AlexD1979 10 Geschrieben 9. Januar 2006 Melden Teilen Geschrieben 9. Januar 2006 Hallo Xperten! Ich habe ein kleines Problem und weiß nicht genau, ob das überhaupt lösbar ist. Wir möchten eine VPN Verbindung zu einer anderen Firma aufbauen über das Internet. Es sollen über IP Adressen andere Hosts bei der andern Firma angesprochen werden. Wir haben ein 192.168.1.x NEtz, die andere Firma leider auch, die nutzen das für interne Zwecke. So sollen wir dort nun mit einer IP Adresse 192.168.17.x ankommen. Wie realisere ich dass, dass ich von einem Client aus unserem Netzwerk eine IP Adresse im anderen Netzwerk anspreche und ich dort auch mit einer anderen IP Adresse ankomme (mit der 192.168.17.x ) ?? Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 9. Januar 2006 Melden Teilen Geschrieben 9. Januar 2006 Moin, ween Du Dich irgendwo per VPN einwählst, wird Deinem Rechner normalerweise automatisch eine IP aus dem Remotenetz zugeteilt. Wenn ich mich also von zu Hause normalerweise über meinen ISDN Router ins Internet einwähle, bekommt er die Öffentliche IP. Mein eigener Rechner hat zunächst nur eine Private IP, welche im selben Netz wie die Private Seite des Routers steckt. Wenn ich mich nun über VPN in der Firma anmelde, erscheint ein zweites Netzwerksymbol im systray. Dieses hat eine neue IP Adresse, welche vom VPN Server der Firma vergeben wurde. Gruß Mülli Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 9. Januar 2006 Melden Teilen Geschrieben 9. Januar 2006 Tja, hier tut sich ein prima Routingproblem auf. Von der Vorgehensweise ist es so, wie Mülli es beschreibt, nur mit dem Unterschied, dass Du in deinem eigenen Netz den gleichen IP-Kreis hast, wie das entfernte. Wenn Du dich nun im entfernten einloggst, bekommst Du eine IP des entfernten Netzes zugeordnet, die aber wiederum auch aus deinem eigenen Netz stammen könnte. Schlimmer noch, es kann sein, dass Du dieselbe IP zugeordnet bekommst, wie sie bereits ein Rechner in deinem Netz hat. Gleichfalls ist es so, dass - wenn Du einen Rechner im entfernten Netz ansprechen willst - Dein eigener Rechner nicht entscheiden kann, ob der entfernte Rechner denn nun wirklich entfernt ist, oder vielleicht doch im eigenen LAN steckt. Dabei ist es egal, ob Du mit der IP x.x.17.x kommst, denn schließlich bleibt Dein endziel ja ein Rechner mit 192.168.1.x Beispiel: Du hast selbst einen Rechner mit der IP 192.168.1.10 (sagen wir mal Fileserver) und willst im entfernten Netz einen Rechner mit gleicher IP ansprechen, der aber ein Mailserver ist. So und wie soll der Datenverkehr nun laufen? Mit NAT kannst Du da nicht viel reißen. Es wird darauf hinauslaufen, dass einer von euch seinen IP-kreis ändert, damit beide Seiten eindeutig ihre Zielrechner finden können, denn ein VPN-Tunnel arbeitet normalerweise transparent, was für den Client bedeutet, dass er sich nicht um das Routing kümmert, sondern einfach nur Zielnetze anspricht. grüße dippas Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 9. Januar 2006 Melden Teilen Geschrieben 9. Januar 2006 Hi, ... jetzt habe ich erst mal richtig gelesen. Kann mich aber dippas nur anschließen - um Probs zu vermeiden, sollte einer von beiden seine Netzadresse ändern. Warum überhaupt so kompliziert? Beide sind in einem 192.168.1er Netz und ihr sollt aber mit einer 192.168.17er IP ankommen? Was hat das für einen Sinn? Existiert ein weiteres Netzsegment mit 'ner 17er Adresse hinter dem VPN Server auf das ihr zugreifen sollt? Gruß Mülli Zitieren Link zu diesem Kommentar
