VPN für Dummies

Ludger · Beitrag von **Ludger** » 06 Jul 2009, 16:55

Moin Zusammen,

folgendes habe ich vor:

Netzwerk (Domäne) mit VPN-Zugängen ausstatten. Für den Domänen-Admin sowie für Externe Dienstleister die installierte Software pflegen sollen und müssen. Dazu soll auch Remotedesktop genutzt werden.

Habe einen Lancom1711+VPN mit dem Netzwerk verbunden. Dieser hat die IP: 192.168.1.253. Er soll den VPN-Clients die IP-Adressen 192.168.1.245-249 zuweisen. Wegen der dynamischen IP-Adresse vom ISP habe ich ein DynDNS-Konto angelegt und die Daten im 1711 hinterlegt.
Internetverbindungen über den 1711 funktionieren.

Über die Möglichkeit der 1-Click-Profilerstellung habe ich ein Profil für den Advanced-VPN-Client erstellt.
Habe auf einem Client-PC die Software installiert und das Profil importiert (Dieser PC läuft über einen anderen DSL-Anschluss).
Der Verbindungsaufbau zum 1711 funktioniert, ich bekomme z.B. die IP: 192.168.1.245 zugewiesen, Netmask 255.255.255.0 und GW 192.168.1.246.
Und die GW-IP-Adresse von meiner Netzwerkkarte ist gelöscht.

In den Sicherheitseinstellung vom 1711 habe ich bei den Protokollen die von extern erlaubt sind, bei allen Einträgen VPN ausgewählt.
Nun meine Fragen:

Wieso bekomme ich als GW-IP-Adresse die 192.168.1.246 zugewiesen?

Wenn ich Remotedesktop starte und als Ziel einen Namen im entfernten Netz angebe, kommt die Fehlermeldung, dass der Computer nicht zu finden ist.

Gibt es noch etwas zu beachten wegen der Domänenanmeldung?

Hoffe es ist einigermaßen verständlich und Jemand von Euch ist bereit sein Wissen mit einem Neuling zu teilen

Gruß
Ludger

backslash · Beitrag von **backslash** » 06 Jul 2009, 17:19

Hi Ludger

Wieso bekomme ich als GW-IP-Adresse die 192.168.1.246 zugewiesen?

das liegt an der virtuellen Netzwerkkarte, die der AVC instelliert. Die Gateway-Adresse ist immer um 1 höher als die zugewiesene Adresse. Ignorier das einfach...

Gibt es noch etwas zu beachten wegen der Domänenanmeldung?

Die Domänenanmeldung erfolgt während der Windowsanmeldung. Daher mußt du den AVC so einstellen, daß er den Tunnel automatisch aufbaut. Sonst meckert Windows beim Login, daß der Domänen-Controller nicht gefunden wurde und es möglicherweise Probleme beim Zugriff auf Netzfreigaben gibt.

Gruß
Backslash

Ludger · Beitrag von **Ludger** » 06 Jul 2009, 21:47

Moin backslash,

backslash hat geschrieben:Hi Ludger

Wieso bekomme ich als GW-IP-Adresse die 192.168.1.246 zugewiesen?
das liegt an der virtuellen Netzwerkkarte, die der AVC instelliert. Die Gateway-Adresse ist immer um 1 höher als die zugewiesene Adresse. Ignorier das einfach...

Ok, das hab ich verstanden.

Gibt es noch etwas zu beachten wegen der Domänenanmeldung?

backslash hat geschrieben:Die Domänenanmeldung erfolgt während der Windowsanmeldung. Daher mußt du den AVC so einstellen, daß er den Tunnel automatisch aufbaut. Sonst meckert Windows beim Login, daß der Domänen-Controller nicht gefunden wurde und es möglicherweise Probleme beim Zugriff auf Netzfreigaben gibt.

Gruß
Backslash

Wo kann ich das einstellen?

Irgendwie hatte ich die Erwartung, dass ich bei einer VPN-Verbindung einen Anmeldefenster bekomme, damit ich mich im Netzwerk mit Benutzername und PW anmelden kann.
Oder muss ich auf dem Client-PC ein Benutzerprofil mit Domäne anlegen, damit das klappt?

Wie im Betreff geschrieben: Für Dummies

Danke schonmal.
Ludger

Ludger · Beitrag von **Ludger** » 07 Jul 2009, 15:59

Moin Zusammen,

kleiner Nachtrag: Prinzipiell kann ich nun die Verbindung über das VPN in das Netzwerk machen.
Nur habe ich da noch (im Moment) zwei Fragen.

Der IP-Adressraum im Zielnetzwerk und in dem Netzwerk aus dem ich mit dem AVC arbeiten möchte ist identisch und dann kann ich kein RDP ins entfernte Netz machen. Ändere ich die IP-Adresse des Netzes in dem der AVC läuft, so kann ich RDP ins entfernte Netz machen. Kann die Konfiguration so angepasst werden, dass ich auch mit gleichen Adressräumen arbeiten kann?

