IP Adresse über DHCP bei VPN Verbindung

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 19 Sep 2008, 20:56

Soo, nachdem jetzt die VPN Verbindung endlich klappt, stellen sich neue Herausforderungen.

Ein Notebook, welches in der Firma direkt ans Netz angeschlossen ist empfängt die Netzwerkeinstellungen (IP, Gateway, DNS, Uhrzeit, etc) über einen separaten Server (192.168.10.3).

Befindet sich das Notebook unterwegs wird nun über den AVC eine VPN Verbindung zum Firmennetz hergestellt.
Allerdings wird immer eine der IP Adressen vom Lancom 1821 vergeben.
Praktischer wäre allerdings, wenn das Notebook auch bei der VPN Verbindung die gleiche IP Adresse hat, als wäre es im lokalen Netz angeschlossen.

Ist das möglich?

Ich hatte das Lancom schon angewiesen DHCP anfragen an den eigentlichen Server weiterzuleiten, aber trotzdem wird immer eine IP Adresse aus dem Lancom vergeben.

Vielen Dank im Voraus,
Alex

froeschi62 · Beitrag von **froeschi62** » 21 Sep 2008, 12:38

Hi,

ich würde im AVC Client die gewünschte feste IP einstellen, im Lancom den DHCP Server deaktivieren und in der Routing Tabelle des LC's eine feste Route mit der IP des AVC Clients einpflegen. Den RAS Pool Eintrag im LC löschen, denn den muss er ja vorher als eigene IP Vergabe genutzt haben.

Gruß
Dietmar

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 09:50

Okay, im AVC:

- Profil-Einstellungen -> Profil Konfig. -> IP-Adressen Zuweisung -> IP-Adresse manuell vergeben und eingetragen
- LC -> TCP/IP -> Adressen -> erste Adr. 0.0.0.0 und letzte Adr. 0.0.0.0
- LC -> TCP/IP -> DHCP -> DHCP-Netzwerke -> DHCP-Server aktiviert NEIN
[\list]
Jetzt bekomme ich aber die Adresse: 192.168.254.2 und nicht die eingestellte 192.168.10.xxx.

Laut ipconfig erhalte ich die Adresse vom DHCP Server mit der Adresse: 192.168.254.3.
Den gibt's aber gar nicht --- nicht dass ich wüsste!

froeschi62 · Beitrag von **froeschi62** » 22 Sep 2008, 10:24

Hi,

ich kenne Deinen Netzaufbau nicht. Prinzipiell kann der LC eine DHCP IP von einem anderen DHCP Server natürlich nur dann bekommen wenn er sich im gleichen Netzsegment aufhält. Er müsste dann eine IP mit 192.168.10.xxx haben. Dazu musst Du im LC den DHCP Server ausschalten.
Nehmen wir an Du willst für den VPN Client die IP 192.168.10.10 vergeben.
Dann musst Du im LC im Menü "IP-Router/Routing-Tabelle eine Route für den VPN Client anlegen.
Die könnte bei einer Defaultroute IP:255.255.255.255/Netzmaske: 0.0.0.0 (Beispiel T-Online) so aussehen:

IP-Adresse: 192.168.10.10 , Netzmaske: 255.255.255.255, Router: Name der VPN Client Gegenstelle, Maskierung: aus

Damit sollte Dein VPN Client immer die entsprechende IP bekommen.
Die Einstellungen im AVC Client sind ok.

Gruß
Dietmar

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 13:42

Routing Eintrag hatte ich bereits versucht.
Wenn ich die Netzmaske allerdings auf 255.255.255.255 setzte dann komme ich nicht mehr von drinnen (im lokalen Netz) nach draußen (Internet).

Wenn die Netzmaske auf 255.255.255.0 steht, dann kann ich ins Internet und mich auch übers VPN verbinden.

Hmm?

froeschi62 · Beitrag von **froeschi62** » 22 Sep 2008, 14:57

Hi,

War nur ein Beispiel. In deinem Fall für die VPN Client Route die Netzmaske 255.255.255.0.

