mikrocontroller.net

Forum: PC Hard- und Software merkwürdiges VPN-Problem


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Frank E. (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Es geht um den Zugriff auf ein Netzwerk per VPN von zwei 
unterschiedlichen Standorten aus. Der Zugang zu dem fremden Netz erfolgt 
über einen Draytek-Router und dessen Version von "L2TP per IPSec". Das 
dortige LAN hat den Aufbau 192.168.2.0/24.

Am Standort A kann ich mich mit meinem Macbook (über die in OSX 
enthaltene Client-Software) in das VPN einwählen und habe danach 
vollständigen Zugriff auf den Router selbst und das Netz "dahinter". Ein 
Scan z.B. mit "Angry IP Scanner" listet alle IPs der Geräte im fremden 
Netz auf, inkl. die meines Macbook im dortigen Netz. Der Zugang erfolgt 
von mir aus über eine Fritzbox 7362 (Provider 1&1). Irgendwelche 
zusätzlichen Routen oder Firewall-Regeln sind nicht eingerichtet. Das 
LAN am Standort A hat den Aufbau 192.168.200.0/24.

Am Standort B kann ich mich mit dem gleichen Macbook auch per VPN bis 
zum Router verbinden und gelange auch auf dessen GUI. Aber ich erreiche 
keinerlei Geräte innerhalb des VPN. Der Zugang erfolgt ebenfalls über 
eine Fritzbox 7362 (Provider Telekom), ohne zus. Routen oder 
Firewall-Regeln. Ein IP-Scan zeigt mir jedoch nur den Draytek mit seiner 
internen IP, keinerlei andere Geräte, auch nicht mein Macbook. Das LAN 
am Standort B hat den Aufbau 192.168.179.0/24.

Die Zurgiffe auf die Geräte im fremden Netz erfolgen über deren IP, DNS 
spielt also keine Rolle. Andere VPNs (ebenfalls L2TP per IPSec) sowohl 
mit Draytek- als auch AVM-Routern kann ich dagegen von beiden Standorten 
aus vollständig erreichen.

Wo soll bzw. kann ich anfangen, nach der Ursache für das Phänomen zu 
suchen?

: Bearbeitet durch User
Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
179 ist die IP des Gästenetzwerks von AVM. Beide Draytek sind gleich 
konfiguriert bis auf den IM Bereich?


Martin

Autor: Frank E. (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin schrieb:
> 179 ist die IP des Gästenetzwerks von AVM. Beide Draytek sind
> gleich
> konfiguriert bis auf den IM Bereich?
>
> Martin

Es gibt nur einen Draytek, den im "Ziel-Netzwerk". An beiden 
Abgangs-Standorten habe ich jeweils eine FB 7362. Gast-Netzwerk ist 
nicht aktiviert.

Weitere Drayteks habe ich erwähnt als Beispiel, dass ich noch weitere 
Zugriffe auf VPNs habe. Die machen nicht solche Probleme, denen ist es 
egal, von wo aus ich zugreife, geht immer.

: Bearbeitet durch User
Autor: c-hater (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Frank E. schrieb:

> Am Standort B kann ich mich mit dem gleichen Macbook auch per VPN bis
> zum Router verbinden und gelange auch auf dessen GUI. Aber ich erreiche
> keinerlei Geräte innerhalb des VPN.

Nun, ob das gelingt, hängt vor allem davon ab, wie die weiteren Geräte 
im Netz konfiguriert sind, insbesondere davon, was ihr default gateway 
ist.

Es ist nämlich so, dass eine sinnvolle IP-Kommunikation in aller Regel 
bidirektional sein muss. Dein Problem wird sein, dass deine Fragen zwar 
bei den Geräten im LAN ankommen, die aber nicht wissen, wo sie eine 
Antwort hinschicken können bzw. diese an das falsche GW versenden, was 
die Pakete dann einfach in's Klo wirft.

Nur dann, wenn dein VPN-GW im Ziel-LAN (also der Draytek-Router dort) 
auch für alle Geräte in diesem LAN default gateway ist, wird das VPN 
"einfach so" funktionieren.