Wenn ich per RDP ins entfernte Netz zugreifen will, kann ich nur die Rechner/Server per IP-Adresse ansprechen, nicht mit ihrem Namen. Was muss ich tun, damit ich dies machen kann?

Danke.

Gruß
Ludger

backslash · Beitrag von **backslash** » 07 Jul 2009, 16:10

Hi Ludger

Wo kann ich das einstellen?

ich kann dir jetzt nicht sagen, wo das beim aktuellen Client steht, aber in der Version 1.11 konntest das unter unter Konfiguration -> Logon Optionen einstellen

Irgendwie hatte ich die Erwartung, dass ich bei einer VPN-Verbindung einen Anmeldefenster bekomme, damit ich mich im Netzwerk mit Benutzername und PW anmelden kann.

Prinzipiell bekommst du bei Windows beim Zugriff auf eine freigegebene Ressource einen Dioalog, in dem du Domain\Username und Paßwort eingeben kannst - nur leider nicht immer... Früher bei NT und W2K kam der Dialog immer, aber seit XP hat Microsoft da eine Heuristik eingebaut, damit der User nicht ständig damit belästigt wird - nur funktioniert die meist nicht, wodurch dir letztendlich der Zugriff auf die Ressource verweigert wird... Daher ist es sinnvoll, sich direkt bei der Windowsanmeldung auch an der Domäne anzumelden, doch das geht nur, wenn der Client dazu auch schon den Tunnel aufbaut...

Du kannst natürlich auch über die Kommandozeile mittels net use aus die Ressourcen zugreifen. Dabei wird die kaputte Heuristik umgangen, denn dort mußt du immer Domain\Username und Paßwort angeben:

net use Laufwerk: \\Computer\Freigabe Paßwort /USER:Domain\Username

Gruß
Backslash

Ludger · Beitrag von **Ludger** » 07 Jul 2009, 19:52

Moin Backslash,

Danke für Deine Erläuterungen, wieder was gelernt.

Hast Du noch eine Idee zu meinen Fragen über Deinem letzten Posting?

Gruß
Ludger

backslash · Beitrag von **backslash** » 08 Jul 2009, 13:47

Hi Ludger

Der IP-Adressraum im Zielnetzwerk und in dem Netzwerk aus dem ich mit dem AVC arbeiten möchte ist identisch und dann kann ich kein RDP ins entfernte Netz machen. Ändere ich die IP-Adresse des Netzes in dem der AVC läuft, so kann ich RDP ins entfernte Netz machen. Kann die Konfiguration so angepasst werden, dass ich auch mit gleichen Adressräumen arbeiten kann?

Wenn die beiden Netze identisch sind, dann hat Windows ein Problem: Wohin soll es ein paket schicken, das an eine Adresse in dem Netz gerichtet ist - direkt aufs LAN oder in den VPN-Tunnel? Das ist ein vom prinzip her nicht lösbares Problem...

Die einzige Chance, die du hast ist eines der beiden Netze zu ändern, entweder in dem du das aus sicht des AVC lokale Netz änderst oder im 1711 ein N:N-NAT erstellst, das das entfernte Netz ummappt.

Wenn ich per RDP ins entfernte Netz zugreifen will, kann ich nur die Rechner/Server per IP-Adresse ansprechen, nicht mit ihrem Namen. Was muss ich tun, damit ich dies machen kann?

Zunächst muß der 1711 die Zuordnung zwischen Namen und IP-Adresse kennen. Das geschieht entweder dadurch, daß alle PCys sich per DHCP vom 1711 eine Adresse beziehen oder dadurch, daß du auf dem 1711 den NetBIOS-Proxy aktivierst, oder ganz klassich indem du die Zuordnung in der DNS-Liste (TCP/IP -> DNS -> Stations-Namen) einträgst

Dann mußt du den PC mit kompletter Domain ansprechen. Wenn der PC also rdp-host heißt und die Domian im 1711 mydomain.intern lautet, dann mußt du den PC unter rdp-host.mydomain.intern ansprechen

Gruß
Backslash

Ludger · Beitrag von **Ludger** » 08 Jul 2009, 15:03

Moin Backslash,

backslash hat geschrieben: Zunächst muß der 1711 die Zuordnung zwischen Namen und IP-Adresse kennen. Das geschieht entweder dadurch, daß alle PCys sich per DHCP vom 1711 eine Adresse beziehen oder dadurch, daß du auf dem 1711 den NetBIOS-Proxy aktivierst, oder ganz klassich indem du die Zuordnung in der DNS-Liste (TCP/IP -> DNS -> Stations-Namen) einträgst

Dann mußt du den PC mit kompletter Domain ansprechen. Wenn der PC also rdp-host heißt und die Domian im 1711 mydomain.intern lautet, dann mußt du den PC unter rdp-host.mydomain.intern ansprechen

Gruß
Backslash

unter NetBios --> NetBios Netzwerke existieren zwei Einträge: DMZ und Intranet, bei Beiden steht der NetBios-Proxy auf AUS. Bei dem Eintrag INTRANET steht unter Arbeitsgruppe: Test.
Habe nun den Eintrag bei INTRANET auf Ein geändert und versucht den Rechner HOST anzusprechen: RDP aufgerufen und HOST.TEST.INTERN eingegeben. Fehlermeldung dass der Computer nicht zu finden ist.
Habe dann über TCP/IP --> DNS --> Stationsnamen einen Eintrag erstellt: HOST.TEST.INTERN = 192.168.1.173. Dann konnte ich auf den HOST per RDP zugreifen.
Möchte natürlich nicht alle Rechner händisch eintragen, muss ich noch irgendwas eintragen, damit die Namensauflösung funktioniert, ausser NetBios-Proxy ein?

