Ich kann mich eigentlich mit meinem Laptop quasi von Überall per VPN mit meinem Firmennetz verbinden, sobald der Port 1723 offen ist (PPTP). Derzeit bin ich als Trainer in einer fremden Firma und möchte z.B. in den Pausen auch hin und wieder mal nachsehen, was es in der eigenen Firma Neues gibt (Webshop, Mailserver usw.) Was mir aber vorher noch nie passiert ist: Ich erhalte zwar über dieses Firmennetz hier sofort eine Verbindung zu meinem VPN-Endpunkt (Verbindung herstellen ... Authentifizieren ... Verbindung hergestellt), aber danach geht Nichts mehr, es kommen einfach keine Daten durch. Die Verbindung wird dabei aber nicht getrennt, die steht "wie eine Eins". Wie geht das? Ist eine VPN-Verbindung nicht ein quasi von Außen undurchsichtiger "Schlauch" (oder "Tunnel"), der, wenn er denn erstmal steht auch funktionieren müsste? Von jedem anderen Standort geht es ohne veränderte Einstellungen wie üblich. Was kann das Problem sein?
:
Bearbeitet durch User
Frank Esselbach schrieb: > Was kann das Problem sein? Routing stimmt nicht, DNS Probleme, Firewall man müsste sich mit ping mal durcharbeiten und schauen was genau nicht geht.
Vermutlich macht Dir das lokale Netz beim Kunden entweder das Routing oder den DNS kaputt - das Problem hatte ich auch schon. Kannst Du denn irgendwelche Rechner im VPN anpingen, wenn Du statt des Hostnamens die IP verwendest? Wenn das ginge, wäre es der einfache Fall - wenn das auch nicht geht, wird es vermutlich hässlich.
Gute Tips, trauriges Ergebnis. Ich bekomme immerhin eine passende interne IP zugeteilt. Mein VPN-Endpunkt befindetsich übrigens innerhalb meines Firmen-LAN. Die externe IP wird über myfritz aufgelöst. Nach der Fritzbox befindet sich eine Astaro-Firewall und die spielt u.a. auch die Rolle des VPN-Servers. Also ein Stückweit komme ich in mein Fimennetz schon hinein ... quasi in die DMZ. Aber dann ist Ende, es funktionieren von hier aus weder Ping, Trace noch Portscan :-(
Glaskugel sagt, die Netzwerkadressen in beiden Netzwerken sind identisch. Nebenbei, PPTP ohne weitere Veschlüsselung für VPN-Verbindungen zu nutzen, ist sehr mutig...
Icke ®. schrieb: > Glaskugel sagt, die Netzwerkadressen in beiden Netzwerken sind > identisch. Nebenbei, PPTP ohne weitere Veschlüsselung für > VPN-Verbindungen zu nutzen, ist sehr mutig... TREFFER! Das LAN hier und mein LAN dort haben beide 192.168.10.0/24 ... so ein Scheiss! Aber immerhin erklärt ... Ich weiss, dass PPTP als "kontaminiert" (oder so ähnlich :-) ) gilt, nutze aber wenigstens die 128-Bit-Verschlüsselung.
Es gibt 2 halblösungen: 1) Benutze einen echten oder Simulierten router, um nichtmehr im externen Firmennetz zu sein, und baue von dort aus eine vpn verbindung auf. 2) manipuliere deinen ARP cache. Alternativ kann auch die IP des Firmennetzes geändert werden. Ich empfehle jedoch auf vpn zu verzichten, und stadessen ssh und Portforwarding zu verwenden. Ist umständlicher, macht aber keine Probleme.
Daniel A. schrieb: > Ich empfehle jedoch auf vpn zu verzichten, und stadessen ssh und > Portforwarding zu verwenden. Ist umständlicher, macht aber keine > Probleme. willst du denn zu jeder IP die er nutzen will eine eigens forwarding einrichten? Ich würde das VPN netzt vom normalen Firmennetzt trennen, dann kann man sich zu not 2 Verbindungen einrichten mit verschiedenen netzten.
Also hier, wo ich gerde "zu Gast" bin, kann ich am Netz natürlich garnix einstellen oder verändern, ist einfach Pech. Ich werde demnächst mein Firmen-VPN einfach auf einen "exotischeren" IP-Bereich umstellen, sowas wie 10.11.12.0/24 oder so ... "Klassen" sind ja sowieso passé ...
:
Bearbeitet durch User
Frank Esselbach schrieb: > sowas 10.11.12.0/24 oder so ... Nimm was aus dem Bereich 172.16.0.0/12. Der wird am seltensten genutzt. Frank Esselbach schrieb: > "Klassen" sind ja sowieso passé ... und das schon seit über 20 Jahren ...