AlexD1979 10 Geschrieben 9. Januar 2006 Autor Melden Teilen Geschrieben 9. Januar 2006 Yo das ist die korrekte Darstellung meines Problemes. Gleiche IP Kreise in beiden Netzwerken. Es wird aber gesagt, dass dieses Netz nur existent ist, nicht aber genutzt werden soll. Wir wollen von unserem 192.168.1.x auf eine IP Adresse 10.8.140.x bei denen. Mir wurde hat die Aussage gegeben, wir dürfen dann nicht mit einem PC den Tunnel nutzen der eine IP Adresse des Kunden hat in dem 192.168.1.x Netz. Kann man das denn irgendwie umsetzen, dass wenn ich eine Spezielle IP in unserem Netz ansurfe, diese Anfrage automatisch weitergeleitet wird an den VPN und bei dem Kunden der Server gesucht wird? Tja, hier tut sich ein prima Routingproblem auf. Von der Vorgehensweise ist es so, wie Mülli es beschreibt, nur mit dem Unterschied, dass Du in deinem eigenen Netz den gleichen IP-Kreis hast, wie das entfernte. Wenn Du dich nun im entfernten einloggst, bekommst Du eine IP des entfernten Netzes zugeordnet, die aber wiederum auch aus deinem eigenen Netz stammen könnte. Schlimmer noch, es kann sein, dass Du dieselbe IP zugeordnet bekommst, wie sie bereits ein Rechner in deinem Netz hat. Gleichfalls ist es so, dass - wenn Du einen Rechner im entfernten Netz ansprechen willst - Dein eigener Rechner nicht entscheiden kann, ob der entfernte Rechner denn nun wirklich entfernt ist, oder vielleicht doch im eigenen LAN steckt. Dabei ist es egal, ob Du mit der IP x.x.17.x kommst, denn schließlich bleibt Dein endziel ja ein Rechner mit 192.168.1.x Beispiel: Du hast selbst einen Rechner mit der IP 192.168.1.10 (sagen wir mal Fileserver) und willst im entfernten Netz einen Rechner mit gleicher IP ansprechen, der aber ein Mailserver ist. So und wie soll der Datenverkehr nun laufen? Mit NAT kannst Du da nicht viel reißen. Es wird darauf hinauslaufen, dass einer von euch seinen IP-kreis ändert, damit beide Seiten eindeutig ihre Zielrechner finden können, denn ein VPN-Tunnel arbeitet normalerweise transparent, was für den Client bedeutet, dass er sich nicht um das Routing kümmert, sondern einfach nur Zielnetze anspricht. grüße dippas Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 9. Januar 2006 Melden Teilen Geschrieben 9. Januar 2006 Yo das ist die korrekte Darstellung meines Problemes. Gleiche IP Kreise in beiden Netzwerken. Es wird aber gesagt, dass dieses Netz nur existent ist, nicht aber genutzt werden soll. Wir wollen von unserem 192.168.1.x auf eine IP Adresse 10.8.140.x bei denen. Mir wurde hat die Aussage gegeben, wir dürfen dann nicht mit einem PC den Tunnel nutzen der eine IP Adresse des Kunden hat in dem 192.168.1.x Netz. Das entspricht dem, was ich bereits schrieb. Kann man das denn irgendwie umsetzen, dass wenn ich eine Spezielle IP in unserem Netz ansurfe, diese Anfrage automatisch weitergeleitet wird an den VPN und bei dem Kunden der Server gesucht wird? Ohne Änderungen an der Netzwerkinfrastruktur klappt das nur in einem ganz besonderen Fall: Man stellt von EINEM einzigen PC aus Deinem Netz eine VPN-Verbindung her. Dann ruft man sich eine Dox-Box auf und gibt "route add ziel.ip.des.servers mask 255.255.255.0 ip.der.vpn.verbindung" ein. Will meinen: Der Zielserver hat die IP 192.168.1.10 Dein PC hat die IP 192.168.1.123 Der PC bekommt von der VPN-Verbindung die IP 192.168.1.234 vom entfernten Netz zugeordnet dann gibst Du ein: route add 192.168.1.10 mask 255.255.255.0 192.168.1.234 Damit kannst Du ausschließlich von diesem einen PC aus durch den Tunnel auf den Zielserver zugreifen. Problem bei der Sache: 1. funktioniert das nur mit diesem einen PC 2. kannst Du einen Rechner in deinem eigenen Netz mit der IP 192.168.1.10 nicht mehr ansprechen 3. musst Du diesen Befehl jedesmal eingeben, wenn Du die VPN-Verbindung aufgebaut hast, denn vermutlich wirst Du ja jedesmal eine andere VPN-IP-Adresse bekommen. Es bleibt dabei: einer der beiden IP-Kreise muss geändert werden. Da führt kein Weg dran vorbei. grüße dippas Zitieren Link zu diesem Kommentar
