Jump to content

Entweder VPN oder I-Net. Not both


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich habe nun folgendes Problem:

 

Also ich stelle eine Verbindung via VPN ins Firmen Netzwerk her. So lange ich die Einstellung "Standardgateway des Remote-Netzwerks verwenden" angeklickt habe, funktioniert das VPN soweit auch so gut. Aber ich kann keine Internetverbindung herstellen.

Wenn ich den Haken für's Gateway rausnehme, funktioniert zwar das Internet (lokal) aber ich komme nicht mehr in den VPN-Tunnel.

 

Das habe ich bisher Probiert:

Eine statische Route eingefügt die auf den VPN-Tunnel zeigt.

 

Dann habe ich die Funktion das ich das VPN UND Internet (zwar nur von Lokal) nutzen kann. Aber leider ändert sich die IP immer wieder.

 

Das "Wünsch" ich mir:

 

Wenn ein VPN-Tunnel etabliert ist dann soll Internet via Firma möglich sein.

 

Nun habe ich auch rausgefunden, das die Namensauflösung funktioniert, jedoch weiß ich noch nicht so genau ob der Name hier Lokal oder via VPN aufgelöst wird. Ist in sofern auch egal.

 

Gut das habe ich an Hardware:

 

Einen D-Link DI-804HV VPN Server.

So gut wie alle MS-Client Betriebssysteme samt Server 2000.

 

Habe hier zwar schon ein bischen gestöbert, bin aber in soweit immer wieder darauf gestoßen, dass es bei einem Cisco-Client so und so gemacht werden soll. Nur habe ich keinen Cisco-Client und Benutzen wollte ich, wenn möglich, eigentlich die Hausgemachte Software von MS.

 

 

Ich danke euch für eure Aufmerksamkeit.

 

Euer Bully

Link zu diesem Kommentar

Ich habe zwar nicht so viel Erfahrung mit dem VPN Client von MS und/oder dem von dir benutzten VPN Server, aber ich vermute dass der Gateway des Remote Netzwerkes den Weg zurück zum VPN Client nicht kennt. Woher bekommt der Client seine IP Adressen? Vergibt der D-Link DI-804HV VPN Server die IP Adressen und wenn ja, was für ein Pool wird zugewiesen? Was ist der default Gateway bei euch?

 

 

Gruss

Velius

 

P.S.: Wir verwenden Checkpoint VPN, und da kann man die Option "Route all traffic through Gateway" verwenden. Normalerweise klappt das auch recht gut, solange der VPN Server auch Gateway ist und kein NAT verwendet wird. Wenn doch muss man das entsprechend konfigurieren (NAT Rules und/oder auf dem Gateway eine Route zurück in's VPN Subnet erstellen).

Link zu diesem Kommentar

Hallo Velius,

 

erst einmal herzlichen dank für deine Antwort. :)

 

Ich habe genau die gleich Vermutung! :confused: Undzwar das der Router (D-Link) einfach nicht weiß woher die Anfrage kommt. Diesbezüglich habe ich folgendes in Erfahrung bringen können:

 

Der D-Link Server hält für das VPN ein weiteres "Virtuelles" Netzwerk zu Verfügung, scheint aber dieses Netz nicht in seinem Routing mit einzubeziehen. :cry:

 

Hier die Konstellation:

 

LAN-Seite

192.168.10.x

 

VPN

10.0.0.x

 

Client-Seite

192.168.0.x

 

Vollkommen logisch ist die Tatsache das, wenn mein Client sich im Netz 192.168.10.x befinden würde, er gar nicht via VPN arbeiten könnte.

 

Pinge ich nun einen PC im VPN an (192.168.10.158) dann geht das (sofern ich den Haken mit dem Standard GW gesetzt habe). In diesem Fall bekomme ich auf dem VPN-DFÜ-Adapter eine IP aus dem 10.0.0.x Netz. Sodann ist als GW der Router (Virtuelle IP = 10.0.0.1) eingetragen.

