Jump to content

VPN-Roadwarrior von XP Client via Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich kann folgendes Problem mit meinem beschränkten Verständnis der Materie nicht lösen: Windows XP Pro SP2 Client an Server2003SP1 ( auch DNS-Server ), Internetzugang via Hardwarerouter als Gateway im gleichen Subnetz ( 192.168.101.x ) mit aktiviertem und funktionierendem VPN-Passthrough ( IPSEC ). Auf dem o.g. XP Pro Rechner ist eine VPN-Clientsoftware zur Fernwartung eines anderen, entfernten Servers ( mit Subnetz 192.168.100.x ) installiert. Interzugang dieses PCs erfolgt über den o.g. Router ( als Gateway in der Netzwerkkarte des PCs eingetragen ). Der VPN-Client emuliert eine weitere Netzkarte als Tunnelendpunkt ( anderer Endpunkt ist ein VPN-Router mit integr. VPN-Server ). Tunnelaufbau funktioniert problemlos. Ich kann nur nicht den entfernten Server vom lokalen PC anpingen. Trennt man den PC vom lokalen Netz und baut den Internetzugang testweise lokal auf ( z.B. über ISDN-Karte ), funktioniert alles. Möglicherweise liegt das Problem darin, dass der Ping über die lokale Netzkarte Richtung DNS-Server läuft und nicht über die Kartenemulation des VPN-Client. Von dort weiterzurouten brächte aber nichts, da der Tunnel schliesslich über den lokalen PC aufgebaut wird. Bei XP selbst kenne ich nur rudimentäres Routing über zwei Netzkarten via Registryeintrag und gegenseitigem Gatewayeintrag ( geht hier ja nicht wg. Internetgateway ). Bin ich wirklich in einer Sackgasse oder einfach nur betriebsblind bzw. verstehe ich die Problematik nicht ? Andere Lösungen als über den VPN-Client auf dem lokalen PC würde ich ungern wählen, da der effektive Kontext komplexer ist, als hier vereinfachend dargestellt und u.a. andere VPN-Lösungen im Netz laufen. Ergänzend bemerkt: Firewallprobleme o.ä. kann man aufgrund der Konfiguration ausschliessen.

 

Ich wäre für jeden Tip oder Trick dankbar.

 

Danke im voraus.

 

Mike66

Link zu diesem Kommentar

Hallo Mike,

 

willkommen an Board.

 

Nur, das ich es richtig interpretiere:

 

Du sitzt mit einem PC im Netz 192.168.101.x und machst von diesem PC aus einen Tunnel zum Netz 192.168.100.x auf. Tunnel klappt, aber du erreichst niemanden im Netz 192.168.100.x (Dein Ping-Test). Ist das richtig wiedergegeben?

 

Falls ja, prüfe mal folgende Ansätze:

 

1. gibt es eine "normale" Verbindung vom Netz 101.x zu einem anderen Netz 100.x (nicht das, welches Du fernwarten möchtest)? Ich komme auf diese Frage, weil Du von verschiedenen VPNs sprichst.

 

2. Welche IP erhälst Du vom entfernten VPN-Server aus dem Netz 100.x?

 

In beiden Fällen solltest Du vor und nach dem Aufbau des Tunnels mal via "route print" die lokalen Routen überprüfen.

 

Wenn es da einen Eintrag ganz links mit dem Eintrag 192.168.100.0 usw. gibt, stellt sich die Frage, was rechts in der Spalte Gateway steht. Möglicherweise musst Du die Routen manuell "umbiegen" in der Syntax:

 

route add 192.168.100.0 MASK 255.255.255.0 IP-des-VPN-Tunnels

 

Vielleicht hilft Dir das ja schon weiter ;)

