Wie Netzwerkgeräte nach VPN Einwahl ansprechen?

[whiggy 10]

Hi @ all!

 

Folgendes Problem:

 

Ich möchte mich per VPN in mein Netzwerk einwählen und dort z.b. die Access-Points konfigurieren über http.

 

Das Problem ist aber, dass ich ja durch VPN in ein anderes Netzwerk komme als die Access-Points sind.

 

Sprich: Access-Points sind 192.168.0.x

 

Aber durch die VPN Einwahl bekomme ich die IP: 10.10.10.x

 

Gibt es irgendeine Möglichkeit, trotz des anderen IP-Bereiches auf die Access Points zu kommen?

[IThome 10]

Der Accespoint benötigt eine Rückroute in das VPN-Netz. Wenn auf ihm ein Default Gateway konfiguriert wurde, kann auf diesem Default Gateway eine Route über die interne Schnittstelle des VPN-Servers in das VPN-Clientnetz gesetzt werden. Hat der Accesspoint den VPN-Server als Default Gateway eingetragen, muss nichts mehr gemacht werden .

Ich bin jetzt davon ausgegangen, dass VPN-Server und Accesspoint im selben IP-Subnetz sind und der VPN-Client eine Adresse aus einem anderen Bereich als dem internen Bereich bekommt (via statischer Range). Wenn es nicht so ist, musst Du mal näher beschreiben, wie das Netzwerk aufgebaut ist, was das für ein VPN-Server ist usw. ...

[whiggy 10]

Hat der Accesspoint den VPN-Server als Default Gateway eingetragen, muss nichts mehr gemacht werden .

 

Genau so ist es.

Aber mit welcher IP soll ich den Accesspoint jetzt ansprechen?

 

Mit seiner "richtigen" IP wirds ja wohl kaum gehen, weil die ist in einem anderen Netz als die VPN Verbindung.

[IThome 10]

Mit welcher IP denn sonst ? Natürlich mit seiner IP. Der VPN-Server routet in das Netz, er kennt es ja auch durch seine interne IP-Adresse. Ist das ein Windows VPN-Server ?

[whiggy 10]

Wenn ich den AccessPoint mit seiner richtigen IP Anspreche (192.168.0.110) dann komme ich auf meinen Webserver, der in dem Netz hängt, an dem der VPN-Client läuft. Nicht aber auf den AcccessPoint im Remote-Netz.

[IThome 10]

Wie ist denn die Adressrange des Clientnetzwerkes, auch 192.168.0.0 ?

[whiggy 10]

ja so isses

[IThome 10]

Nun ja, so kann das nicht klappen. Entweder änderst Du den Netzbereich im Clientnetzwerk oder Du musst mit NAT arbeiten ...

[whiggy 10]

Was meinst Du, dass ich mit NAT arbeiten soll in diesem Fall?

[IThome 10]

Auf der VPN-Serverseite muss NAT eingerichtet werden, so dass auf der Clientseite andere Adressen als die der eigenen Range angegeben werden können. Mit einer geeigneten Firewall-Appliance wüsste ich oder mit einem vorgeschalteten VPN-Router wüsste ich, wie man das konfigurieren könnte. Mit einem RRAS alleine wüsste ich das jetzt nicht. Wer oder was terminiert das VPN ? Die einfachste und sauberste Lösung ist die Umstellung der IP-Adressierung ...

[whiggy 10]

Da müsste ich mein komplettes Netzwerk auf einen neuen IP RAUM umstellen, das ist nicht so einfach

[IThome 10]

Welche Seite das ist, spielt keine Rolle (nimm die, die einfacher ist). Oder benutze einen Router, der das VPN terminiert. Dann könnte man mit dem RRAS 1-to-1 NAT konfigurieren. Es gibt natürlich auch Appliances, die sowas können. Ich kenne aber nur solche, die recht kostspielig sind ...

Eigentlich sollte sowas bei der Planung eines VPNs berücksichtigt werden, aber ich weiss ... wer den Schaden hat ... :)

[whiggy 10]

Auf der Client Seite läuft Monowall als Router

[IThome 10]

Die Serverseite ist da wichtiger, dort muss NAT stattfinden. Wo der Adressbereich verändert wird ist allerdings egal ...