 

Pinge ich Google an bekomm ich zwar die IP aber keine Antwort. :mad:

 

Ein Tracert zeigt mir das er nicht mein lokales Netz nimmt. :nene:

 

Ich würde nun sagen das es in diesem Fall an der Zeit ist dem Hersteller (D-Link) eine entsprechende Anfrage zu stellen. Doch wie soll ich das Problem in Worte fassen, ohne das ich mit Standard-Konfigurations-Dokumenten zugeschüttet werde. :suspect: Schließlich habe ich mir die auch schon alle runter geladen. :wink2:

Oder bist Du anderer Meinung?

 

 

Bis dann

 

Bully

Link zu diesem Kommentar

Hi

 

Das mit der dem virtuellen IP-Pool ist bei Checkpoint auch nicht anders. Dort kannst du wählen zwischen diesem und einem echten von einem DHCP aus dem Netz.

 

Aber aus deinem Post werd ich nicht ganz schlau.

 

Kannst du mal die IP-Config deines PC's, welcher über VPN verbunden ist posten, während die Verbindung zum VPN Server steht?

 

 

Gruss

Velius

Link zu diesem Kommentar

Hallo Velius,

 

Ok hier zum besseren Verständnis:

 

Lokale-Seite :Clients <-> FW (Symantec Velociraptor) <-> Router (LevelOne 1403) <-> Internet <-> Router (D-Link) <-> Clients :Remote Seite

 

So in meinem Heimischen Netzwerk kann ich ersehen das der Tunnel etabliert ist.

Im Remote Netzwerk kann ich keinerleit Probleme in den Logs feststellen!

 

Liste nächste Antwort

 

Gruß

 

Bully

Link zu diesem Kommentar

Hier nun die IP-Configs

leider wird die Formatierung zerkloppt daher nochmal als Doc im Anhang

 

Hier wenn ich nicht verbunden bin

 

Ohne VPN-Verbindung

 

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.2.254 192.168.2.19 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.0 255.255.255.0 192.168.2.19 192.168.2.19 1

192.168.2.19 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.2.255 255.255.255.255 192.168.2.19 192.168.2.19 1

192.168.120.0 255.255.255.0 192.168.120.254 192.168.120.254 1

192.168.120.254 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.120.255 255.255.255.255 192.168.120.254 192.168.120.254 1

224.0.0.0 224.0.0.0 192.168.2.19 192.168.2.19 1

224.0.0.0 224.0.0.0 192.168.120.254 192.168.120.254 1

255.255.255.255 255.255.255.255 192.168.2.19 2 1

Default Gateway: 192.168.2.254

Persistent Routes:

None

 

Mit VPN-Verbindung und Remote GW

 

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 10.0.0.4 10.0.0.4 1

0.0.0.0 0.0.0.0 192.168.2.254 192.168.2.19 2

10.0.0.0 255.0.0.0 10.0.0.4 10.0.0.4 1

10.0.0.4 255.255.255.255 127.0.0.1 127.0.0.1 1

10.255.255.255 255.255.255.255 10.0.0.4 10.0.0.4 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.0 255.255.255.0 192.168.2.19 192.168.2.19 2

192.168.2.19 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.2.255 255.255.255.255 192.168.2.19 192.168.2.19 1

192.168.120.0 255.255.255.0 192.168.120.254 192.168.120.254 2

192.168.120.254 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.120.255 255.255.255.255 192.168.120.254 192.168.120.254 1

217.83.63.8 255.255.255.255 192.168.2.254 192.168.2.19 1

224.0.0.0 224.0.0.0 10.0.0.4 10.0.0.4 1

224.0.0.0 224.0.0.0 192.168.2.19 192.168.2.19 1

224.0.0.0 224.0.0.0 192.168.120.254 192.168.120.254 1

255.255.255.255 255.255.255.255 10.0.0.4 10.0.0.4 1

Default Gateway: 10.0.0.4

Persistent Routes:

