Lancom in weiteres Netz routen für VPN-Client

wieselflink · Beitrag von **wieselflink** » 07 Feb 2006, 20:49

Hallo,

wir haben hier einen LC1711 VPN Router und Clients die sich in das Firmennetzwerk über VPN einwählen sollen.

Das interne Netzwerk ist 192.168.1.x. Der Lancom befindet sich im Netzwerk 192.168.168.x

Im Lanconfig habe ich den Benutzer unter Routing die IP-Adresse 192.168.1.70/24 vergeben. Diese erhält er auch (IPCONFIG), jedoch kann ich weder den Server im 192.168.1.x Netzwerk erreichen, oder pingen.

Unter Routing habe ich auch schon eine neue Route mit
192.168.1.0 --- 255.255.255.255
hinzugefügt, was aber auch nicht wirklich hilft.

Wo oder was muss ich den LC1711 noch sagen, damit er den Client ins 192.168.1.x Netzwerk routet??!

Auf der Lancomseite habe ich den Artikel "Weitere Netze über einen VPN-Tunnel routen" "http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German"

würde dies damit die Problematik beheben, wenn ich eine Route
192.168.1.0/24 und 192.168.168.0/24 angebe?

tunichtgut · Beitrag von **tunichtgut** » 09 Feb 2006, 09:16

man wird sowohl vom Setup-Assistenten für den ADV-VPN Client Zugang, als auch bei der Einrichtung des Profils auf dem ADV-Client gefragt, ob man den Zugang auf ein bestimmtes Netz beschränken will oder alle erlaubt. Da Du mehrere Netze hinter dem Router erreichen musst würde ich hier einfach 'alle IP-adressen erlauben' auswählen.

Du kannst auch die vom Assistenten erzeugt Firewall Regel so anpassen das das 2. Netz erlaubt wird, das ganze dann nochmal im ADV-Client. Die Route auf 192.168.1.0 schmeisst Du am besten wieder raus

baerlaus · Beitrag von **baerlaus** » 11 Feb 2006, 22:32

Hallo Leute,

leider habe ich auch so ein ähnliches Problem.

In der Firma gibt es zwei verschiedene Netzwerke

192.168.1.x und 192.168.2.x

Im 192.168.2.x befindet sich der Lancom Router. Zwischen den internen 192.168.1.x und 192.168.2.x befindet sich ein MS ISA 2000 Firewall/Proxyserver - dieser routet vom 192.168.1.x die Internetanfragen zum 192.168.2.x Lancom Router und dieser ins Internet.
Der ISA 2000 ist soweit konfiguriert, dass er die VPN-Verbindungen vom 192.168.2.x durchlassen sollte (auch bei kurz, deaktivierter Firewall des ISA nicht möglich).
Der Client baut über VPN eine IPSec-Verbindung über den Lancom auf - bekommt wie konfiguriert eine IP-Adresse 192.168.1.x jedoch ist weder ein Ping oder Zugriff auf das Netzwerk möglich. Eine manuelle Konfiguration der IP-Adresse beim VPN-Client hilft auch nicht weiter.

Im Lancom ist unter Routing "Proxy-ARP für entfernte Stationen" aktiviert,
Im NET-BIOS unter der Routing-Tabelle ist die VPN-Station eingebunden.

In der Routing Tabelle habe ich bereits für das 192.168.1.0 Netzwerk mit 255.255.255.0, Routing Tag 0,Router = IP des Lancoms eingetragen. Somit sagt er zwar nicht mehr dass, das Zielnetz nicht erreichbar ist, jedoch weiter bringt es auch nicht.

Hat jemand noch ne Idee, was ich hier verkehrt mache?

Grüsse
Michael

eddia · Beitrag von **eddia** » 12 Feb 2006, 11:08

Hallo Michael,

Im 192.168.2.x befindet sich der Lancom Router. Zwischen den internen 192.168.1.x und 192.168.2.x befindet sich ein MS ISA 2000 Firewall/Proxyserver - dieser routet vom 192.168.1.x die Internetanfragen zum 192.168.2.x Lancom Router und dieser ins Internet.

also so?

192.168.2.x --- ISA --- 192.168.1.x --- Lancom --- Internet --- VPN-Client

In der Routing Tabelle habe ich bereits für das 192.168.1.0 Netzwerk mit 255.255.255.0, Routing Tag 0,Router = IP des Lancoms eingetragen.

Du musst das Netz 192.168.2.0 mit Gateway = ISA-IP in diesem Netz eintragen.

Gruß

Mario

baerlaus · Beitrag von **baerlaus** » 12 Feb 2006, 16:05

Hallo Edia,

fast...

192.168.1.x --- ISA --- 192.168.2.x --- Lancom --- Internet --- VPN-Client

Habe auf dem Lancom nun folgende Routing angelegt - leider komme ich aber trotzdem nicht ins 192.168.1.x Netzwerk

IP-Adresse Netzmaske Routing-Tag Router Distanz
192.168.1.0 255.255.255.0 0 192.168.168.200 0

Die IP-Adresse 192.168.168.200 sowohl 192.168.1.150 ist der ISA-Server

In der Routing-Tabelle wenn ich die Standard 192.168.0.0 -- 255.255.0.0 deaktiviere kommt zwar dann nicht Zielanschluss nicht erreichbar, aber weiter auch nicht...

Ich glaube ich sehe momentan den Wald vor lauter Bäumen nicht

Muss dazu noch RIP aktiviert werden?

eddia · Beitrag von **eddia** » 12 Feb 2006, 18:46

Hallo Michael,

192.168.1.x --- ISA --- 192.168.2.x --- Lancom --- Internet --- VPN-Client

und warum bekommt dann der VPN-Client eine IP aus dem Netz 192.168.1.0?

IP-Adresse Netzmaske Routing-Tag Router Distanz
192.168.1.0 255.255.255.0 0 192.168.168.200 0

Die IP-Adresse 192.168.168.200 sowohl 192.168.1.150 ist der ISA-Server

Und wo kommt auf einmal das Netz 192.168.168.0 her? Sorry - aber ein wenig Sorgfalt beim Angeben der IPs solltest Du schon aufbringen.

Prüfe erst mal, ob Du vom Lancom aus das Netz 192.168.1.0 erreichst. Wenn das funktioniert, kann man mit der VPN-Geschichte weiter machen.

Gruß

Mario

tunichtgut · Beitrag von **tunichtgut** » 13 Feb 2006, 10:41

baerlaus hat geschrieben:Hallo Edia,

Habe auf dem Lancom nun folgende Routing angelegt - leider komme ich aber trotzdem nicht ins 192.168.1.x Netzwerk

In der Routing-Tabelle wenn ich die Standard 192.168.0.0 -- 255.255.0.0 deaktiviere kommt zwar dann nicht Zielanschluss nicht erreichbar, aber weiter auch nicht...

Ich glaube ich sehe momentan den Wald vor lauter Bäumen nicht

Muss dazu noch RIP aktiviert werden?

Nein, aber ein Routing Eintrag reicht nicht und der 'Trick' den Client per zugew. IP ins nicht definierte Netz zu stellen klappt hier auch nicht.

Du musst noch VPN-Regeln erzeugen, sofern Du das bei der Einrichtung der Verbindung nicht getan hast.

Mal mal ein 'show vpn' unter Telnet ob beide Netze für diese Verbindung definiert sind, wenn nicht fügtst du das 2. Netz in der Firewallregel (WIZ_VPN-CLIENT_VERBINDUNGSNAME) des Clients ein. Beim Client müssen unter VPN IP-Netze auch beide Netze drinstehen.