Hallo,
ich habe nun schon mehrmals einen VPN-Zugang mit dem Advanced Client über einen Router in Netzwerke mit Lancom 1711 oder 1811 eingerichtet. Das hat immer geklappt. Dabei waren die IP-Bereiche der beiden Netze immer identisch, also z.B. Router im Zielnetz 192.168.2.254, PC mit Client 192.168.2.1, zugewiesen von VPN 192.168.2.150.
Nun mußte ich heute eine Einrichtung machen, bei der das Client-Netz einen anderen IP-Bereich hat, also Zielrouter 192.168.2.254, Client-PC im eigenen Netz 192.168.101.1, zugewiesen 192.168.2.150. Die Verbindung wird perfekt aufgebaut, ich kann aber im Zielnetz keinen PC anpingen oder sonst erreichen. Wenn ich den Client-Router und PC in de IP-Bereich des Zielnetzes umstelle klappts sofort.
Was mache ich falsch??
VPN Zugang klappt nur mit bestimmtem IP-Bereich
Moderator: Lancom-Systems Moderatoren
Hallo johnson,
Gruß
Mario
oh oh - wie bist Du auf diese Idee gekommen? Das mag mit dem AVC zwar funktionieren, da der offenbar die Metric in der lokalen Routingtabelle ändert. Aber die Konfusion beim Zugriff auf lokale und entfernte IPs dürfte beispielslos sein.Dabei waren die IP-Bereiche der beiden Netze immer identisch, also z.B. Router im Zielnetz 192.168.2.254, PC mit Client 192.168.2.1, zugewiesen von VPN 192.168.2.150.
Na sowas - der Normalfall.Nun mußte ich heute eine Einrichtung machen, bei der das Client-Netz einen anderen IP-Bereich hat, also Zielrouter 192.168.2.254, Client-PC im eigenen Netz 192.168.101.1, zugewiesen 192.168.2.150.
Die Verbindung wird perfekt aufgebaut, ich kann aber im Zielnetz keinen PC anpingen oder sonst erreichen. Wenn ich den Client-Router und PC in de IP-Bereich des Zielnetzes umstelle klappts sofort.
Das riecht mal wieder nach irgendwelchen personal firewalls, die pings ins eigene LAN zulassen, aber für andere Netze blockieren. Man kann sich auch selbst ins Knie schiessen.
Gruß
Mario
Natürlich ist das der Normalfall im Fall einer echten LAN-LAN-Kopplung. In meinen Fällen war das bisher aber immer so, daß es auf der Client-Seite nur einen oder 2 PC an einem DSL-Router gab, der auch nur auf einen einzigen Server im Zielnetz zugreifen mußte, also war die "Konfusion" leicht überschaubar.
In diesem Fall gibt es ausser der Firewall im Lancom keine Firewall-Software, da der angepingte PC ein SBS-Server ist, der m.E. keine Firewall hat, zumindest nicht, wenn er nur eine einzige Netzwerkkarte hat.
Ganz im Allgemeinen muß es doch völlig egal sein, ob der Client im selben oder einem anderen IP-Bereich wie das Zielnetz ist, da ich z.B. an einem Flugplatz oder im Hotel gar nicht kontrollieren kann, welche IP ich vom DHCP zugewiesen bekomme und der Advanced Client immer funktionieren muß. Oder seh ich das falsch?
In diesem Fall gibt es ausser der Firewall im Lancom keine Firewall-Software, da der angepingte PC ein SBS-Server ist, der m.E. keine Firewall hat, zumindest nicht, wenn er nur eine einzige Netzwerkkarte hat.
Ganz im Allgemeinen muß es doch völlig egal sein, ob der Client im selben oder einem anderen IP-Bereich wie das Zielnetz ist, da ich z.B. an einem Flugplatz oder im Hotel gar nicht kontrollieren kann, welche IP ich vom DHCP zugewiesen bekomme und der Advanced Client immer funktionieren muß. Oder seh ich das falsch?
Hallo johnson,
Zuerst würde ich mal am Zielrouter einen trace einschalten:
trace # ip-router @ icmp
und schauen, ob da überhaupt Pakete vom ping ankommen.
Gruß
Mario
Na ja - damit ist das lokale Netz für den Client nicht mehr erreichbar. Ist schon blöd, wenn man gerade eine Datei auf einem lokalen Server geöffnet hat und beim Aufbau des VPNs diese Verbindung wegbricht. Eine parallele Kommunikation zum Internet sollte auch nicht mehr möglich sein - bzw. es wird alles über das VPN geschickt.In meinen Fällen war das bisher aber immer so, daß es auf der Client-Seite nur einen oder 2 PC an einem DSL-Router gab, der auch nur auf einen einzigen Server im Zielnetz zugreifen mußte, also war die "Konfusion" leicht überschaubar.
