.titleBar { margin-bottom: 5px!important; }

VPN und verschiedene Subnets

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Knappe, 10 Dez. 2008.

  1. Knappe

    Knappe Neuer User

    Registriert seit:
    6 Juni 2005
    Beiträge:
    49
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    habe zu diesen Stichworten zunächst einmal nur dieses Themen-Forum gefunden, obwohl mein Problem nichts mit der Fritz!Box direkt zu tun hat.

    Hintergrund:
    Es sollen VPN-Zugriffe von Clients auf das eigene Netz realisiert werden.
    Die Verbindung dieses Lokalen Netzes mit dem Internet erfolgt via einem (Draytek)-Router, der auch einen VPN-Server beinhaltet (habe auch noch eine FRITZ!Box und könnte die an dessen Stelle einsetzen).

    Da Problem ist nun, daß hinter dem Router ein eigener Server mit verschiedenen Subnets installiert ist.
    Bisher werden alle Zugriffe zwischen Router und Server durchgereicht, dann vom Server maskiert und an die Subnets weitergereicht.

    Es wäre nun notwendig, daß die VPN-Clients via VPN-Server (auf dem Router ) auf den eigentlichen Server zugreifen können.

    Der Router hat bspw. IP 192.168.1.1, der Server 192.168.1.2 beide im Subnet 255.255.255.0

    Leider funktioniert das nicht (zumindest nicht mit dem Draytek), da dieser den VPN-Clients grundsätzlich das Subnet 255.255.255.255 zuordnet und auch Gateway-IP = Ip-Nr setzt (bei PPTP).
    Auch IpSec hilft nicht, da die hinterlegten Remote-IP´s nicht mit dem GW zum Server hin geroutet werden (route print).

    Ich habe auch mal eine statische Route von 192.168.1.1 nach 129.168.1.2 gelegt. Hat aber auch nicht geholfen.


    Gibt es irgendeine Möglichkeit das zu realisieren (OHNE einen VPN-Server auf dem Server zu installieren) ?

    Bin für alle Vorschläge offen ....http://www.ip-phone-forum.de/images/smilies/icon_razz.gif

    P.S. Es handelt sich NICHT um eine Lan->LAN-Verbindung !
     
  2. Flouw

    Flouw Neuer User

    Registriert seit:
    26 Jan. 2008
    Beiträge:
    36
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Servus,
    so lange die Rechner, wlche über VPN angeschlossen sind nur zum Server connecten können sollen hält sich das Problem in Grenzen! Dein VPN Server muss dem VPN Client die Route in das Subnet 192.168.1.0 255.255.255.0 übergeben und sich selbst als Gateway für dieses Subnet eintragen. Dann darf sich der Client natürlich lokal nicht auch im Subnet 192.168.1.0 befinden, sonst bekommst du Komplikationen.
    So wie ich dein Problem verstanden hab, sollte es so zu lösen sein!

    Grüße
     
  3. Knappe

    Knappe Neuer User

    Registriert seit:
    6 Juni 2005
    Beiträge:
    49
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    erst einmal vielen Dank für die Antwort.
    Ich bin mir allerdings nicht ganz sicher, ob das funktioniert.

    Die Ausgangslage ist doch :

    1. der Router selbst bekommt irgendeine IP-Nr zugewiesen. Nehmen wir mal als Beispiel die IP 192.168.1.1. (und Subnet 255.255.255.0)
    2. der Router vergibt an den VPN-Client immer (!) eine IP-Nr aus seinem Bereich. Demzufolge bekommt der VPN-Client immer 192.168.1.x (mit oder auch ohne eingeschaltetem DHCP-Server.
    3. Der VPN-Client bekommt vom aber vom Router gleichzeitig auch immer (!) das Subnet 255.255.255.255 zugeteilt. Es ist nicht möglich, ein anderes Subnet in den Einstellungen des Routers vorzunehmen.
    4. Das hinter dem Router liegende eigene LAN hat für das Network-Interface zum Router hin die IP-Nr. 192.168.1.2 (und Subnet 255.255.255.0). Damit befindet es sich schon per Definition im gleichen Netz wie der Router. In diesem Fall muss auch keine statische Route gelegt werden.
    5. An den Server sind jetzt weitere Netzwerke (IP-Nr´n 192.168.2.x, 192.168.3.x,.. aber immer mit dem gleichen Subnet 255.255.255.0) angeschlossen. Die Umsetzung von 192.168.1.2 zu 192.168.2.x ff. erfolgt per Masquerading im Server (sprich geroutet).

    Ich zitiere hier mal die Antwort auf meine Anfrage bei dem wirklich sehr guten und schnellem Support von draytek.de :
    und
    Demzufolge wäre es unmöglich via VPN in ein dahinterliegendes Netz zu connecten (sofern der VPN-Server nur auf dem Router läuft und es sich NICHT um eine Kopplung von LAN-zu-LAN handelt).
     