Ansonsten muss man das umkonfigurieren, was dort default GW ist. Und 
wenn das nicht möglich ist, weil man keine Kontrolle darüber hat, muss 
man jeden einzelnen Client passend konfigurieren. Dann allerdings 
sinnvollerweise nicht über das default GW, sondern über eine spezielle 
statische Route in das LAN auf deiner Seite des VPN.

> Wo soll bzw. kann ich anfangen, nach der Ursache für das Phänomen zu
> suchen?

Wireshark benutzen und grundlegendes Verständnis der Arbeitsweise von 
IP-Netzwerken erwerben. That's all...

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
c-hater schrieb:
> Frank E. schrieb:
>
>> Am Standort B kann ich mich mit dem gleichen Macbook auch per VPN bis
>> zum Router verbinden und gelange auch auf dessen GUI. Aber ich erreiche
>> keinerlei Geräte innerhalb des VPN.
>
> Nun, ob das gelingt, hängt vor allem davon ab, wie die weiteren Geräte
> im Netz konfiguriert sind, insbesondere davon, was ihr default gateway
> ist.

Wenn die ganze Sache aber von Standort A ins VPN problemlos funktioniert 
und von Standort B aus nicht dürfte es ja nicht am default Gateway 
liegen?

Autor: Michael W. (dbru61)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Frank E. schrieb:
> Wo soll bzw. kann ich anfangen, nach der Ursache für das Phänomen zu
> suchen?

Im Ziel-LAN 192.168.2.0/24 - einen Port auf Monitor schalten bzw. Switch 
mit Monitor-Port dazwischen und dann mit Wireshark und geeignetem Filter 
erst den einen und dann den anderen Datenverkehr (ping auf internes 
Ziel) mitplotten und dann vergleichen.

Viel Erfolg.

Autor: c-hater (Gast)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Reinhard S. schrieb:

> Wenn die ganze Sache aber von Standort A ins VPN problemlos funktioniert
> und von Standort B aus nicht dürfte es ja nicht am default Gateway
> liegen?

Das kommt darauf an, was mit "Standort" gemeint ist. Es gibt bei einem 
VPN schließlich immer zwei Standorte, nämlich einen an jedem Ende des 
VPN-Tunnels.

Aus den Einlassungen des TO ging nun leider nicht klar hervor, welches 
Ende des Tunnels variabel ist. Spielt aber auch keine große Rolle, weil 
Net2Net-VPNs symmetrisch sind. Meine Erklärung gilt also weitgehend 
gleichermassen für beide Enden des Tunnels. Nur die Stelle, wo Pakete 
ggf. im Klo landen, variiert. Der Witz ist: mit Wireshark kann man genau 
das problemlos herausfinden. Wenn man weiß, wie IP funktioniert...

Autor: Michael W. (dbru61)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
c-hater schrieb:
> Aus den Einlassungen des TO ging nun leider nicht klar hervor, welches
> Ende des Tunnels variabel ist. Spielt aber auch keine große Rolle, weil
> Net2Net-VPNs symmetrisch sind.

Frank E. schrieb:
> Am Standort A kann ich mich mit meinem Macbook (über die in OSX
> enthaltene Client-Software) in das VPN einwählen

Nicht Gateway-to-Gateway sondern Host-to-Gateway (Roadwarrier).
..was natürlich nicht ausschließt, daß der TO parallel auch noch ein 
Gateway-to-Gateway Netz eröffnet hat...

: Bearbeitet durch User
Autor: Jupp (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein gewerblicher, der wegen guter Geschäfte Tesla fahren will, fragt 
hier im Forum Basics ab? Armes Schland.

Autor: Christian R. (supachris)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich hatte hier mal arge Probleme mit dem Firmen VPN, lag daran dass ich 
mit dem Dienst Laptop zu Hause im Gast WLAN bin und die Fritzbox da für 
alle Nutzer das Gastprofil nimmt. Und da war der Jugendschutz Filter 
eingestellt. Der hat das (Cisco) VPN massiv behindert... vielleicht ist 
es was ähnliches.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.