.titleBar { margin-bottom: 5px!important; }

VPN zw. 2 PCs im lokalen Netz (Maske 255.255.255.0) möglich? Verschlüsselung?

Dieses Thema im Forum "Allgemeines" wurde erstellt von ao, 11 Jan. 2006.

  1. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ist es möglich, (zum Testen) eine VPN-Verbindung zwischen zwei PCs im lokalen Netz (Maske 255.255.255.0) herzustellen?

    Mein Setup:

    DSL
    |
    FRITZ!Box Fon WLAN 7050 (192.168.178.1) - PC mit Win XP Pro (192.168.178.10)
    |
    VPN? (bisher ganz simpel per WLAN über die FRITZ!Box verbunden)
    |
    Laptop mit Win XP Home (192.168.178.24)

    Mit VPN bekomme ich folgende Fehlermeldung, da das Laptop die Internet-Verbindung des PCs mitbenutzt (da ich nur einen DSL-Anschluss habe):

    Zitat
    Fehler 737: Loopback wurde erkannt.

    Oder muss ich das Laptop zum Testen der VPN-Verbindung per Modem extra ins Internet bringen und zusätzlich darauf achten, dass es eine andere IP als der PC bekommt?

    Wie lässt sich das verschlüsseln, oder ist das bei VPN schon verschlüsselt? (sorry für diese DAU-Frage)

    Danke und Gruß,
    ao
     
  2. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ist meine Frage oben eine totale DAU-Frage oder weiß es wirklich niemand?

    Gruß,
    ao
     
  3. gandalf94305

    gandalf94305 Guest

    Normalerweise wird ein VPN zwischen zwei Netzen bzw. einem Endgerät und einem Netz geschaltet, d.h. es gibt einen VPN-Router, der den Zugang steuert und der dann das Routing durch einen Tunnel in das Netzwerk dahinter bewerkstelligt.

    Ein VPN zwischen zwei Endgeräten könntest Du herstellen, damit das Routing funktionieren kann (und beide nicht im gleichen Netz sind), sollte dann ein Gerät den VPN-Client besitzen und das andere den VPN-Server. Beide können sich in beliebigen Subnetzen befinden, das per VPN-Tunnel geroutete Netz muß jedoch verschieden vom Netz des Clients sein. Ggf. muß also der VPN-Server-Rechner noch eine zweite Adresse mit einem anderen Subnet erhalten.

    Verschlüsselung wird bei VPN-Tunnels i.a. automatisch gemacht.

    Was möchtest Du damit denn erreichen? Vielleicht reicht ja schon eine ssh-Verbindung...

    --gandalf.
     
  4. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Zur zeit habe ich hier noch das Notebook (XP Home SP2) von meinem Vater (wenn er mal Probleme hat) zum Einrichten einer Fernwartung von meinem PC (XP Pro SP2) aus und beide Geräte hängen (noch) an einer FRITZ!Box Fon WLAN 7050 als Router, der die Internetverbindung selbständig herstellt.

    Zur zukünftigen Fernwartung habe ich auf dem Notebook den UltraVNC-Server, auf meinem PC den UltraVNC-Client (Viewer) installiert und auf beiden Geräten dasselbe UltraVNC Key-File (nur 128 bit Verschlüsselung - daher evtl. besser per VPN, siehe weiter unten) abgelegt. Im gleichen Subnetz (255.255.255.0) kann ich zur Zeit auch wunderbar vom PC auf das Laptop zugreifen (sehe auf dem PC den Desktop des Notebooks), aber wie gesagt, das per UltraVNC und nur über das lokale Netzwerk. Auch Filetransfer geht mit UltraVNC. Probleme bereitet die XP-Netzwerkumgebung, die später aber nicht unbedingt nötig ist (aber das ist hier wohl OT).

    Zukünftig wird das Laptop dann bei meinem Vater über eine eigene FRITZ!Box Fon WLAN am Internet hängen, und dann hoffe ich, über eine VPN-Verbindung beide Geräte zusammenzubringen, da die Verschlüsselung mittels UltraVNC (nur 128 bit) mir etwas dürftig erscheint. Daher hatte ich daran gedacht, die Verbindung über ein VPN zu tunneln und dadurch besser zu verschlüsseln bzw. abzusichern.

    Leider funktioniert es per VPN aber eben nicht, da zur Zeit das Notebook die IP meines PCs mitbenutzt, d.h. es hat keine eigene Internet-IP, so dass ich mit VPN dann immer die in meinem ersten Beitrag beschriebene Fehlermeldung ("loopback", ist ja auch nachvollziehbar) erhalte.
    Natürlich hat das Notebook eine andere lokale IP als meine lokale PC-IP, aber da ich hier schonmal testen will, ob es nachher auch über das Internet funktioniert, wollte ich es eben anders (aber wie?) versuchen.