Mit Klassen meinst Du private IP-Adressen, die nicht geroutet werden? https://de.wikipedia.org/wiki/Private_IP-Adresse
Pete K. schrieb: > Mit Klassen meinst Du private IP-Adressen, Nein, die IP-Adressbereiche waren in Netzwerkklassen die die Netzwerkgröße angegeben haben eingeteilt. Z.B. 10.x.x.x ist ein Klasse A-Netz, 172.16.x.x ein Klasse B und 192.168.x.x ein Klasse C-Netz. 1993 wurde das ClasslessInterDomainRouting (CIDR) mit den Netzwerkmasken einggeführt.
:
Bearbeitet durch User
Peter II schrieb: > Daniel A. schrieb: >> Ich empfehle jedoch auf vpn zu verzichten, und stadessen ssh und >> Portforwarding zu verwenden. Ist umständlicher, macht aber keine >> Probleme. > > willst du denn zu jeder IP die er nutzen will eine eigens forwarding > einrichten? Nein. Nur für eine, die immer aktiv ist. Dann kann man über diese auf die Anderen zugreifen, schliesslich sind sie ja im gleichen Netz.
Daniel A. schrieb: > Nein. Nur für eine, die immer aktiv ist. Dann kann man über diese auf > die Anderen zugreifen, schliesslich sind sie ja im gleichen Netz. Wenn man nicht nur per RDP arbeiten will sondern "normal" wird das wohl nicht gehen. Exchange zugriff Wiki zugriff DNS- AD zugriff Fileserver zugriff und alle haben mehre Ports die gebraucht werden. Wie soll man das sinnvoll über SSH machen?
Peter II schrieb: > Daniel A. schrieb: >> Nein. Nur für eine, die immer aktiv ist. Dann kann man über diese auf >> die Anderen zugreifen, schliesslich sind sie ja im gleichen Netz. > > Wenn man nicht nur per RDP arbeiten will sondern "normal" wird das wohl > nicht gehen. Was hat jetzt RDP damit zu tun? > Exchange zugriff > Wiki zugriff > DNS- AD zugriff > Fileserver zugriff > > und alle haben mehre Ports die gebraucht werden. Wie soll man das > sinnvoll über SSH machen? Über ein Shellscript zum Beispiel? Eine Zeile Code pro zu verwendendem Dienst. Oder selber etwas ausdenken, oder per commandline, etc.
Daniel A. schrieb: > Über ein Shellscript zum Beispiel? Eine Zeile Code pro zu verwendendem > Dienst. Oder selber etwas ausdenken, oder per commandline, etc. nur das die Server über Namen angesprochen werden, dann musst du ja noch alles irgendwie auf localhost umbiegen.
Peter II schrieb: > nur das die Server über Namen angesprochen werden, dann musst du ja noch > alles irgendwie auf localhost umbiegen. Ok. Das war nicht einfach rauszufinden und ist vermutlich nicht die Ideallösung, aber so kann man das an eine 127.*.*.* addresse forwarden:
1 | IP=127.0.0.2 # Irgendeine IP, die mit 127 beginnt |
2 | DST_PORT=8080 |
3 | SRC_PORT=8080 |
4 | SERVER=www.example.com |
5 | TARGET=zielrechnername |
6 | |
7 | ssh -A -t -L $IP:$DST_PORT:$IP:$DST_PORT $SERVER ssh -A -t -L $IP:$DST_PORT:127.0.0.1:$SRC_PORT $TARGET |
Danach kann man entweder die hosts Datei anpassen, oder einen kleinen lokalen DNS-Server aufsetzen. Als ich mir die Manual-Page von ssh angeschaut habe, habe ich festgestellt, dass ssh und vpn kombinierbar sind. Ich denke eine Kombination ist die Beste lösung: http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man1/slogin.1?query=ssh&sec=1#x5353481e4241534544205649525455414c2050524956415445204e4554574f524b53
1 | The following example would connect client network 10.0.50.0/24 with remote network 10.0.99.0/24 using a point-to-point connection from 10.1.1.1 to 10.1.1.2, provided that the SSH server running on the gateway to the remote network, at 192.168.1.15, allows it. |
2 | On the client: |
3 | # ssh -f -w 0:1 192.168.1.15 true |
4 | # ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252 |
5 | # route add 10.0.99.0/24 10.1.1.2 |
6 | On the server: |
7 | # ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252 |
8 | # route add 10.0.50.0/24 10.1.1.1 |
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.