Es geht um den Zugriff auf ein Netzwerk per VPN von zwei unterschiedlichen Standorten aus. Der Zugang zu dem fremden Netz erfolgt über einen Draytek-Router und dessen Version von "L2TP per IPSec". Das dortige LAN hat den Aufbau 192.168.2.0/24. Am Standort A kann ich mich mit meinem Macbook (über die in OSX enthaltene Client-Software) in das VPN einwählen und habe danach vollständigen Zugriff auf den Router selbst und das Netz "dahinter". Ein Scan z.B. mit "Angry IP Scanner" listet alle IPs der Geräte im fremden Netz auf, inkl. die meines Macbook im dortigen Netz. Der Zugang erfolgt von mir aus über eine Fritzbox 7362 (Provider 1&1). Irgendwelche zusätzlichen Routen oder Firewall-Regeln sind nicht eingerichtet. Das LAN am Standort A hat den Aufbau 192.168.200.0/24. Am Standort B kann ich mich mit dem gleichen Macbook auch per VPN bis zum Router verbinden und gelange auch auf dessen GUI. Aber ich erreiche keinerlei Geräte innerhalb des VPN. Der Zugang erfolgt ebenfalls über eine Fritzbox 7362 (Provider Telekom), ohne zus. Routen oder Firewall-Regeln. Ein IP-Scan zeigt mir jedoch nur den Draytek mit seiner internen IP, keinerlei andere Geräte, auch nicht mein Macbook. Das LAN am Standort B hat den Aufbau 192.168.179.0/24. Die Zurgiffe auf die Geräte im fremden Netz erfolgen über deren IP, DNS spielt also keine Rolle. Andere VPNs (ebenfalls L2TP per IPSec) sowohl mit Draytek- als auch AVM-Routern kann ich dagegen von beiden Standorten aus vollständig erreichen. Wo soll bzw. kann ich anfangen, nach der Ursache für das Phänomen zu suchen?
:
Bearbeitet durch User
179 ist die IP des Gästenetzwerks von AVM. Beide Draytek sind gleich konfiguriert bis auf den IM Bereich? Martin
Martin schrieb: > 179 ist die IP des Gästenetzwerks von AVM. Beide Draytek sind > gleich > konfiguriert bis auf den IM Bereich? > > Martin Es gibt nur einen Draytek, den im "Ziel-Netzwerk". An beiden Abgangs-Standorten habe ich jeweils eine FB 7362. Gast-Netzwerk ist nicht aktiviert. Weitere Drayteks habe ich erwähnt als Beispiel, dass ich noch weitere Zugriffe auf VPNs habe. Die machen nicht solche Probleme, denen ist es egal, von wo aus ich zugreife, geht immer.
:
Bearbeitet durch User
Frank E. schrieb: > Am Standort B kann ich mich mit dem gleichen Macbook auch per VPN bis > zum Router verbinden und gelange auch auf dessen GUI. Aber ich erreiche > keinerlei Geräte innerhalb des VPN. Nun, ob das gelingt, hängt vor allem davon ab, wie die weiteren Geräte im Netz konfiguriert sind, insbesondere davon, was ihr default gateway ist. Es ist nämlich so, dass eine sinnvolle IP-Kommunikation in aller Regel bidirektional sein muss. Dein Problem wird sein, dass deine Fragen zwar bei den Geräten im LAN ankommen, die aber nicht wissen, wo sie eine Antwort hinschicken können bzw. diese an das falsche GW versenden, was die Pakete dann einfach in's Klo wirft. Nur dann, wenn dein VPN-GW im Ziel-LAN (also der Draytek-Router dort) auch für alle Geräte in diesem LAN default gateway ist, wird das VPN "einfach so" funktionieren. Ansonsten muss man das umkonfigurieren, was dort default GW ist. Und wenn das nicht möglich ist, weil man keine Kontrolle darüber hat, muss man jeden einzelnen Client passend konfigurieren. Dann allerdings sinnvollerweise nicht über das default GW, sondern über eine spezielle statische Route in das LAN auf deiner Seite des VPN. > Wo soll bzw. kann ich anfangen, nach der Ursache für das Phänomen zu > suchen? Wireshark benutzen und grundlegendes Verständnis der Arbeitsweise von IP-Netzwerken erwerben. That's all...
c-hater schrieb: > Frank E. schrieb: > >> Am Standort B kann ich mich mit dem gleichen Macbook auch per VPN bis >> zum Router verbinden und gelange auch auf dessen GUI. Aber ich erreiche >> keinerlei Geräte innerhalb des VPN. > > Nun, ob das gelingt, hängt vor allem davon ab, wie die weiteren Geräte > im Netz konfiguriert sind, insbesondere davon, was ihr default gateway > ist. Wenn die ganze Sache aber von Standort A ins VPN problemlos funktioniert und von Standort B aus nicht dürfte es ja nicht am default Gateway liegen?
Frank E. schrieb: > Wo soll bzw. kann ich anfangen, nach der Ursache für das Phänomen zu > suchen? Im Ziel-LAN 192.168.2.0/24 - einen Port auf Monitor schalten bzw. Switch mit Monitor-Port dazwischen und dann mit Wireshark und geeignetem Filter erst den einen und dann den anderen Datenverkehr (ping auf internes Ziel) mitplotten und dann vergleichen. Viel Erfolg.
Reinhard S. schrieb: > Wenn die ganze Sache aber von Standort A ins VPN problemlos funktioniert > und von Standort B aus nicht dürfte es ja nicht am default Gateway > liegen? Das kommt darauf an, was mit "Standort" gemeint ist. Es gibt bei einem VPN schließlich immer zwei Standorte, nämlich einen an jedem Ende des VPN-Tunnels. Aus den Einlassungen des TO ging nun leider nicht klar hervor, welches Ende des Tunnels variabel ist. Spielt aber auch keine große Rolle, weil Net2Net-VPNs symmetrisch sind. Meine Erklärung gilt also weitgehend gleichermassen für beide Enden des Tunnels. Nur die Stelle, wo Pakete ggf. im Klo landen, variiert. Der Witz ist: mit Wireshark kann man genau das problemlos herausfinden. Wenn man weiß, wie IP funktioniert...
c-hater schrieb: > Aus den Einlassungen des TO ging nun leider nicht klar hervor, welches > Ende des Tunnels variabel ist. Spielt aber auch keine große Rolle, weil > Net2Net-VPNs symmetrisch sind. Frank E. schrieb: > Am Standort A kann ich mich mit meinem Macbook (über die in OSX > enthaltene Client-Software) in das VPN einwählen Nicht Gateway-to-Gateway sondern Host-to-Gateway (Roadwarrier). ..was natürlich nicht ausschließt, daß der TO parallel auch noch ein Gateway-to-Gateway Netz eröffnet hat...
:
Bearbeitet durch User
Ein gewerblicher, der wegen guter Geschäfte Tesla fahren will, fragt hier im Forum Basics ab? Armes Schland.
Ich hatte hier mal arge Probleme mit dem Firmen VPN, lag daran dass ich mit dem Dienst Laptop zu Hause im Gast WLAN bin und die Fritzbox da für alle Nutzer das Gastprofil nimmt. Und da war der Jugendschutz Filter eingestellt. Der hat das (Cisco) VPN massiv behindert... vielleicht ist es was ähnliches.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.