VPN-Verbindung Router auf Routing/RAS-Server unter Win2003

[giovanni2k2]

Hallo zusammen.

Ich habe ein kleines Problem mit einem VPN. Ich umreiße mal die Gegebenheiten.

Die Netze sind hier vereinfacht dargestellt und natürlich verfremdet

Wir haben einen Server bei einem Tochterunternehmen -> Windows Server 2003 mit Routing und RAS. Dieser Server hängt hinter einem Router der ein Portforwarding (1723 und 47) auf besagten Server macht. Das Netz hier ist 192.168.0.0/24

Wir haben einen Kollegen mit einem Homeoffice, aber nur privatem Internetanschluss. Sein Heimnetz hat folgendes Netz 192.168.1.0/24. Wir haben dann (Aufgrund von geünschter Netztrennung) hinter seinen eigentlichen Router noch einen Router gehangen der eine PPTP-Verbindung zum Server in der Firma aufbaut. Hinter diesem Router ist das Netz 192.168.2.0/24. Der Router baut erfolgreich die PPTP Verbindung zum Server auf und kann dann auch alles mögliche in dem 192.168.0.0/24 Netz erreichen, da der Router (Der die PPTP-Verbindug herstellt) NAT macht.

Also kleine Zusammenfassung:

Router (Homeoffice) baut PPTP-Verbindung auf -> Router (Kollege) -> Router (Firma) mit Portforwarding-> Server (Firma)

Über Router (HomeOffice) wird durch den Router (kollege) eine PPTP Verbindung zum Server aufgebaut.

Jetzt kommen wir zu dem eigentlichen Problem:

Es ist leider nicht möglich auf dem 192.168.0.0/24 Netz in das 192.168.2.0/24 Netz zu kommen.

Ist es überhaupt möglich aus dem Netz vom Server in das Netz des Verbindungsaufbauenden Routers zu gelangen? Ich habe bereits versucht auf dem Server über Routing eine statische Route enzurichten, aber leider kann ich nur das LAN-Interface dort auswählen und kein anderes. Daher geht das Routing über das Standard-Gateway raus und verliert sich im Nirvana.

Könnt Ihr mir hier helfen, oder ratet Ihr mit in dem Falle die Verbindung anders zu realisieren?

[Fl0]

Sein Heimnetz hat folgendes Netz 192.168.1.0/24. Wir haben dann (Aufgrund gewünschter Netztrennung) hinter seinen eigentlichen Router noch einen Router gehangen, der eine PPTP-Verbindung zum Server in der Firma aufbaut. Hinter diesem Router ist das Netz 192.168.2.0/24.

Also sieht es so aus:

[internet] <-----> [Router1]<--192.168.1.0/24-->[Router2]<--192.168.2.0/24

Welcher Router macht jetzt was?

Bearbeitet 20. Dezember 2011 von Fl0

[Fl0]

Mit einem ordentlichen Router kannst du dir den dahintergeschalteten Router sparen. Du könntest auf LAN-Port 1 das 192.168.1.0/24 Netz legen und auf LAN-Port 2 das 192.168.2.0/24 Netz. Per Firewall könnten die Netze dann voneinander getrennt werden.

Auf dem Router konfigurierst du dann ein PPTP-Interface und gibst diesem Interface eine Route die ins 192.168.2.0/24 Netz über LAN-Port 2 routet. Am besten wäre aber du benutzt IPSec für die verschlüsselte Verbindung, ist sicherer als PPTP.

[giovanni2k2]

Hallo,

naja schöne Sache mit nem ordentlichen Router (da scheiden sich ja die Geister, wer was für sinnvoll erachtet): Man kennts ja... darf nix Kosten

Das mit dem aufsplitten mit dem Netz ist an und für sich nicht das Problem aber der Router, der die Verbindung ins Internet aufbaut ist ja meinem Kollegen privat. Außerdem möchte ich da ungern alles zerlegen und ihm unseren Router allein hinstellen... mal davon abgesehen die Einwähldaten zu bekommen und diese mit ihm oder ohne ihn hinzubekommen. Hinzukommt, dass er aufgrund von schlechtem DSL-Ausbau per UMTS online gehen muss und ich extra nochmal ein UMTS-Modul kaufen müsste. Daher das "Gefrickel" mit Router hinter Router.