Danke für Deine Hilfe.

Gruß
Ludger

backslash · Beitrag von **backslash** » 08 Jul 2009, 17:00

Hi Ludger,

Habe nun den Eintrag bei INTRANET auf Ein geändert und versucht den Rechner HOST anzusprechen: RDP aufgerufen und HOST.TEST.INTERN eingegeben. Fehlermeldung dass der Computer nicht zu finden ist.

Nach Aktivierung des NetBIOS-Proxy mußt du auch warten, bis der Name in der NetBIOS-Hostliste (/Status/TCP-IP/NetBIOS/Host-List) aufgenommen wurde... Wenn die Arbeitsgruppe auf dem Host nicht die gleiche wie im NetBIOS-Proxy ist, dann kann das bis zu einer halben Stunde dauern...

Gruß
Backslash

Ludger · Beitrag von **Ludger** » 08 Jul 2009, 17:56

Moin Backslash,

backslash hat geschrieben:Hi Ludger,

Habe nun den Eintrag bei INTRANET auf Ein geändert und versucht den Rechner HOST anzusprechen: RDP aufgerufen und HOST.TEST.INTERN eingegeben. Fehlermeldung dass der Computer nicht zu finden ist.
Nach Aktivierung des NetBIOS-Proxy mußt du auch warten, bis der Name in der NetBIOS-Hostliste (/Status/TCP-IP/NetBIOS/Host-List) aufgenommen wurde... Wenn die Arbeitsgruppe auf dem Host nicht die gleiche wie im NetBIOS-Proxy ist, dann kann das bis zu einer halben Stunde dauern...

Gruß
Backslash

Wenn ich beim 1711 in die Host-List sehe, steht da nur: <kein Eintrag>
Das ich nur den Eintrag NetBios-Proxy auf Ein gesetzt habe, im NetBios-Netzwerke-Menü für den Eintrag INTRANET, ist ausreichend?

Das Netz in das ich mich per RDP einloggen will, ist eine Domäne. Das Netz aus dem ich Verbindung aufbauen will ist eine Arbeitsgruppe. Bei den Einstellungen für die NetBios-Netzwerke wird von Arbeitsgruppe gesprochen, kann sich da etwas beissen?

Langsam verzweifel ich

Hoffe Du hast noch etwas Geduld.

Gruß
Ludger

backslash · Beitrag von **backslash** » 08 Jul 2009, 19:57

Hi Ludger

Das ich nur den Eintrag NetBios-Proxy auf Ein gesetzt habe, im NetBios-Netzwerke-Menü für den Eintrag INTRANET, ist ausreichend?

Solange du auch den globalen Schalter aktiviert hast (NetBIOS -> Allgemein -> NetBIOXS über IP Routing aktiviert), ja.

Das Netz aus dem ich Verbindung aufbauen will ist eine Arbeitsgruppe. Bei den Einstellungen für die NetBios-Netzwerke wird von Arbeitsgruppe gesprochen, kann sich da etwas beissen?

In der Firmware heißt der Punkt "NT-Domain"... Hier muß entweder der Name der Arbeitsgruppe oder der Domain stehen, in der der Rehner steht, auf den du dich einloggen willst. Dieser Punkt dient aber letztendlich nur dazu, einen Startpunkt zu haben um das LAN zu scannen... Irgendwann meldet sich jeder PC per Broadcast und diese kann das LANCOM auch aufsammeln - es dauert dann nur deutlich länger, bis sich die Tabellen füllen...

Gruß
Backslash

Ludger · Beitrag von **Ludger** » 08 Jul 2009, 22:09

Moin Backslash,

backslash hat geschrieben: Solange du auch den globalen Schalter aktiviert hast (NetBIOS -> Allgemein -> NetBIOXS über IP Routing aktiviert), ja.

Ist gesetzt, aber leider ist die Host-Liste immer noch leer.

LCOS-Menübaum --> Status --> TCP/IP --> NetBios --> Host-Liste

Muss nach solchen Veränderungen im Setup ein Neustart des 1711 gemacht werden oder ist das nicht nötig?

Langsam zweifel ich an mir

Bestimmt ein ganz trivialer Fehler den ich mache.

Kannst Du nochmal drüber nachdenken?

Danke.
Gruß
Ludger