Jump to content
Sign in to follow this  
Mike66

VPN-Roadwarrior von XP Client via Router

Recommended Posts

Hallo,

 

ich kann folgendes Problem mit meinem beschränkten Verständnis der Materie nicht lösen: Windows XP Pro SP2 Client an Server2003SP1 ( auch DNS-Server ), Internetzugang via Hardwarerouter als Gateway im gleichen Subnetz ( 192.168.101.x ) mit aktiviertem und funktionierendem VPN-Passthrough ( IPSEC ). Auf dem o.g. XP Pro Rechner ist eine VPN-Clientsoftware zur Fernwartung eines anderen, entfernten Servers ( mit Subnetz 192.168.100.x ) installiert. Interzugang dieses PCs erfolgt über den o.g. Router ( als Gateway in der Netzwerkkarte des PCs eingetragen ). Der VPN-Client emuliert eine weitere Netzkarte als Tunnelendpunkt ( anderer Endpunkt ist ein VPN-Router mit integr. VPN-Server ). Tunnelaufbau funktioniert problemlos. Ich kann nur nicht den entfernten Server vom lokalen PC anpingen. Trennt man den PC vom lokalen Netz und baut den Internetzugang testweise lokal auf ( z.B. über ISDN-Karte ), funktioniert alles. Möglicherweise liegt das Problem darin, dass der Ping über die lokale Netzkarte Richtung DNS-Server läuft und nicht über die Kartenemulation des VPN-Client. Von dort weiterzurouten brächte aber nichts, da der Tunnel schliesslich über den lokalen PC aufgebaut wird. Bei XP selbst kenne ich nur rudimentäres Routing über zwei Netzkarten via Registryeintrag und gegenseitigem Gatewayeintrag ( geht hier ja nicht wg. Internetgateway ). Bin ich wirklich in einer Sackgasse oder einfach nur betriebsblind bzw. verstehe ich die Problematik nicht ? Andere Lösungen als über den VPN-Client auf dem lokalen PC würde ich ungern wählen, da der effektive Kontext komplexer ist, als hier vereinfachend dargestellt und u.a. andere VPN-Lösungen im Netz laufen. Ergänzend bemerkt: Firewallprobleme o.ä. kann man aufgrund der Konfiguration ausschliessen.

 

Ich wäre für jeden Tip oder Trick dankbar.

 

Danke im voraus.

 

Mike66

Share this post


Link to post
Share on other sites

Hallo Mike66,

 

Kannst du noch ein paar Angaben machen zu:

 

Router auf deiner internen Seite -> Ausgang

VPN Client / Hersteller / Software

Gegenseite / Router / Firewall

 

IP-Range Gegenseite

Share this post


Link to post
Share on other sites

Hallo Mike,

 

willkommen an Board.

 

Nur, das ich es richtig interpretiere:

 

Du sitzt mit einem PC im Netz 192.168.101.x und machst von diesem PC aus einen Tunnel zum Netz 192.168.100.x auf. Tunnel klappt, aber du erreichst niemanden im Netz 192.168.100.x (Dein Ping-Test). Ist das richtig wiedergegeben?

 

Falls ja, prüfe mal folgende Ansätze:

 

1. gibt es eine "normale" Verbindung vom Netz 101.x zu einem anderen Netz 100.x (nicht das, welches Du fernwarten möchtest)? Ich komme auf diese Frage, weil Du von verschiedenen VPNs sprichst.

 

2. Welche IP erhälst Du vom entfernten VPN-Server aus dem Netz 100.x?

 

In beiden Fällen solltest Du vor und nach dem Aufbau des Tunnels mal via "route print" die lokalen Routen überprüfen.