AlexD1979 10 Geschrieben 10. Januar 2006 Autor Melden Teilen Geschrieben 10. Januar 2006 Ihr müsst berücksichtigen, dass ich beim Kunden nicht explizit das gleiche Netz anspreche wie bei uns, es ist einfach nur vorhanden. Ich könnte mir daher nur vorstellen, dass die Kommunikation von uns zu denen klappt, die Pakete auf deren Seite aber nicht unterscheiden können, ob eine lokale 192.168.1.x gemeint ist oder die 192.168.1.x in unserem Netz, um die Pakete korrekt durch den Tunnel zu schicken. Soweit etwas klarer geworden?! Also Unser Netz 192.168.1.x unsere WAN IP 195.133.321.x deren Netz 10.1.23.0, deren WAN IP 82.123.x.x. Ich will also Server von uns aus ansprechen mit einer IP bei denen... ich gehe z.B. ein http://10.1.23.13 und will dann die Seite von dem Server beim Kunden sehen, durch den Tunnel geroutet. Vielleicht kennt sich noch jmd mit unserer Firewall SonicWall aus ? Auf der anderen Seite steht eine Checkpoint Firewall. Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 10. Januar 2006 Melden Teilen Geschrieben 10. Januar 2006 Moin, also sind doch nicht in jedem Netz private 192.168.1er IP's vergeben sondern nur in Eurem Netz. Im Remotenetz dagegen 10.1.23er IP's. Dann ist das eigentlich erst mal klar. Jetz kommt es natürlich drauf an, welche Art VPN Protokoll gefahren werden soll (PPTP, L2TP, L2TP over IPSec, IPSec), wer der VPN Server ist (Router oder ein Server im Remotenetz) und ob die Router diverse VPN Pass Through Verfahren und/oder NatTraversal beherrschen. Wie sieht's damit aus? Kenne leider die beiden Router nicht. Du willst nun also von einem Client in Eurem Netzwerk einen Tunnel zum VPN Server im Remotenetz aufbauen und willst dann vom Remotenetz aus diese Verbindung anschauen? Grüße Mülli Zitieren Link zu diesem Kommentar
AnagromAtaf 10 Geschrieben 10. Januar 2006 Melden Teilen Geschrieben 10. Januar 2006 Unser Netz 192.168.1.x unsere WAN IP 195.133.321.xderen Netz 10.1.23.0, deren WAN IP 82.123.x.x. Normalerweise wird ein Tunnel von Router zu Router aufgebaut und nicht von Endgerät zu Endgerät, da gerade mit NAT hier erhebliche Probleme auftreten. Ob allerdings Deine zwei Geräte miteinander könnnen, wird Dir nur ein Fachmann für Checkpoint und Sonicwall sagen können. Falls die beiden miteinander einen Tunnel aufbauen können, sollte die Kommunikation zwischen Deinen privaten IP's kein Problem mehr sein. Grup Anagrom Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 10. Januar 2006 Melden Teilen Geschrieben 10. Januar 2006 Moin anagromAtaf, Normalerweise wird ein Tunnel von Router zu Router aufgebaut und nicht von Endgerät zu Endgerät Also das würde ich erst mal anzweifeln. Die meisten VPN Verbindungen bauen Außendienstler mit ihren Clients von zu Hause oder unterwegs zu ihren Firmen auf. D.h. der VPN Client ist der Rechner und nicht der Router. Ist aber auch egal. Es gibt derer so viele verschiedene Möglichkeiten und Kombinationen - da müssen hier schon noch einige Infos her, wenn geholfen werden soll. Ich geh z.B. per XP VPN Client über meinen DRaytek Router an den Firmen Router der Firma, welcher der VPN Server ist. Das ganze geht bei mir aber leider nur über PPTP mit Chap Authentifizierung und MPPE Verschlüsselung. Nicht ganz so sicher aber mein Homerouter kann kein L2TP/IPSec durchleiten. Per Router zu Router werden meist dauerhaft Netze zusammengeschaltet anstelle einer teuren Standleitung. Gruß Mülli Zitieren Link zu diesem Kommentar
AnagromAtaf 10 Geschrieben 10. Januar 2006 Melden Teilen Geschrieben 10. Januar 2006 Hai Muelli, Du hast recht, das war wohl etwas undifferenziert. Ich hab konkret an einen IPSecTunnel gedacht, der erstmal an Nat scheitert. Ich weiß, NAT Traversal existiert mittlerweile. Weiß aber nicht inwieweit das funktioniert und empfehlenswert ist. gruß AnagromAtaf Zitieren Link zu diesem Kommentar