None

 

Mit VPN Verbidnung und ohne Remote Gateway

 

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.2.254 192.168.2.19 1

10.0.0.0 255.0.0.0 10.0.0.5 10.0.0.5 1

10.0.0.5 255.255.255.255 127.0.0.1 127.0.0.1 1

10.255.255.255 255.255.255.255 10.0.0.5 10.0.0.5 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.0 255.255.255.0 192.168.2.19 192.168.2.19 1

192.168.2.19 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.2.255 255.255.255.255 192.168.2.19 192.168.2.19 1

192.168.120.0 255.255.255.0 192.168.120.254 192.168.120.254 1

192.168.120.254 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.120.255 255.255.255.255 192.168.120.254 192.168.120.254 1

217.83.63.8 255.255.255.255 192.168.2.254 192.168.2.19 1

224.0.0.0 224.0.0.0 10.0.0.5 10.0.0.5 1

224.0.0.0 224.0.0.0 192.168.2.19 192.168.2.19 1

224.0.0.0 224.0.0.0 192.168.120.254 192.168.120.254 1

255.255.255.255 255.255.255.255 10.0.0.5 10.0.0.5 1

Default Gateway: 192.168.2.254

Persistent Routes:

None

 

 

Viele Grüße

 

Bully

Link zu diesem Kommentar

:confused::confused:

 

Wie jetzt?

 

Aus deinem ursprungs Post hätte ich jetzt geschlossen:

 

MS VPN Client -----Tunnel----- "irgend 'ne Firewall/Routing device" ----- D-Link VPN Server ----- LAN

 

 

So wie du das aber weiter in Post #6 beschreibst, verbinden sich die MS Clients zu deinem VPN Server, und gehen dann ohne Tunnel in's Internet, sind also somit nicht im internen LAN, oder baut der VPN-Server seinerseits noch einen Tunnel mit dem Velociraptor auf (du musst mir da etwas auf die Sprünge helfen - ich kenne die Produkte nicht und die Checkpoint FW-1/VPN-1 ist ein all-in-one Produkt)?

 

 

P.S.: Dein Hauptproblem scheint, so wie ich schon erwähnte, dass dein VPN Server nicht der default Gateway(Router) deines LAN's ist. Der VPN Server kennt logischerweise die Route in's virtuelle Netz, aber dein default Gateway, welcher jeglichen Traffic nach irgendwo ausser deinem LAN (I-net beispielsweise) managed aber nicht. Dieser braucht sehr wahrscheinlich einen statischen Routing-Eintrag.

Link zu diesem Kommentar

Hallo Velius,

 

natürlich wird die VPN-Verbindung vom MS-Client zum D-Link hergestellt.

 

Ich wollte im Posting #6 nur verdeutlichen das ich mir vollkommen im Klaren bin was Konfiguriert werden muß. Sowohl die Firewall als auch der Router sind so Konfiguriert das sie VPN Verbindungen durchlassen Port 1701 und GRE-Protokoll (47).

Natürlich könnte ich auch in der Firewall einen entsprechenden Tunnel herstellen Aber das hielt ich für zu unflexibel. Daher einfach eine Regel die VPN erlaubt. Wie schon erwähnt ist auch alles soweit nominal nur das keine Anfragen ins Internet gesendet werden. Mir ist es im Grunde genommen egal ob die Inet-Verbindung lokal oder remote genutz wird. Hauptsache ist nur das beim bestehen eines VPN-Tunnels überhaupt Internet funktioniert.

 

Um auf deinen Einwand zurück zukommen:

Der VPN-Server ist in seinem Netzbereich (192.168.10.x ) auch Standard Gateway in meinem Netzbereich natürlich nicht. Wenn ich Dich jetzt richtig verstanden habe dann sollte ich einfach mal eine Route zum 192.168.10.1 (ist die LAN-IP des D-Link) definieren. Hab ich auch probiert ging nicht:

 

route add 0.0.0.0 mask 0.0.0.0 192.168.10.1 metric 2 if 5

The route addition faild: Der Parameter stimmt nicht.