Die Verbindung an sich ist ja verfügbar. Nur erreichte ich das Netz, aus dem die PPTP-Anfrage kommt, ja nicht.

Der Router erhält vom RAS-Server ja ne IP die ich im RAS-Pool vergeben habe, bzw. der einwählende User hat unter den RAS-Einstellungen ne feste IP erhalten. Über diese IP aus dem 192.168.0.0/24 Netz kann ich den Router anpingen, aber nicht die Geräte dahinter.

Ich habe auch folgendes probiert:

Rechner aus dem LAN 192.168.2.0/24 (sagen wir mit IP 192.168.2.1) wählt per Windows RAS/VPN in das Netz 192.168.0.0/24 ein und bekommt ne IP sagen wir 192.168.0.10. Jetzt kann ich den Rechner vom Server aus auf der IP 192.168.0.10 "anpingen".

Das Gleiche mit dem Router... die IP, die der Router vom RAS-Server bekommt ist erreichbar, aber leider nicht das Netz dahinter.

Daher ist das Netz vom Router meines Kollegen (192.168.1.0/24) zu vernachlässigen -->> wäre in dem Sinne nur ein HOP!

Wie kriege ich es hin, dass ich aus dem Netz 192.168.0.0/24 ALLE Clients aus dem Netz 192.168.2.0/24 erreiche, wenn ich aus dem 192.168.2.0/24 Netz per PPTP ins 192.168.0.0/24 verbinde?

[Fl0]

Ein Netzwerkplan wäre ganz schick.

[Crash2001]

Öööhm - hab ich da gerade UMTS gelesen?

Dann könnte es durchaus aufgrund von nicht offenen Ports und ähnlichen Gangeleien, wie z.B. keine Weiterleitung von GRE, sein, dass das gar nicht so funktioniert, wie du dir das vorstellst.

Bei UMTS hat man im Normalfall Adressen aus dem privaten Adressbereich (meist aus dem Netz 10.0.0.0/8). Die öffentliche (im Internet sichtbare) IP-Adresse ist jedoch eine andere. Auf die öffentliche IP-Adresse kann man auch nicht drauf zugreifen und dementsprechend kann man auch keinen GRE-Traffic oder sonstigen Traffic irgendwohin leiten. Dies müsste der Provider erst einmal für dich machen, damit er überhaupt bei dir ankommt.

Du kannst dir das so vorstellen, wie wenn der UMTS-Anbieter quasi den Router bei sich hat, den normalerweise du zu Hause hast. Der UMTS-Router ist nur dahintergeschaltet, ist jedoch nciht selber direkt im Internet, sondern nur im Intranet des Providers.

Internet <-> Provider-Router (NAT) <-> Intranet des Providers (10.0.0.0/8) <-> dein Router (NAT) <-> Intranet bei dir.

[giovanni2k2]

Hallo,

also vereinfachen wir das alles nochmal

Quellnetz: 192.168.2.0/24

Zielnetz: 192.168.0.0/24

Habs jezt mal so gemacht: Router im Netz 192.168.2.0/24 stellt ne Verbindung ins Netz vom Server 192.168.0.0/24 her.

Netz 192.168.2.0/24 -> Router -> INTERNET -> Router (mit Portforwarding) -> RAS-Server (Netz 192.168.0.0/24).

Router wählt ein und bekommt IP aus dem Netz des RAS-Servers (z.B. 192.168.0.10/24)

Ping vom Quellnetz ins Zielnetz -> OK

Ping aus dem Netz vom RAS-Server auf 192.168.0.10 ->OK

Ping vom Zielnetz in Quellnetz (192.168.2.0/24) -> Zeitüberschreitung = nicht OK.

War wahrscheinlich zu viel Infos mit den Netzen

Maßgeblich sind eig. nur die zwei Netze.

Daher nochmal meine Frage: Wie kann ich vom Zielnetz (192.168.0.0/24) das Quellnetz (192.168.2.0/24) erreichen?