 

Wenn es da einen Eintrag ganz links mit dem Eintrag 192.168.100.0 usw. gibt, stellt sich die Frage, was rechts in der Spalte Gateway steht. Möglicherweise musst Du die Routen manuell "umbiegen" in der Syntax:

 

route add 192.168.100.0 MASK 255.255.255.0 IP-des-VPN-Tunnels

 

Vielleicht hilft Dir das ja schon weiter ;)

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Hallo XP-Fan,

 

ich verstehe die Frage hinsichtlich Router -> Ausgang nicht :confused: ( wahrscheinlich bin ich zu **** ). Es handelt sich um einen einfachen DSL-Router zur Internetanbindung. Eingang lokales Netz, Ausgang zum DSL-Modem. Bei den Komponenten experimentiere ich derzeit mit low-cost Komponenten speziell nur zur Fernwartung kleinerer Netze, in diesem Falle mit DLINK DI-804 HV bzw. DI-824VUP+ und DLINK Clientsoftware DS-601 ( = NCP Secure Entry Client ), die Erfahrungen sind aber analog zu anderen günstigen Geräten wie SMC Barricade oder Netgear. Lancom ist mir für diesen Zweck zu teuer und zu aufwändig in der Konfiguration. Auf der Gegenseite findet sich auch ein DLINK DI-804HV als VPN-Server mit integrierter Firewall mit entsprechend geöffneten Ports als Tunnelendpunkt. Das läuft ja auch alles, auch in verschiedenen Konstellationen. Ich habe nur mit der beschriebenen Anordnung Probleme. Auf der Gegenseite ist ein W2003-Server als DHCP-Server konfiguriert und vergibt Adressen von .50 bis .100. Spielt aber eigentlich keine Rolle, da ich ja im entfernten Netz zwangsläufig mit einen anderen Subnetz arbeiten muss.

Share this post


Link to post
Share on other sites

Hallo dippas,

 

es gibt in dieser Umgebung keine LAN-Verbindung zu dem anderen Subnetz, eben nur via VPN-Tunnel. Ich arbeite in diesem Kontext mit einer statischen IP eben nicht aus dem fernen Subnetz, der Tunnel arbeitet ja zwischen Router und Kartenemulation. Auf Deinen Tip mit dem route add Kommando wäre ich von selbst auf einer Workstation gar nicht gekommen ( betriebsblind ), das probiere ich am Wochenende gleich mal aus. Ich poste dann das Ergebnis. Vielen Dank !!!

 

Gruß

Mike66

Share this post


Link to post
Share on other sites

Hallo,

 

was lange währt, wird endlich gut ... Hatte leider etliche andere Probleme, daher zog sich die Klärung dieser Frage etwas hin. Nachdem ich auch alle lokalen Routen kreuz und quer analysiert hatte und keinerlei Fehler finden konnte und die gleichen Routen bei andersgearteter Einwahl auch funktionierten, war ich fast am Ende meines Lateins. Nach aufwändigem systematischem Ausschluss aller anderen Fehlerquellen blieb logisch betrachtet nur ein Fehler bei den verwendeten Routern übrig, egal wie unwahrscheinlich mir dies erschien, zumal ich ja parallel drei verschiedene Low-Cost-Geräte getestet habe. Um es kurz zu machen: Nach ewiger Quengelei beim Support kam raus, dass es sich tatsächlich um ein Firmwareproblem hinsichtlich des IPSec-Passthrough handelt. Sobald der interne VPN-Server aktiviert wird, funktioniert das Passthrough nicht mehr !!! Mir völlig unverständlich und abwegig, aber Tatsache. Dlink hat es dann tatsächlich geschafft, eine Beta-Firmware zumindest für den DI-804HV zu basteln und siehe da: Es funktioniert !!! Für den DI-824 gibts meines Wissens nach aber noch immer kein Update. SMC hat das Problem bis heute nicht mal begriffen und hat wohl auch kein Interesse, den Fehler beizulegen, zumal der SMC Barricade mit integriertem VPN wohl nicht mehr vertrieben wird. Interessant, das sich dieses Problem völlig analog bei verschiedenen Herstellern findet. Greift man da etwa auf den gleichen Vorlieferanten zurück und verbaut den selben Mist mit oberflächlich angepasster Firmware nur in verschiedene Gehäuse ? Klingt für mich wahrscheinlich, zumal die Features der Geräte absolut identisch sind. Aber okay, Problem gelöst, Threat kann beendet werden.

 

Gruß

Mike66

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...