peterdings 10 Geschrieben 11. Januar 2006 Melden Teilen Geschrieben 11. Januar 2006 ist jetzt eine frage des vertrauens....aber ideal würde sich hier ein VPLAN an bieten.. http://www.hamachi.cc man kann gruppen erstellen, user einladen...intern hat man nen ganz eigenen ip bereich, und getunnelt wird es über deine normale internet verbindung... kenn ich deshalb weil ich das gleiche problem habe,wenn man mal zu nem kumpel auffen rechner will und wie im lan was ziehen.... verfügt über instant messenger und ist vorallen dazu da, auf die windows freigabe zuzugreifen....weitere dienste (ftp, p2p etc ) sind dann jedem selbst überlassen! aber wie gesagt: eine frage des vertrauens in die programmierer eines freeware, closed source tools Zitieren Link zu diesem Kommentar
AlexD1979 10 Geschrieben 11. Januar 2006 Autor Melden Teilen Geschrieben 11. Januar 2006 Moin,also sind doch nicht in jedem Netz private 192.168.1er IP's vergeben sondern nur in Eurem Netz. Im Remotenetz dagegen 10.1.23er IP's. Dann ist das eigentlich erst mal klar. Jetz kommt es natürlich drauf an, welche Art VPN Protokoll gefahren werden soll (PPTP, L2TP, L2TP over IPSec, IPSec), wer der VPN Server ist (Router oder ein Server im Remotenetz) und ob die Router diverse VPN Pass Through Verfahren und/oder NatTraversal beherrschen. Wie sieht's damit aus? Kenne leider die beiden Router nicht. Du willst nun also von einem Client in Eurem Netzwerk einen Tunnel zum VPN Server im Remotenetz aufbauen und willst dann vom Remotenetz aus diese Verbindung anschauen? Grüße Mülli Nicht ganz richtig, es gibt auf beiden Seiten ein 192.168.1.x Netz. Wir wollen aus diesem Netz heraus eine Verbindung in ein 10.x.x.x NEtz aufbauen, wobei im Netzwerk der Gegenstelle aber ein 192.168.1.x Netz ebenfalls existiert. Protokoll soll PPTP sein, der "Server" ist eine Hardware-Firewall die direkt zwischen WAN und LAN sitzt. Unsere Firewall kann Traversal. Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Moin, Wir wollen aus diesem Netz heraus eine Verbindung in ein 10.x.x.x NEtz aufbauen, wobei im Netzwerk der Gegenstelle aber ein 192.168.1.x Netz ebenfalls existiert. Also willst Du von Deinem privaten 192er Netz übers Internet mit irgendwelchen öffentlich zugewiesenen WAN IP's wieder in ein privates 10er Netz rein. Ob dort noch ein anderes Netz vorhanden ist, interessiert doch eigentlich erst mal nicht. Wichtig ist, der VPN Server ist der Router auf der Gegenseite oder sitzt als Server im 10er Netz, welches am Router angeschlossen und über diesen erreichbar ist. Wenn der Router auch der VPN Server ist, dann terminiert er den Tunnel und leitet Deine Pakete ins 10er Netz weiter. Gruß Mülli Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Also willst Du von Deinem privaten 192er Netz übers Internet mit irgendwelchen öffentlich zugewiesenen WAN IP's wieder in ein privates 10er Netz rein. Ob dort noch ein anderes Netz vorhanden ist, interessiert doch eigentlich erst mal nicht. Die Betonung sollte auf erstmal liegen. Wichtig ist, der VPN Server ist der Router auf der Gegenseite oder sitzt als Server im 10er Netz, welches am Router angeschlossen und über diesen erreichbar ist.Wenn der Router auch der VPN Server ist, dann terminiert er den Tunnel und leitet Deine Pakete ins 10er Netz weiter. So, und jetzt möchte ich das Ergebnis dieser Aufgabe mal in der Rückwärtsrechnung sehen ;) Ich sitze in 10er Netz und möchte in das entfernte Netz von AlexD1979 erreichen. Was wird wohl eurer Meinung nach passieren?? :suspect: NAT hin oder her ist unerheblich für die Rückwärtsrechnung. Konzentriert euch bei der Antwort bitte nur auf das Routing. grüße dippas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.