[Fl0]

Dann könnte es durchaus aufgrund von nicht offenen Ports und ähnlichen Gangeleien, wie z.B. keine Weiterleitung von GRE, sein, dass das gar nicht so funktioniert, wie du dir das vorstellst.

Dachte ich mir auch zuerst, aber da die VPN-PPTP Verbindung steht und auch ein Ping auf die Gegenstelle (Router im Homeoffice) erfolgreich ausgeführt wird, sollte es daran !normalerweise! nicht scheitern..

"Ping vom Quellnetz ins Zielnetz -> OK"

Also scheint es ja erstmal zu funktionieren.

"Ping vom Zielnetz in Quellnetz -> nicht OK."

Welchen Gateway hat der Client mit dem du gepingt hast?

Könntest du anstatt einen Ping mal ein Trace machen, um zu sehen welchen Weg der Client aus dem Zielnetz geht?

[giovanni2k2]

Der Client hat seinen Router als Gateway drin.

Jo der Trace war eigentlich auch ok.

Quellnetz auf Zielnetz (Trace auf den RAS-Server):

1. Hop (einwählender)Router -> 2. Hop Ziel

Zielnetz auf Quellnetz (vom Server auf die IP des Clients 192.168.2.x):

Zielhost nicht erreichbar.

Hatte hierbei aber eine manuell gesetzte Route rausgenommen.

Das war meine manuelle Route:

192.168.2.0 255.255.255.0 LAN-Schnittestelle GW:192.168.0.xxx (default GW des Servers):

geht übers Internet und "versandet".

Eigentlich müsste ich hier ja als Schnittstelle eine der PPTP-Verbindungen auswählen müssen, sonst weiß der Server ja nicht über welches "Interface" er die Route setzen soll. Aber ich habe leider keine Möglichkeit die VPN-Adapter auszuwählen (scheinen wohl nur virtuell zu sein).

Oder muss ich hier noch ein Transfernetz bauen, damit ich das Quellnetz erreiche?

[Crash2001]

Dachte ich mir auch zuerst, aber da die VPN-PPTP Verbindung steht und auch ein Ping auf die Gegenstelle (Router im Homeoffice) erfolgreich ausgeführt wird, sollte es daran !normalerweise! nicht scheitern.[...]

War ein Fehler in der Überlegung bei mir drin. Das Problem bestünde, wenn der Server die Verbindung zum Client aufbauen würde und nciht umgekehrt. Da es von innen nach außen geht, werden die entsprechenden Ports für die Rückroute ja automatisch geöffnet/weitergeleitet und somit dürfte es eigentlich kein Problem sein.

[...]

Jo der Trace war eigentlich auch ok.

[...]

Tolle, absolut nichtssagende Aussage.

[Fl0]

Der Client hat seinen Router als Gateway drin.

Woher soll der Client wissen, dass das Zielnetz, in das er pingen will, über den RAS-Server zu erreichen ist?

[giovanni2k2]

Hallo zusammen.

Also ich habe jetzt ein sehr propritäre Lösung, aber die sollte hoffentlich nicht die endgültige sein.

Ich habe Jetzt zwei Tunnel aufgebaut.

Der erste Tunnel wählt sich auf dem RAS Server ein und bekommt eine neue virtuelle IP-Adresse durch ein pseudo Einwahl-Interface auf dem Server.

Der Server hat dann automatisch eine Routingregel erstelt, die es mir erlaubt in das Quellnetz zu Routen und dort alles zu ereichen.

Leider habe ich durch diese Einstellung icht mehr die Möglichkeit vom Quellnetz aus alles im Zielnetz zu erreichen.

Daher habe ich einfach noch eine Einwahlverbindung erstellt die einfaches NAT in die Richtung Quellnetz macht.

Somit habe ich die Möglichkeit von beiden Netzen alles gegenseitig zu erreichen. Ich werde im neuen Jahr dann einen Netzplan und die Routingregel nachreichen. Das konnte ich leider wegen diversen anderen Aufgaben bisher noch nicht machen.

Bis dahin schon mal Danke für eure Ansätze.

Ich wünsche euch frohe Weihnachten udn einen guten Rutsch.