    Der PC (per LAN am Router) ist als VPN-Server eigerichtet, das Laptop (per WLAN am Router) als VPN-Client, welches sich die öffentliche IP (also den eigentlichen Internet-Zugang) mit dem PC teilt und sich nur in der lokalen IP vom PC unterscheidet (s.o.).

    Da ich zur Zeit auch beide FRITZ!Boxen hier habe, könnte ich alle nötigen Einstellungen bereits vornehmen. Es gibt evtl. auch die Möglichkeit, auf einer (bzw. beiden) FRITZ!Box(en) einen VPN-Server (bzw. auch -Client?) laufen zu lassen, aber um z.B. openvpn inkl. Schlüssel dauerhaft auf einer FRITZ!Box abzulegen, müsste deren Firmware wohl gemoddet werden (z.B. danisahne Mod, oder auch andere?), wovor ich bisher etwas zurückschrecke.

    Mal zu meinem Verständnis:
    Was genau ist denn ein VPN-Router? Ist das gleichzusetzen mit meinem PC, welcher als VPN-Server fungiert und als solches in XP auch eingestellt ist (unter "eingehende Verbindungen")?

    Lässt sich VNC über VPN überhaupt folgendermaßen realisieren?
    1. Beide Geräte haben die Internet-Verbindung hergestellt.
    2. Notebook (VPN-Client / VNC-Server) verbindet sich zum PC (VPN-Server / VNC-Client/Viewer) mittels VPN.
    3. Über VPN läuft dann VNC.
    Erhalten beide Geräte beim VPN neue (VPN-)IPs?
    Denn wodurch würde sich sonst eine VNC-Session über VPN von einer üblichen VNC-Session (ohne VPN) unterscheiden?
    Aus welchem Adressraum sind die neuen VPN-IPs dann?

    Das verstehe ich nicht. Zum Funktionieren müssten die Subnetzmasken also nicht verschieden sein, sondern dürfen beide 255.255.255.0 lauten, aber die IP des PCs aus dem Adressraum 192.168.178.1-255 und die des Notebooks aus 192.168.179.1-255 sein (z.B., d.h. einmal ...178..., einmal ...179...)? Wie kann der PC (VPN-Server) zwei verschiedene IPs haben, wo er doch nur mit einer Netzwerkkarte und LAN-Kabel am Router hängt. Meinst Du mit zwei verschiedenen IPs beide aus dem lokalen Adressraum, oder eine aus dem lokalen und eine aus dem öffentlichen Adressraum? Sorry wegen der wohl blöden Fragen, aber ich stehe hier echt auf dem Schlauch. :confused:

    Im Allgemeinen? Muss ich dafür etwas bestimmtes einstellen, was über die VPN-Einstellungen in Windows XP hinausgeht?

    Ich verstehe jetzt nicht, warum ich eine ssh-Verbindung benötige, wenn VPN i.a. automatisch gemacht wird. Bedeutet Deine Formulierung "vielleicht reicht ja schon eine ssh-Verbindung", dass diese nicht so sicher ist wie andere Möglichkeiten? Wozu brauche ich dann überhaupt VPN? Dann könnte ich es doch auch mit der 128 bit Verschlüsselung per UltraVNC belassen, oder?

    Tja, hoffentlich hast Du jetzt nicht den Nerv bei diesem langen Beitrag und den vielen Fragen verloren. Ich würd' mich über Deine Hilfe echt sehr freuen! :p

    Viele Grüße,
    ao
     
  5. wichard

    wichard IPPF-Promi

    Registriert seit:
    16 Juni 2005
    Beiträge:
    6,954
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Aachen
    ssh = Secure SHell - das hört sich doch schon vom Namen her sicherer an als Virtual Private Network... ;)

    Darauf bezog sich die Frage: Ein SSH-Tunnel ist schnell aufgesetzt, ein SSH-Server (dropbear) schnell auf der Box installiert. Durch diesen (verschlüsselten) Tunnel kannst Du dann die VNC-Daten leiten.

    Meines Erachtens sollten aber die 128Bit-Verschlüsselung für VNC ausreichen, wenn dort nicht höchstsensible Daten auf dem Rechner liegen...


    Gruß,
    Wichard
     
  6. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #6 ao, 25 Jan. 2006
    Zuletzt bearbeitet: 25 Jan. 2006
    ssh vs. VPN

    Hi und danke schonmal für Deine Erklärung ssh vs. VPN.

    Da sich ssh einfacher anhört:
    Muss ich dropbear dann auf beiden FRITZ!Boxen installieren?
    Geht das auch ohne FM-Mod? Zumindest hiermit wäre es möglich. Aber nur bis zum nächsten Box-Reset?
    Einen Telnet-Zugang habe ich auf beiden FBs eingerichtet, aber kein TFTP etc.

    Hochladen von Dateien auf die FB hab ich bisher mit dem IE gemacht und es funktioniert tatsächlich - auch wenn ich sonst zum Surfen Firefox verwende. Aber so ist der IE doch noch zu etwas gut. Die Rechte vergebe ich dann direkt auf der Box (telnet).

    Gruß,
    ao