VPN und verschiedene Subnets

Knappe

Neuer User
Mitglied seit
6 Jun 2005
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Hallo,

habe zu diesen Stichworten zunächst einmal nur dieses Themen-Forum gefunden, obwohl mein Problem nichts mit der Fritz!Box direkt zu tun hat.

Hintergrund:
Es sollen VPN-Zugriffe von Clients auf das eigene Netz realisiert werden.
Die Verbindung dieses Lokalen Netzes mit dem Internet erfolgt via einem (Draytek)-Router, der auch einen VPN-Server beinhaltet (habe auch noch eine FRITZ!Box und könnte die an dessen Stelle einsetzen).

Da Problem ist nun, daß hinter dem Router ein eigener Server mit verschiedenen Subnets installiert ist.
Bisher werden alle Zugriffe zwischen Router und Server durchgereicht, dann vom Server maskiert und an die Subnets weitergereicht.

Es wäre nun notwendig, daß die VPN-Clients via VPN-Server (auf dem Router ) auf den eigentlichen Server zugreifen können.

Der Router hat bspw. IP 192.168.1.1, der Server 192.168.1.2 beide im Subnet 255.255.255.0

Leider funktioniert das nicht (zumindest nicht mit dem Draytek), da dieser den VPN-Clients grundsätzlich das Subnet 255.255.255.255 zuordnet und auch Gateway-IP = Ip-Nr setzt (bei PPTP).
Auch IpSec hilft nicht, da die hinterlegten Remote-IP´s nicht mit dem GW zum Server hin geroutet werden (route print).

Ich habe auch mal eine statische Route von 192.168.1.1 nach 129.168.1.2 gelegt. Hat aber auch nicht geholfen.


Gibt es irgendeine Möglichkeit das zu realisieren (OHNE einen VPN-Server auf dem Server zu installieren) ?

Bin für alle Vorschläge offen ....http://www.ip-phone-forum.de/images/smilies/icon_razz.gif

P.S. Es handelt sich NICHT um eine Lan->LAN-Verbindung !
 
Servus,
so lange die Rechner, wlche über VPN angeschlossen sind nur zum Server connecten können sollen hält sich das Problem in Grenzen! Dein VPN Server muss dem VPN Client die Route in das Subnet 192.168.1.0 255.255.255.0 übergeben und sich selbst als Gateway für dieses Subnet eintragen. Dann darf sich der Client natürlich lokal nicht auch im Subnet 192.168.1.0 befinden, sonst bekommst du Komplikationen.
So wie ich dein Problem verstanden hab, sollte es so zu lösen sein!

Grüße
 
Hallo,

erst einmal vielen Dank für die Antwort.
Ich bin mir allerdings nicht ganz sicher, ob das funktioniert.

Die Ausgangslage ist doch :

1. der Router selbst bekommt irgendeine IP-Nr zugewiesen. Nehmen wir mal als Beispiel die IP 192.168.1.1. (und Subnet 255.255.255.0)
2. der Router vergibt an den VPN-Client immer (!) eine IP-Nr aus seinem Bereich. Demzufolge bekommt der VPN-Client immer 192.168.1.x (mit oder auch ohne eingeschaltetem DHCP-Server.
3. Der VPN-Client bekommt vom aber vom Router gleichzeitig auch immer (!) das Subnet 255.255.255.255 zugeteilt. Es ist nicht möglich, ein anderes Subnet in den Einstellungen des Routers vorzunehmen.
4. Das hinter dem Router liegende eigene LAN hat für das Network-Interface zum Router hin die IP-Nr. 192.168.1.2 (und Subnet 255.255.255.0). Damit befindet es sich schon per Definition im gleichen Netz wie der Router. In diesem Fall muss auch keine statische Route gelegt werden.
5. An den Server sind jetzt weitere Netzwerke (IP-Nr´n 192.168.2.x, 192.168.3.x,.. aber immer mit dem gleichen Subnet 255.255.255.0) angeschlossen. Die Umsetzung von 192.168.1.2 zu 192.168.2.x ff. erfolgt per Masquerading im Server (sprich geroutet).

Ich zitiere hier mal die Antwort auf meine Anfrage bei dem wirklich sehr guten und schnellem Support von draytek.de :
Sie bekommen auf dem Virtuellen LAN Adapter eine IP aus dem Netz des Vigors zugewiesen, wenn der ROuter die 192.168.1.1 hat bekommen Sie in Ihrem Fall die 192.168.1.10 und sind somit im Netz des Routers Sie bekommen eine 255.255.255.255 Subnetzmaske weil Sie nur eine IP haben und eine einzelne IP hat diese Subnetzmaske.
Sie können nur IPs im LAN Bereich des Vigor2820 erreichen d.h. 192.168.1.0/24, es ist nicht möglich Netz die dahinterliegen zu erreichen, wie 192.168.3.0/24 oder ähnliches.
und
das VPN dient um von extern sicher auf das interne LAN des Routers zuzugreifen, hierfür ist VPN gedacht. Es gibt keinen Router der dies unterstützt, da Sie das VPN immer in das interne Netz des VPN Servers aufbauen.

Demzufolge wäre es unmöglich via VPN in ein dahinterliegendes Netz zu connecten (sofern der VPN-Server nur auf dem Router läuft und es sich NICHT um eine Kopplung von LAN-zu-LAN handelt).
 
Morgen,

zu Punkt2, dass ist doch schonmal sehr gut, wenn der Client eine IP aus dem Subnet bekommt in welches er angeschlossen wird, was dabei für mich aber keinen Sinn machen ist die subnetmask von 255.255.255.255, weil das kein Subnet ist. Man müsste ihm die Maske 255.255.255.0 verpassen. Bist du dir sicher, dass der Client die 255.255.255.255 bekommt??