  4. Flouw

    Flouw Neuer User

    Registriert seit:
    26 Jan. 2008
    Beiträge:
    36
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Morgen,

    zu Punkt2, dass ist doch schonmal sehr gut, wenn der Client eine IP aus dem Subnet bekommt in welches er angeschlossen wird, was dabei für mich aber keinen Sinn machen ist die subnetmask von 255.255.255.255, weil das kein Subnet ist. Man müsste ihm die Maske 255.255.255.0 verpassen. Bist du dir sicher, dass der Client die 255.255.255.255 bekommt??

    Zu Punkt 5: Soll der Client nur Zugriff zum Server bekommen, oder auch auf die dahinter liegenden Netze. Das ist klar, dass der Client die nicht kennen kann, weil sie in einem anderen Subnet liegen. Für den Fall das der Client doch in die Netze kommen soll, muss du ihm die Route mit dem Server als Gateway übergeben.

    Das mag nach den Vorstellungen des Herstellers schon so stimmen. Aber wenn du eine Verbindung zum Server(192.168.1.2) von dem Clienten bekommst, kannst dui auch wie oben beschrieben auf die dahinterliegenden Netze zugreifen, wenn du die Routen eingetragen hast.

    Ich kann dir nicht sagen, ob das eintragen der Routen vom Vigor passieren kann, oder du es manuell machen musst.


    Also ich hab mein VPN mit OpenVPN erstellt und da ist es gar kein Problem Routen an die Clienten zu pushen.
     
  5. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Das Gegenteil ist richtig.

    Per (Windows-)Client (Client-LAN_Verbindung, d. h. kein LAN-LAN) kann ich mich mit IPsecVPN über den Router (mit VPN-Server) auf den FreeBSD-Server (ohne ein VPN-Server) und dort in die jails, verbinden. Auf dem Server laufen diverse Anwendungen in 6 jails. Der FreeBSD-Server hat 3 Subnetze (1 Subnetz ist identisch mit dem LAN des Routers) und jede jail hat auch ihr eigenes Subnetz. Das funktioniert mit nat- und redirect-Regeln.
     
  6. Knappe

    Knappe Neuer User

    Registriert seit:
    6 Juni 2005
    Beiträge:
    49
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo @Flouw,

    Leider ja.
    Weil mir das auch schon "sauer" aufgestoßen war, hier die Aussage des Support :
    Bei einer VPN über PPTP-Verbindung gibt es auch keine Möglichkeit, darauf in irgendwelchen Einstellungen des Routers (zumindes in der Weboberfläche; via Telnet habe ich noch gar nicht geprüft) Einfluß zu nehmen.


    und das entspricht in diesem Fall immer dem Subnet des Routers !

    Da ich schon mehre Versuche hinter mir habe : der Vigor macht das nicht automatisch.

    Folgendes geht :
    Code:
    VPN-Client      --> Router        --> Server LAN 1
    192.168.10      --> 192.168.1.1   --> 192.168.1.2
    255.255.255.255 --> 255.255.255.0 --> 255.255.255.0
    Jetzt lege manuell ich eine statische Route (vom Router ins LAN):
    Code:
    192.168.2.0/255.255.255.0 GW 192.168.1.2
    Das wird bei der Web-Eingabe vom Vigor auch akzeptiert.
    Dagegen
    Code:
    192.168.3.0/255.255.255.0 GW 192.168.1.2
    wird nicht zugelassen !

    Weiterhin :
    Für einen VPN-Client ist egal wo auch immer ich eine IP-Gateway-Nr hinterlege: er bekommt immer und grundsätzlich die gleiche wie seine IP.
    Also GW = 192.168.2.10 = IP-Nr.
    Aus Sicht des VPN-Clienten ist zwar 192.168.1.2 "sichtbar" und kann angepingt werden, aber das dahinterliegende Subnet ist nicht erreichbar (z.B. 192.168.2.1).


    Ich kann also das im gleichen Subnet befindliche Netzwerkinterface des Server nicht benutzen.

    Lt. Draytek-Support soll dieses Verfahren auch bei allen am Markt befindlichen Routern so angewendet werden ? Weiß ich nicht ?
     
  7. Knappe

    Knappe Neuer User

    Registriert seit:
    6 Juni 2005
    Beiträge:
    49
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo sf3978,


    wenn ich den Smart VPN-Client von Draytek benutze, kann ich für IPsec-Verbindungen eine eigene IP-/ und Subnet-Maske vergeben.

    Nach dem Verbindungsaufbau werden diese Angaben auch benutzt, aber der Eintrag für das Gateway ist leer / nicht gesetzt.
    Das kann ich nun wieder nicht beeinflussen.

    Ich würde gerne hier mal die Routing-Tabelle posten, die nach VPN-Verbindung mit IPsec aufgebaut wird, aber ich befinde mich im Moment in diesem LAN und kann daher den externen Zugriff nicht richtig testen.

    Wenn ich von "innen heraus" ein IPsec-Verbindung aufbaue klappt natürlich alles, weil ja bereits über das Standard-Interface alle erforderlichen Angaben bereitgestellt werden.

    Wie auch bei mir ...

    Welche statischen Routen wurden gelegt ?