IP des VPN Gateways
- Auf jedem beteiligten PC (nicht nur auf den Gateways) muss das jeweils fremde Subnetz in der Firewall freigeschaltet werden.

Das könnte funktionieren.

 

[AlbertMinrich]

Hallo,

Die verwendeten IP-Subnetze an Standort 1 und an Standort 2 müssen sich unterscheiden

tun sie:
Standort1: 172.16.2.x/24
Standort2: 192.168.0.x/24

Dann wird ein VPN Server und ein Client identifiziert, die eine VPN Verbindung zwischen den Netzen aufbauen

ja, funktioniert

Auf diesen beiden PCs wird gemäß diesem Artikel die IP Routing Funktion aktiviert.

hatte ich schon gemacht bei beiden PC´s.

Alle anderen PCs bekommen eine Statische Route auf das jeweils gegenüber liegende Subnetz, als Gateway die lokale IP des VPN Gateways

haben sie.

Auf jedem beteiligten PC (nicht nur auf den Gateways) muss das jeweils fremde Subnetz in der Firewall freigeschaltet werden.

Firewall ist bei allen beteiligten PC´s deaktiviert.

Klappen tut´s immer noch nicht. Hier mal ein paar Daten.
ipconfig von PC an Standort1:
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.2.101
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :172.16.2.1
PPP-Adapter RAS-Server-(Einwähl)-Schnittstelle:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.2.25
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :

172.16.2.1 ist die Fritzbox.

ipconfig von (VPN)-PC an Standort2:
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.0.1
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
PPP-Adapter msn easysurfer-power:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 217.184.99.183
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 217.184.99.183
PPP-Adapter testvpn:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.2.27
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 172.16.2.27

Wenn wir das ganze mal reduzieren auf die beiden (VPN)-PC´s und die dahinterliegenden Netze ausser Acht lassen, dann sollte es doch als erstes mal funktionieren, dass ich vom Standort1-PC die lokale IP-Adresse des Standort2-PC´s anpingen kann, also "ping 192.168.0.1". Geht aber nicht.
Mache ich einen "tracert 192.168.0.1", dann sehe ich, er will die IP-Adresse über die 172.16.2.1 (also die Fritzbox) erreichen. Das ist natürlich quatsch, er soll sie ja über das VPN erreichen.
Also versuche ich diese Route zu setzen
"route add 192.168.0.0 mask 255.255.255.0 172.16.2.25"
Ergebnis: Hinzufügen der Route fehlgeschlagen: Falscher Parameter.
Nächster Versuch:
"route add 192.168.0.0 mask 255.255.255.0 172.16.2.27"
Klappt, aber keine Besserung.
"tracert 192.168.0.1" bringt jetzt nur Sternchen und immer Zeitüberschreitung der Anforderung.

Danke schon mal
Martin

 

[frank_m24]

Hallo,

Mache ich einen "tracert 192.168.0.1", dann sehe ich, er will die IP-Adresse über die 172.16.2.1 (also die Fritzbox) erreichen.

Das ist ein sicheres Zeichen dafür, dass die statische Route noch nicht stimmt.

Was mir auffällt: Der PC an Standort 1 hat 2 IPs aus dem gleichen Subnetz. Das kann zu Problemen führen. Evtl. muss die VPN Verbindung in einem eigenen Subnetz laufen.

"route add 192.168.0.0 mask 255.255.255.0 172.16.2.25"
Ergebnis: Hinzufügen der Route fehlgeschlagen: Falscher Parameter.

Hmm, hier hätte ich erwartet, dass es funktionert. Was ist, wenn du anstatt der lokalen IP die VPN IP von der anderen Seite des Tunnels angibst?
Oder wenn du auch noch ein Interface angibst?

 

[AlbertMinrich]

Hallo,

Das ist ein sicheres Zeichen dafür, dass die statische Route noch nicht stimmt.

ja, deshalb wollte ich auch eine Route setzen.

Was mir auffällt: Der PC an Standort 1 hat 2 IPs aus dem gleichen Subnetz. Das kann zu Problemen führen. Evtl. muss die VPN Verbindung in einem eigenen Subnetz laufen.

Wenn man eine eingehende Verbindung einrichtet, dann werden diese VPN-IP-Adressen erstmal automatisch vergeben. Ich hab´s aber inzwischen geändert auf ein eigenes Subnetz (172.16.3.x/24).

Also, der Standort1-PC sieht jetzt so aus:
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.2.101
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :172.16.2.1
PPP-Adapter RAS-Server-(Einwähl)-Schnittstelle:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.3.25
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :

Der Standort2-PC so:
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.0.1
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
PPP-Adapter msn easysurfer-power:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 217.184.99.183
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 217.184.99.183
PPP-Adapter testvpn:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 172.16.3.27
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 172.16.3.27

Das Problem bleibt das gleiche. Vom Standort2-PC kann ich alles anpingen (172.16.3.25, 172.16.2.101), vom Standort1-PC erreiche ich nur die 172.16.3.27.

Hab versucht, folgende Routen zu setzen:
"route add 192.168.0.0 mask 255.255.255.0 172.16.3.25"
Ergebnis: "Hinzufügen der Route fehlgeschlagen. Falscher Parameter."

"route add 192.168.0.0 mask 255.255.255.0 172.16.3.27"
Ergebnis: "Hinzufügen der Route fehlgeschlagen. Entweder ist der Schnittstellenindex ungültig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstelle. Überprüfen Sie die IP-Adresstabelle für diesen Rechner."

Den Parameter IF beim route-Befehl hab ich bisher noch nie gebraucht. Wie krieg ich denn raus, welche Schnittstelle welche Schnittstellennummer hat?

Danke
Martin