Gruß
Dietmar

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 17:20

Ja nur, das kuriose ist dass ich trotzdem die IP Adresse 192.168.254.2 vom DHCP (192.168.254.3) erhalte obwohl ich im AVC die 192.168.10.23 eingestellt habe.
Der Trace von VPN gibt folgendes aus:

IKE info: Phase-2 remote proposal 11 for peer Test matched with local proposal 1

[VPN-Status] 2008/09/22 17:20:46,070
IKE info: Phase-2 [responder] done with 2 SAS for peer Test rule ipsec-0-Test-pr0-l0-r0
IKE info: rule:' ipsec 192.168.10.0/255.255.255.0 <-> 192.168.10.23/255.255.255.255 '
IKE info: SA ESP [0xb7fc1246] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x5071d7a6] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: 88.66.xxx.xxx dst: 88.66.xxx.xxx

[VPN-Status] 2008/09/22 17:20:46,070
VPN: wait for IKE negotiation from Test (88.66.xxx.xxx)

[VPN-Status] 2008/09/22 17:20:47,120
VPN: Test (88.66.xxx.xxx) connected

[VPN-Packet] 2008/09/22 17:20:51,900
received: 88.66.xxx.xxx->88.66.xxx.xxx 152 ESP SPI[5071d7a6]

[VPN-Packet] 2008/09/22 17:20:51,900
decrypted: 88.66.xxx.xxx->88.66.xxx.xxx 133 IP-ENCAP

[VPN-Packet] 2008/09/22 17:20:51,900
decap: 192.168.10.23->192.168.10.6 89 UDP port 2006->53

[VPN-Packet] 2008/09/22 17:20:57,910
received: 88.66.xxx.xxx->88.66.xxx.xxx 152 ESP SPI[5071d7a6]

[VPN-Packet] 2008/09/22 17:20:57,910
decrypted: 88.66.xxx.xxx->88.66.xxx.xxx 133 IP-ENCAP

[VPN-Packet] 2008/09/22 17:20:57,910
decap: 192.168.10.23->192.168.10.6 89 UDP port 2006->53

froeschi62 · Beitrag von **froeschi62** » 22 Sep 2008, 17:25

Hi,

du redest immer vom AVC Client. Hast Du nun die Route eingestellt oder nicht?
Du sprichst auch viel zu wenig über deinen kompletten Neztaufbau. Was für eine IP hat Dein LC, was für eine Dein Netzserver, von dem Du das DHCP beziehen willst, etc...
So blicke ich nicht ganz durch.

Gruß
Dietmar

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 17:30

Die Route ist mit 192.168.10.23 und 255.255.255.0 für meinen Zugang "Test" im Lancom 1821 eingestellt und die IP Adresse 192.168.10.23 im AVC.
Mich wundert die Zeile

IKE info: rule:' ipsec 192.168.10.0/255.255.255.0 <-> 192.168.10.23/255.255.255.255 '

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 17:33

Server (DHCP und anderes): 192.168.10.3
Internetzugang und RAS (Lancom 1821): 192.168.10.6

Also das Lancom kümmert sich um die ganzen Einwahlen von außen ins eigene Netz und die Einwahl ins Internet sei es über DSL oder ISDN.

Alles andere übernimmt der eigentliche Server (192.168.10.3).

Im lokalen Netz betreibe ich mein Notebook mit der IP 192.168.10.23.
Jetzt würde ich gerne mich von außen über das Lancom ins eigene Netz einwählen. Da, eine besonders tolle Software auf dem Server 192.168.10.3 Einstellungen abhängig von der IP speichert, wäre es für mich geschickt wenn ich auch bei dem Zugang von aussen die gleiche IP hätte wie intern, also die 192.168.10.23.

Sonst müsste ich alle Einstellungen immer doppelt ändern einmal, wenn ich lokal an meinem Arbeitsplatz arbeit und einmal wenn ich von unterwegs auf das Netz zugreife.

Ich hoffe ich habe es verständlich ausgedrückt.
Wenn nicht einfach nachfragen....