 

grüße

 

dippas

Link zu diesem Kommentar

Hallo XP-Fan,

 

ich verstehe die Frage hinsichtlich Router -> Ausgang nicht :confused: ( wahrscheinlich bin ich zu **** ). Es handelt sich um einen einfachen DSL-Router zur Internetanbindung. Eingang lokales Netz, Ausgang zum DSL-Modem. Bei den Komponenten experimentiere ich derzeit mit low-cost Komponenten speziell nur zur Fernwartung kleinerer Netze, in diesem Falle mit DLINK DI-804 HV bzw. DI-824VUP+ und DLINK Clientsoftware DS-601 ( = NCP Secure Entry Client ), die Erfahrungen sind aber analog zu anderen günstigen Geräten wie SMC Barricade oder Netgear. Lancom ist mir für diesen Zweck zu teuer und zu aufwändig in der Konfiguration. Auf der Gegenseite findet sich auch ein DLINK DI-804HV als VPN-Server mit integrierter Firewall mit entsprechend geöffneten Ports als Tunnelendpunkt. Das läuft ja auch alles, auch in verschiedenen Konstellationen. Ich habe nur mit der beschriebenen Anordnung Probleme. Auf der Gegenseite ist ein W2003-Server als DHCP-Server konfiguriert und vergibt Adressen von .50 bis .100. Spielt aber eigentlich keine Rolle, da ich ja im entfernten Netz zwangsläufig mit einen anderen Subnetz arbeiten muss.

Link zu diesem Kommentar

Hallo dippas,

 

es gibt in dieser Umgebung keine LAN-Verbindung zu dem anderen Subnetz, eben nur via VPN-Tunnel. Ich arbeite in diesem Kontext mit einer statischen IP eben nicht aus dem fernen Subnetz, der Tunnel arbeitet ja zwischen Router und Kartenemulation. Auf Deinen Tip mit dem route add Kommando wäre ich von selbst auf einer Workstation gar nicht gekommen ( betriebsblind ), das probiere ich am Wochenende gleich mal aus. Ich poste dann das Ergebnis. Vielen Dank !!!

 

Gruß

Mike66

Link zu diesem Kommentar
  • 1 Monat später...

Hallo,

 

was lange währt, wird endlich gut ... Hatte leider etliche andere Probleme, daher zog sich die Klärung dieser Frage etwas hin. Nachdem ich auch alle lokalen Routen kreuz und quer analysiert hatte und keinerlei Fehler finden konnte und die gleichen Routen bei andersgearteter Einwahl auch funktionierten, war ich fast am Ende meines Lateins. Nach aufwändigem systematischem Ausschluss aller anderen Fehlerquellen blieb logisch betrachtet nur ein Fehler bei den verwendeten Routern übrig, egal wie unwahrscheinlich mir dies erschien, zumal ich ja parallel drei verschiedene Low-Cost-Geräte getestet habe. Um es kurz zu machen: Nach ewiger Quengelei beim Support kam raus, dass es sich tatsächlich um ein Firmwareproblem hinsichtlich des IPSec-Passthrough handelt. Sobald der interne VPN-Server aktiviert wird, funktioniert das Passthrough nicht mehr !!! Mir völlig unverständlich und abwegig, aber Tatsache. Dlink hat es dann tatsächlich geschafft, eine Beta-Firmware zumindest für den DI-804HV zu basteln und siehe da: Es funktioniert !!! Für den DI-824 gibts meines Wissens nach aber noch immer kein Update. SMC hat das Problem bis heute nicht mal begriffen und hat wohl auch kein Interesse, den Fehler beizulegen, zumal der SMC Barricade mit integriertem VPN wohl nicht mehr vertrieben wird. Interessant, das sich dieses Problem völlig analog bei verschiedenen Herstellern findet. Greift man da etwa auf den gleichen Vorlieferanten zurück und verbaut den selben Mist mit oberflächlich angepasster Firmware nur in verschiedene Gehäuse ? Klingt für mich wahrscheinlich, zumal die Features der Geräte absolut identisch sind. Aber okay, Problem gelöst, Threat kann beendet werden.

 

Gruß

Mike66

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...