Hallo
ich möchte erreichen, dass VPN Clients eine IP 172.16.11.x/24 und das Gateway 172.16.11.254 zugewiesen bekommen.
Das Zuweisen der IP funktioniert (Eintrag in der Routingtabelle).
Als Gateway aber wird die externe IP des LANCOM zugewiesen.
Die internen Clients werden über LAN1 / ETH1 mit Routingtag 0 ins Internet geroutet.
Die VPN Clients sollen über LAN2 / ETH2 mit Routingtag 11 ins Subnet 172.16.11.0/24 geroutet werden.
Ich habe verschiedenste Dinge probiert (Routen konfiguriert, Schnittstellen-/Routingtags vergeben, Firewallregeln erstellt ), aber ich komme zu keinem Ergebnis.
Was muß ich wie konfigurieren, damit die VPN Clients über das Gateway 172.16.11.254 ins interne Netz gelangen?
Routing von VPN Clients
Moderator: Lancom-Systems Moderatoren
Routing von VPN Clients
LANCOM 7111 VPN
Hi m3t3or
wie ich schon beim letzten Mal schrieb, als du diese Frage gestellt hast, braucht der VPN-Client kein "Gateway" - bzw. es ist so ziemlich egal, was Windows in seiner Routing-Tabelle da einträgt, denn das ganze ist rein virtuell. Das einzige, was du im VPN-Client eintragen mußt ist das aus seiner Sicht entfernte Netz, bei dir also das 172.16.11.0/24 Netz
Gruß
Backslash
wie ich schon beim letzten Mal schrieb, als du diese Frage gestellt hast, braucht der VPN-Client kein "Gateway" - bzw. es ist so ziemlich egal, was Windows in seiner Routing-Tabelle da einträgt, denn das ganze ist rein virtuell. Das einzige, was du im VPN-Client eintragen mußt ist das aus seiner Sicht entfernte Netz, bei dir also das 172.16.11.0/24 Netz
Gruß
Backslash
Hi Backslash,
das Gateway für den Client, der die VPN Verbindung herstellt, wird durch das IP Netzwerk , welches ich im LANconfig unter TCP/IP -> Allgemein definiert habe und die Route festgelegt. Ist das korrekt?
Mein Netz
Name VPNClients
IP-Adresse 172.16.11.0
Netzmaske 255.255.255.0
Typ DMZ
Schnittstelle LAN-2
Adressprüfung streng
Tag 11
In der Routingtabelle habe ich eingetragen:
IP-Adresse 172.16.11.0
Netzmaske 255.255.255.0
Routing-Tag 11
Router 172.16.11.254
Die IP-Adresse des Clients habe ich auch in der Routingtabelle festgelegt
IP-Adresse 172.16.11.1
Netzmaske 255.255.255.255
Routing-Tag 11
das Gateway für den Client, der die VPN Verbindung herstellt, wird durch das IP Netzwerk , welches ich im LANconfig unter TCP/IP -> Allgemein definiert habe und die Route festgelegt. Ist das korrekt?
Mein Netz
Name VPNClients
IP-Adresse 172.16.11.0
Netzmaske 255.255.255.0
Typ DMZ
Schnittstelle LAN-2
Adressprüfung streng
Tag 11
In der Routingtabelle habe ich eingetragen:
IP-Adresse 172.16.11.0
Netzmaske 255.255.255.0
Routing-Tag 11
Router 172.16.11.254
Die IP-Adresse des Clients habe ich auch in der Routingtabelle festgelegt
IP-Adresse 172.16.11.1
Netzmaske 255.255.255.255
Routing-Tag 11
LANCOM 7111 VPN
Hi m3t3or
Hinzu kommt nun nur noch, daß du dem LANCOM beibringen mußt, über die Clientverbindung einkommende Pakete auch in den passenden Routing-Kontext (Routing-Tag 11) zu zwingen, denn sonst findet der Router das zugehörende LAN nicht und die Pakete werden durch die 0-getaggte Sperr-Route für die 172.16er-Netze verworfen. Am einfachsten geschieht das, indem du entweder die WAN-Tag-Erzeugung (Kommunikation -> Gegenstellen -> WAN-Tag-Erzeugung) auf "Automatisch" stellst oder für den Client einen Eintrag in der WAN-Tag-Tabelle (an der gleichen Stelle) aufnimmst. Solange du kein Policy-Based-Routing machst, ist die automatische Tag-Erzeugung die beste Wahl.