Danke!

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 17:56

---- wieder gelöscht ----- (gedanklicher Fehler)

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 22 Sep 2008, 20:00

So, nach einem Reset / Boot des LC bin ich einen Schritt weiter.
Ich habe jetzt die gewählte IP (192.168.10.23) allerdings vom DHCP Server (192.168.10.24) den es definitiv nicht gibt.

Beschreibung. . . . . . . . . . . : NCP Secure Client Virtual Adapter
Physikalische Adresse . . . . . . : XX-XX-XX-XX-XX-XX
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.10.23
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 192.168.10.24

... lautet die Ausgabe von "ipconfig"
Aber jetzt erhalte ich keinen Zugriff auf das Netz, also die bisher erreichbaren Dienste werden nicht gefunden.

Woran kann dass wieder liegen?

22.09.2008 19:59:46 Disconnect: cause - INACTIVITY TIMEOUT:
22.09.2008 19:59:46 IPSDIAL - trennen von LANCOM1821-Test auf Kanal 1.
22.09.2008 19:59:48 IPSDIAL - disconnected from LANCOM1821-Test on channel 1.

Ist mir gerade passiert, obwohl DPD auf 0 steht.
Wo kann ich einstellen, dass er erst auf manuelles Trennen die Verbindung kappt?

froeschi62 · Beitrag von **froeschi62** » 22 Sep 2008, 21:32

Hi,

Dr.Wackelzahn hat geschrieben:So, nach einem Reset / Boot des LC bin ich einen Schritt weiter.
Ich habe jetzt die gewählte IP (192.168.10.23) allerdings vom DHCP Server (192.168.10.24) den es definitiv nicht gibt.

Beschreibung. . . . . . . . . . . : NCP Secure Client Virtual Adapter
Physikalische Adresse . . . . . . : XX-XX-XX-XX-XX-XX
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.10.23
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 192.168.10.24

Ach jetzt weiß ich, was Du immer mit deinem DHCP Server meinst, den Du nicht findest.

Das ist absolut ok und AVC Client spezifisch. Er addiert zu der IP-Adresse immer eins drauf. Das ist bei mir auch so.
Gehe während einer VPN Verbindung per Telnet auf Deinen LC und gib "show vpn" ein. Hast Du dein IP Netz (192.168.10.0/255.255.255.0) im AVC Client unter VPN IP-Netze eingetragen?

Gruß
Dietmar

froeschi62 · Beitrag von **froeschi62** » 22 Sep 2008, 21:41

Hi,

Dr.Wackelzahn hat geschrieben:Ist mir gerade passiert, obwohl DPD auf 0 steht.
Wo kann ich einstellen, dass er erst auf manuelles Trennen die Verbindung kappt?

DPD solltest Du tunlichst wieder auf 60 Sek. stellen. Ansonsten merkt der Lancom nicht wenn der Tunnel clientseitig abbricht. Du kannst Dich dann erst nach Ablauf der IKE Lifetime wieder per VPN verbinden.
Es reicht wenn Du im AVC Client im Menü Linemanagement den Timeoutwert auf 0 stellst und im LC Lanconfig/VPN/Allgemein/Verbindungsliste die Haltezeit ebenfalls auf 0 konfigurierst.

Gruß
Dietmar

Dr.Wackelzahn · Beitrag von **Dr.Wackelzahn** » 23 Sep 2008, 08:41

Okay, dann ist das ja korrekt.

Hast Du dein IP Netz (192.168.10.0/255.255.255.0) im AVC Client unter VPN IP-Netze eingetragen?
Ja, denn sonst ist es nicht möglich, dass ich bei bestehender VPN Verbindung auch ins Internet komme.

Okay DPD wieder auf 60 sek. Wie lange dauert denn die IKE Lifetime?

Aber trotzdem bleibt bei der derzeitigen Konfiguration das Problem, dass ich bei bestehender Verbindung lediglich auf das Lancom (192.168.10.6) zugreifen kann nicht aber auf die Server (192.168.10.3) oder Geräte dahinter.