Zu Punkt 5: Soll der Client nur Zugriff zum Server bekommen, oder auch auf die dahinter liegenden Netze. Das ist klar, dass der Client die nicht kennen kann, weil sie in einem anderen Subnet liegen. Für den Fall das der Client doch in die Netze kommen soll, muss du ihm die Route mit dem Server als Gateway übergeben.

Sie können nur IPs im LAN Bereich des Vigor2820 erreichen d.h. 192.168.1.0/24, es ist nicht möglich Netz die dahinterliegen zu erreichen, wie 192.168.3.0/24 oder ähnliches.

Das mag nach den Vorstellungen des Herstellers schon so stimmen. Aber wenn du eine Verbindung zum Server(192.168.1.2) von dem Clienten bekommst, kannst dui auch wie oben beschrieben auf die dahinterliegenden Netze zugreifen, wenn du die Routen eingetragen hast.

Ich kann dir nicht sagen, ob das eintragen der Routen vom Vigor passieren kann, oder du es manuell machen musst.


Also ich hab mein VPN mit OpenVPN erstellt und da ist es gar kein Problem Routen an die Clienten zu pushen.
 
Demzufolge wäre es unmöglich via VPN in ein dahinterliegendes Netz zu connecten (sofern der VPN-Server nur auf dem Router läuft und es sich NICHT um eine Kopplung von LAN-zu-LAN handelt).
Das Gegenteil ist richtig.

Per (Windows-)Client (Client-LAN_Verbindung, d. h. kein LAN-LAN) kann ich mich mit IPsecVPN über den Router (mit VPN-Server) auf den FreeBSD-Server (ohne ein VPN-Server) und dort in die jails, verbinden. Auf dem Server laufen diverse Anwendungen in 6 jails. Der FreeBSD-Server hat 3 Subnetze (1 Subnetz ist identisch mit dem LAN des Routers) und jede jail hat auch ihr eigenes Subnetz. Das funktioniert mit nat- und redirect-Regeln.
 
Hallo @Flouw,

Bist du dir sicher, dass der Client die 255.255.255.255 bekommt??
Leider ja.
Weil mir das auch schon "sauer" aufgestoßen war, hier die Aussage des Support :
... und sind somit im Netz des Routers Sie bekommen eine 255.255.255.255 Subnetzmaske weil Sie nur eine IP haben und eine einzelne IP hat diese Subnetzmaske.
Bei einer VPN über PPTP-Verbindung gibt es auch keine Möglichkeit, darauf in irgendwelchen Einstellungen des Routers (zumindes in der Weboberfläche; via Telnet habe ich noch gar nicht geprüft) Einfluß zu nehmen.


wenn der Client eine IP aus dem Subnet bekommt in welches er angeschlossen wird
und das entspricht in diesem Fall immer dem Subnet des Routers !

Ich kann dir nicht sagen, ob das eintragen der Routen vom Vigor passieren kann, oder du es manuell machen musst.
Da ich schon mehre Versuche hinter mir habe : der Vigor macht das nicht automatisch.

Folgendes geht :
Code:
VPN-Client      --> Router        --> Server LAN 1
192.168.10      --> 192.168.1.1   --> 192.168.1.2
255.255.255.255 --> 255.255.255.0 --> 255.255.255.0
Jetzt lege manuell ich eine statische Route (vom Router ins LAN):
Code:
192.168.2.0/255.255.255.0 GW 192.168.1.2
Das wird bei der Web-Eingabe vom Vigor auch akzeptiert.
Dagegen
Code:
192.168.3.0/255.255.255.0 GW 192.168.1.2
wird nicht zugelassen !

Weiterhin :
Für einen VPN-Client ist egal wo auch immer ich eine IP-Gateway-Nr hinterlege: er bekommt immer und grundsätzlich die gleiche wie seine IP.
Also GW = 192.168.2.10 = IP-Nr.
Aus Sicht des VPN-Clienten ist zwar 192.168.1.2 "sichtbar" und kann angepingt werden, aber das dahinterliegende Subnet ist nicht erreichbar (z.B. 192.168.2.1).


Ich kann also das im gleichen Subnet befindliche Netzwerkinterface des Server nicht benutzen.

Lt. Draytek-Support soll dieses Verfahren auch bei allen am Markt befindlichen Routern so angewendet werden ? Weiß ich nicht ?
 
Hallo sf3978,


wenn ich den Smart VPN-Client von Draytek benutze, kann ich für IPsec-Verbindungen eine eigene IP-/ und Subnet-Maske vergeben.

Nach dem Verbindungsaufbau werden diese Angaben auch benutzt, aber der Eintrag für das Gateway ist leer / nicht gesetzt.
Das kann ich nun wieder nicht beeinflussen.

Ich würde gerne hier mal die Routing-Tabelle posten, die nach VPN-Verbindung mit IPsec aufgebaut wird, aber ich befinde mich im Moment in diesem LAN und kann daher den externen Zugriff nicht richtig testen.

Wenn ich von "innen heraus" ein IPsec-Verbindung aufbaue klappt natürlich alles, weil ja bereits über das Standard-Interface alle erforderlichen Angaben bereitgestellt werden.

Der FreeBSD-Server hat 3 Subnetze (1 Subnetz ist identisch mit dem LAN des Routers)
Wie auch bei mir ...

Welche statischen Routen wurden gelegt ?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.