Ping ist immer eine zweiseitige Sache. Zum einen muss der Client die ICMP-Pakete absenden können, zum anderen muss das Ziel diese auch beantworten dürfen. Und das Routing muss natürlich auch stimmen.In diesem Fall gibt es ausser der Firewall im Lancom keine Firewall-Software, da der angepingte PC ein SBS-Server ist
Zuerst würde ich mal am Zielrouter einen trace einschalten:
trace # ip-router @ icmp
und schauen, ob da überhaupt Pakete vom ping ankommen.
Das funktioniert ja auch. Angesichts der oben genannten Einschränkungen würde ich jedoch nie bewusst diese Einstellung im Clientnetz vornehmen.Ganz im Allgemeinen muß es doch völlig egal sein, ob der Client im selben oder einem anderen IP-Bereich wie das Zielnetz ist, da ich z.B. an einem Flugplatz oder im Hotel gar nicht kontrollieren kann, welche IP ich vom DHCP zugewiesen bekomme und der Advanced Client immer funktionieren muß.
Gruß
Mario
Hi johnson,
Wenn du den Client adreßmässig in das entfernte Netz einbindest, dann funktioniert es, weil das LANCOM dann Proxy-ARP machen kann. Wenn der Client aber in einem anderen Netz liegt, dann müssen die Rechner im LAN auch die Route zu diesem Netz kennen - Grundlagen TCP/IP...
Gruß
Backslash
Das klingt nach einem ganz normalen Routing-Problem: Die Rechner im entfernten Netz kennen die Route zu deinem Client nicht...Nun mußte ich heute eine Einrichtung machen, bei der das Client-Netz einen anderen IP-Bereich hat, also Zielrouter 192.168.2.254, Client-PC im eigenen Netz 192.168.101.1, zugewiesen 192.168.2.150. Die Verbindung wird perfekt aufgebaut, ich kann aber im Zielnetz keinen PC anpingen oder sonst erreichen. Wenn ich den Client-Router und PC in de IP-Bereich des Zielnetzes umstelle klappts sofort.
Wenn du den Client adreßmässig in das entfernte Netz einbindest, dann funktioniert es, weil das LANCOM dann Proxy-ARP machen kann. Wenn der Client aber in einem anderen Netz liegt, dann müssen die Rechner im LAN auch die Route zu diesem Netz kennen - Grundlagen TCP/IP...
Gruß
Backslash
Hi Johnson,
zurück zum Anfang!
Warum das bei Dir nicht geht kann ich noch nicht sagen, aber zunächst mal ist womit Du Probleme hast bei mir fast tägliche Praxis und funktioniert.
Möglicherweise habe ich auch etwas falsch verstanden!
Ich bin häufig mit meinem Notebook beim Kunden im Netzwerk und bekomme jedesmal eine andere IP Adresse zugewiesen die nichts mit meinem Büronetzwerk zu tun hat. Im Kunden Netzwerk kann ich mich frei bewegen und habe jederzeit Internetzugang.
Mit dem AVPN Client und einem LANoIP Profil kann ich "problemlos" (Haken kommt noch) zu meinem Büro eine Verbindung aufbauen und z.B Remote Sessions starten oder Dateien herunter laden.
Der Haken ist, dass ich der Kundenfirewall sagen muss dass ich raus will. In meinen Fällen kein Problem, weil ich die LANCOM Router mit ihrer Firewall entsprechend konfigurieren darf.
PS: während ich über den AVPN Client remote arbeite, kann ich parallel ins Internt und auch im Kundennetzwerk weiterarbeiten.
mfg
Markus
zurück zum Anfang!
Warum das bei Dir nicht geht kann ich noch nicht sagen, aber zunächst mal ist womit Du Probleme hast bei mir fast tägliche Praxis und funktioniert.
Möglicherweise habe ich auch etwas falsch verstanden!
Ich bin häufig mit meinem Notebook beim Kunden im Netzwerk und bekomme jedesmal eine andere IP Adresse zugewiesen die nichts mit meinem Büronetzwerk zu tun hat. Im Kunden Netzwerk kann ich mich frei bewegen und habe jederzeit Internetzugang.
Mit dem AVPN Client und einem LANoIP Profil kann ich "problemlos" (Haken kommt noch) zu meinem Büro eine Verbindung aufbauen und z.B Remote Sessions starten oder Dateien herunter laden.
Der Haken ist, dass ich der Kundenfirewall sagen muss dass ich raus will. In meinen Fällen kein Problem, weil ich die LANCOM Router mit ihrer Firewall entsprechend konfigurieren darf.
PS: während ich über den AVPN Client remote arbeite, kann ich parallel ins Internt und auch im Kundennetzwerk weiterarbeiten.
mfg
Markus