 

Wobei IF 5 der VPN PPP-Adapter ist!

 

Viele Grüße

 

Bully

Link zu diesem Kommentar

 

natürlich wird die VPN-Verbindung vom MS-Client zum D-Link hergestellt.

 

 

Sorry, aber du konntest mir immer noch nicht klar machen, von wo. Von zu Hause? Remote ? Externe Location? Oder etwa aus einem deiner LAN's? Ich will dich nicht nerven mit Design Fragen, doch das ist relevant für die Problemlösung.

 

 

Ich wollte im Posting #6 nur verdeutlichen das ich mir vollkommen im Klaren bin was Konfiguriert werden muß.

 

Wenn dem so wäre, dann wäre doch alles klar, oder? :) Ist ja aber auch nicht schlimm, denn wofür sucht man denn Hilfe.

 

Sowohl die Firewall als auch der Router sind so Konfiguriert das sie VPN Verbindungen durchlassen Port 1701 und GRE-Protokoll (47).

 

Das ist erstmal nebensächlich. Ich hatte ja schon gefragt, ob die Rulebase i.O. ist, und wenn du das sagst, dann glaube ich das auch.

 

 

 

Mir ist es im Grunde genommen egal ob die Inet-Verbindung lokal oder remote genutz wird. Hauptsache ist nur das beim bestehen eines VPN-Tunnels überhaupt Internet funktioniert.

 

Mag sein, dass dir das egal ist, aber der Software nicht. Der MS Client kann, sobald der Tunnel steht, nur noch durch diesen senden (soweit ich das noch weiss, kann mich auch täuschen und bin jetzt eh gerade etwas unter Zeitruck und kann somit nicht die nötigen Artikel suchen). Nur mit einem Client von Fremdanbietern wie Checkpoint ist es möglich, auch neben der virtuellen Verbindung zum VPN Server auch noch die normale Schnittstelle zu verwenden, da dieser über eine komplette Topologie für das sich hinter dem VPN Server befindlichen Netz hat. Wie sonst soll der Client wissen, welche Pakete über VPN sollen, und welche nicht. Ausserdem macht dein von dir beobachetetes Verhalten bezüglich der Option "Standardgateway des Remote-Netzwerks verwenden" dies nochmals deutlich.

 

 

Um auf deinen Einwand zurück zukommen:

 

Das war kein Einwand, sondern eine informative Nachfrage, da mir erhlich gesagt dein Netzwerk Design immer noch schleierhaft ist. Möchtest du mir vielleicht ein Skizze (VISIO??) davon schicken oder hochladen (Regel für Attachments beachten!!)? Das wäre schon etwas hilfreicher.

 

Der VPN-Server ist in seinem Netzbereich (192.168.10.x ) auch Standard Gateway in meinem Netzbereich natürlich nicht.

 

Das der nicht Gateway in deinem Netz ist, ist vollkommen klar.

 

 

Wenn ich Dich jetzt richtig verstanden habe dann sollte ich einfach mal eine Route zum 192.168.10.1 (ist die LAN-IP des D-Link) definieren. Hab ich auch probiert ging nicht:

 

route add 0.0.0.0 mask 0.0.0.0 192.168.10.1 metric 2 if 5

The route addition faild: Der Parameter stimmt nicht.

 

Das kann nicht funktionieren, und nein, so hatte ich das nicht gemeint. ;)

 

 

 

Gruss

Velius

 

 

P.S.: Ich zweifle nicht an deinen Kenntnissen, ich versuche lediglich zu helfen und die Nadel im Heuhaufen zu finden. ;)

Link zu diesem Kommentar
  • 3 Wochen später...

