VPN, Routing und Server mit zwei Netzwerkkarten

morgenlabs · Beitrag von **morgenlabs** » 11 Nov 2008, 12:43

Hallo zusammen,

ich habe folgendes Szenario und Problem:

1. INTERNET (feste IP)

2. ROUTER: 192.168.1.254 (LANCOM 1821+)

3. SERVER: 192.168.1.100 EXTERN
192.168.0.100 INTERN

4. NETZWERK: 192.168.0.x (mehrere PCs)

Was muss ich im Routing und in der Firewall des Routers einstellen, damit ich über VPN an die Rechner im NETZWERK komme? Die VPN-Verbindung von einem PC mit dynamischer Einwahl klappt. Ich komme leider nur bis zum Router, kann diesen auch pingen. Die beiden Netzwerkkarten im Server kann ich nicht erreichen.

Kann mir bitte jemand einen Tipp geben? Wenn ich dem PC, der sich über VPN einwählt, zB die 192.168.0.74 kann ich trotzdem nicht die Rechner 192.168.0.x anpingen. Die Einträge in der Routing-Tabelle und die Firewall-Regel stimmen noch nicht... ich komme aber wie gesagt ohne Probleme direkt zum Router und kann diesen anpingen!

Vielen Dank im Voraus für die Hilfe!

backslash · Beitrag von **backslash** » 11 Nov 2008, 16:30

Hi morgenlabs

schau mal hier rein: http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument

Gruß
Backslash

morgenlabs · Beitrag von **morgenlabs** » 12 Nov 2008, 16:17

hallo backslash,

ich habe mir den link angesehen und habe dazu noch ein paar fragen für mein szenario:

1. ich habe nur auf einer seite einen lancom router und wähle mich über vpn ein. der eingewählte pc bekommt eine vpn ip adresse zugeteilt. darf ich überhaupt dem pc die 192.168.0.x adresse geben? dieses netz kann nur über die zweite netzwerkkarte (INTERN) angesprochen werden. muss ich dem pc eine 192.168.1.x adresse geben und diese dann auf 192.168.0.x routen? ist der server sozusagen mein zweiter router wie im verlinkten beispiel?

2. als firewall regel muss ich als quelle das 192.168.0.x netz eintragen und als router meine vpn schnittstelle auswählen, oder?

bin für weitere hilfe sehr dankbar!

bernhard

backslash · Beitrag von **backslash** » 13 Nov 2008, 16:19

Hi morgenlabs

darf ich überhaupt dem pc die 192.168.0.x adresse geben?

nein, denn dann würde der Server den PC auf seiner internen Seite suchen und Daten für ihn nicht zum LANCOM schicken. Wenn der Server seine Defaultroute auf das LANCOM gerichtet hat, dann kannst du dem PC jede beliebige (privare) Adresse geben - nur keine aus dem 192.168.0.x Netz. Hat der Server seine Defaultroute nicht auf das LANCOM gerichtet, dann muß der PC eine Adresse aus dem 192.168.1.x Netz bekommen und im LANCOM muß Proxy-ARP aktiviert werden

muss ich dem pc eine 192.168.1.x adresse geben und diese dann auf 192.168.0.x routen?

Zur Adressvergabe an den PC: siehe oben.
Zu den Routen: Natürlich mußt du im LANCOM eine Route zum 192.168.0.x-Netz einrichten, die auf den Server zeigt (192.168.1.100)

ist der server sozusagen mein zweiter router wie im verlinkten beispiel?

genau...

als firewall regel muss ich als quelle das 192.168.0.x netz eintragen

ja

und als router meine vpn schnittstelle auswählen, oder?

wenn du mit "Router" die Gegenstelle im Verbindungsziel meinst: ja (du trägst dort also den Namen der VPN-Verbindung als Gegenstele ein)

Gruß
Backslash

morgenlabs · Beitrag von **morgenlabs** » 14 Nov 2008, 09:54

vielen dank für die antwort, backslash!

ich werde das heute noch ausprobieren und hoffe es klappt!!!

danke nochmals,
morgenlabs

morgenlabs · Beitrag von **morgenlabs** » 14 Nov 2008, 12:48

hallo backslash,

leider klappt es noch immer nicht, ich kann nicht weiter als den router zu pingen. auch mit deaktivierter firewall funktioniert es nicht. ich frage mich, ob es doch mit den statischen routen auf dem server zusammen hängen kann. die routen auf dem lancom haben alle das subnetz 255.255.255.0

ich verstehe nicht, dass ich die 192.168.1.100 nicht anpingen kann, wenn meine vpn ip 192.168.1.74 ist und ich den router mit 192.168.1.254 anpingen kann.

ich wäre dir sehr dankbar, wenn du noch einen blick auf die 3 screenshots werfen könntest, von oben nach unten:

- Routing auf LANCOM (MAX2 ist die VPN-Verbindung)
- Firewall Regel auf LANCOM
- Routing auf Server

bitte gib mir noch einen letzten tipp, wir sind der lösung schon ganz nah...

tausend dank und viele grüße
bernhard

backslash · Beitrag von **backslash** » 14 Nov 2008, 18:09

Hi morgenlabs

ich verstehe nicht, dass ich die 192.168.1.100 nicht anpingen kann, wenn meine vpn ip 192.168.1.74 ist und ich den router mit 192.168.1.254 anpingen kann.

hast du im LANCOM Proxy-ARP aktiviert?

- Routing auf LANCOM (MAX2 ist die VPN-Verbindung)

das fehlt irgendwie...

- Firewall Regel auf LANCOM

du mußt diese Regel für VPN aktivieren, sonst kann keine SA für das 192.168.0.x-Netz ausgehandelt werden. Natürlich mußt du auch im Client eintragen, daß du das 192.168.0.x-Netz erreichen willst

Ansonsten sind Traces immer wieder Hilfreich (z.B. IP-Router- und VPN-Status-Trace: hierzu per Telnet auf das LANCOM, trace # ip-ro vpn-st eingeben und dann durch den Tunnel den Server und danach einen PC im internen Netz anpingen)

Gruß
Backslash

morgenlabs · Beitrag von **morgenlabs** » 16 Nov 2008, 15:43

hi backslash,

danke für deine antwort, anbei nochmal das routing vom lancom...

Proxy-ARP ist aktiviert!

Ich versuche mal einen Trace über Telnet und berichte...

Vielen Dank weiterhin!

Mit deiner Hilfe kriege ich das bestimmt bald hin,

viele Grüße

backslash · Beitrag von **backslash** » 18 Nov 2008, 12:38

Hi morgenlabs

MAX2 soll doch ein Cleint sein - dann ist die Netzmaske 255.255.255.0 falsch. Hier muß 255.255.255.255 stehen.

Desweiteren ist die Route zu 192.168.1.100
a) ebenfalls mit einer falschen Netzmaske versehen (wenn überhaupt, müßte hier auch 255.255.255.255 stehen) und
b) völlig überflüssig (wenn nicht gar kontraproduktiv, denn sie würde Traffic an den Server zurück zum Client schicken)

Gruß
Backslash