Gruß
Backslash
nein... Wie gesagt, was der Client für sich selbst als Gateway in der Routing-Tabelle seines PCs einträgt, ist völlig egal. Das Ganze ist eine Punkt-Zu-Punkt-Verbindung, auf der kein Gateway gebraucht wird. Vergleiche das einfach mit der PPP-Einwahl zum Internet-Provider - da gibt es auch kein explizites Gateway und es wird einfach alles, was ins Internet soll auf die PPP-Verbindung geschoben. Der Internetprovider weiss dann selbst, wie er mit den Paketen umgehen solldas Gateway für den Client, der die VPN Verbindung herstellt, wird durch das IP Netzwerk , welches ich im LANconfig unter TCP/IP -> Allgemein definiert habe und die Route festgelegt. Ist das korrekt?
Du solltest dem LANCOM hier schon eine Adresse *aus* dem Netz geben (z.B. "deine" 172.16.11.254) und nicht die Netzadresse...Mein Netz
Name VPNClients
IP-Adresse 172.16.11.0
Netzmaske 255.255.255.0
Typ DMZ
Schnittstelle LAN-2
Adressprüfung streng
Tag 11
das ist überflüssig, denn der Router kennt seine lokalen NetzeIn der Routingtabelle habe ich eingetragen:
IP-Adresse 172.16.11.0
Netzmaske 255.255.255.0
Routing-Tag 11
Router 172.16.11.254
das ist das einzige, was du benötigst... Da der Client eine Adresse aus dem lokalen Netz erhält, mußt du zusätzlich noch Proxy-ARP aktivieren (IP-Router -> Allgemein -> Entfernte Stationen mit Proxy-ARP einbinden), denn sonst kann er nicht mit den Servern in dem lokalen Netz redenDie IP-Adresse des Clients habe ich auch in der Routingtabelle festgelegt
IP-Adresse 172.16.11.1
Netzmaske 255.255.255.255
Routing-Tag 11
Hinzu kommt nun nur noch, daß du dem LANCOM beibringen mußt, über die Clientverbindung einkommende Pakete auch in den passenden Routing-Kontext (Routing-Tag 11) zu zwingen, denn sonst findet der Router das zugehörende LAN nicht und die Pakete werden durch die 0-getaggte Sperr-Route für die 172.16er-Netze verworfen. Am einfachsten geschieht das, indem du entweder die WAN-Tag-Erzeugung (Kommunikation -> Gegenstellen -> WAN-Tag-Erzeugung) auf "Automatisch" stellst oder für den Client einen Eintrag in der WAN-Tag-Tabelle (an der gleichen Stelle) aufnimmst. Solange du kein Policy-Based-Routing machst, ist die automatische Tag-Erzeugung die beste Wahl.
Gruß
Backslash
Hi Backslash,
Danke, es funktioniert jetzt soweit, dass der VPN Client die IP 172.16.11.254 anpingen kann. Weitergeleitet in andere Netze wird aber nichts. Ich bekomme von der internen IP des LANCOM mitgeteilt "Zielnetz nicht erreichbar", auch wenn ich einen anderen VPN Client (172.16.11.2) anpinge.
Der Rechner 172.16.11.254 ist eine Linux VM, die das Routing in die anderen Netze übernehmen soll. Konfiguriere ich einen internen Client so, dass sein Gateway die 172.16.11.254 ist kann der interne Client auch Rechner ausserhalb von 172.16.11.0/24 anpingen.
Gruß
m3t3or
Danke, es funktioniert jetzt soweit, dass der VPN Client die IP 172.16.11.254 anpingen kann. Weitergeleitet in andere Netze wird aber nichts. Ich bekomme von der internen IP des LANCOM mitgeteilt "Zielnetz nicht erreichbar", auch wenn ich einen anderen VPN Client (172.16.11.2) anpinge.
Der Rechner 172.16.11.254 ist eine Linux VM, die das Routing in die anderen Netze übernehmen soll. Konfiguriere ich einen internen Client so, dass sein Gateway die 172.16.11.254 ist kann der interne Client auch Rechner ausserhalb von 172.16.11.0/24 anpingen.
Gruß
m3t3or
LANCOM 7111 VPN