Hier hätte ich noch eine Info dazu:

 

• If the default gateway on the remote network is not being used, Internet locations are reachable, but only intranet locations matching the address class of the assigned IP address can be reached.

• If the default gateway on the remote network is being used, all intranet locations are reachable, but only the IP address of the VPN server and locations available through other routes can be reached on the Internet.

 

For most VPN clients with an Internet connection, this does not present a problem, because the client is typically engaged in either intranet communication or Internet communication, but not both.

 

To work around this problem, instead of having the client create a new default route when a connection is made, you can configure the client’s routing table with specific routes that direct packets to the organization’s network over the VPN connection. While connected to the intranet, the client can obtain Internet access using the existing default route over the connection to the ISP. This configuration is known as split tunneling.

 

 

Determining Routing for VPN Remote Access Clients

 

 

Gruss

Velius

 

P.S.: Problem gelöst??

Link zu diesem Kommentar

Hallo Velius,

 

herzlichen dank das Du mein Problem noch nicht vergessen hast. Es ist auch Tatsache noch nicht vom Tisch.

 

Also, wenn ich's mit meinem verrosteten Eglisch richtig grafft habe, soll ich ein einfach eine statische Route beim Client hinzufügen, die auf den Tunnel zeigen. Aber was ist wenn der Tunneleingang Dynamisch ist?

 

Also derzeit wird mir D-Link eine Lösung ausgearbeitet:

 

1. Ein Neues Update der Firmaware rein.

2. Wenn nicht hilft eine Beta Version rein.

 

Sobald es funktioniert werde ich mich hier melden.

 

Solltest Du noch mehr finden würd ich das Besonders auf meine Platte markieren so mit nem Edding oder so :p lol

 

 

Nochmals herzlichen dank

 

Bye bye

Bully

Link zu diesem Kommentar

Hallo,

 

Ich habe das Problem auch, wenn ich per PPTP auf ein Remote Netz (Gegenseite ist Astaro) zugreife.

Wenn de Haken "Standard GW" gesetzt ist, komme ich ins Remote Netz, aber nicht ins Internet. Wenn der Haken nicht gesetzt ist, dann gehts ins Internet, aber nicht ins Remote Netz.

 

Das liegt an den Regeln auf der Astaro, die kein NAT für das Netz macht das mir bei der Einwahl zugewiesen wird.

 

Eine Lösung den Haken beim s Standard GW wegzulassen und immer händisch eine Route einzutragen.

Bei mir gehts so:

route add IPREMOTENETZ MASK 255.255.255.0 IPVPN

 

IPVPN findest Du unter Status der VPN Verbindung als Client IP-Adresse.

 

Alternativ kannst Du natürlich auch eine NAT Regel auf dem Router erzeugen, wenn das bei dem D-Link geht.

 

Die Lösung mit der Route hat aber den Vorteil, dass der Traffic nicht über die Gegenstelle läuft.

 

Schöne Grüße,

Bastian

Link zu diesem Kommentar

Moin,

 

Wenn ich mich hier mal kurz einklinken dürfte...

 

ich empfinde die Lösung mit der Route auch als die Beste. Es geht ja nicht nur der Traffic über die Leitung (die man sich dann ev. teilen muß), sondern privater Traffic wird mitgelogt und FirmenIP und Angaben landen in fremden logs, wo sie vielleicht nicht hingehören.

 

Nur hier ist dann das Problem, daß man immer eine oder mehrere Routen setzen muß, nachdem das VPN aufgebaut wurde. Das ist nicht wirklich auf Dauer druchführbar.

Schön wäre es, wenn der RAS-Server die Routen übergeben könnte, oder es eine generische Route (auf die VPN Schnittstelle ohne Angabe von IP) geben würde.

 

Weiß da jemand was, oder hat eine zündende Idee? Auf das Problem muß doch vorher schonmal jemand gestoßen sein... :(

 

Gruß,

pBlue

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...