LAN-to-LAN over VPN

[haze4real]

habe einen Windows 2003 VPN Server der als VPN-Gateway dienen soll, dieser hat eine Netzwerkschnittstelle welche direkt mit dem Internet verbunden ist:

nun will ich folgenden Aufbau realisieren:

LAN1 <----VPN---> VPN-Server <----VPN----> LAN2

Es soll möglich sein von LAN2 die Addressen des LAN1 zu erreichen

VPN-Server:

VPN-IP: 192.168.50.1
VPN-IP Range für automatische Zuweisung: 192.168.50.1 - 100
VPN-MASK: 255.255.255.0

LAN1:

IP: 192.168.100.0
MASK: 255.255.255.0

LAN1 VPN-Client:

IP: 192.168.100.1
MASK: 255.255.255.0
VPN-IP: 192.168.50.101
VPN-MASK: 255.255.255.0

es soll also möglich sein aus dem VPN-Netzwerk heraus das Netz 192.168.50.0 auf das Netz 192.168.100.0 zuzugreifen.

was ich bisher versucht habe war auf dem VPN-Server folgende Route einzutragen:

route add 192.168.100.0 MASK 255.255.255.0 192.168.50.101 IF 192.168.50.1

damit habe ich zumindest schonmal bewirkt das Anfragen an das Netz 192.168.100.0 über VPN an den LAN1 VPN-Client geroutet werden, was ich jetzt noch brauche ist das dieser LAN1 VPN-Client (WinXP) die Anfragen in das interne Netz routet also von 192.168.50.101 auf 192.168.100.0, kann mir hier jemand auf die schnelle weiterhelfen?

 

[BasCom]

windows XP routet von vornhereien leider gar nix. da musste in der registrierung mal rumfrickeln.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

'IPEnableRouter' = '1'

zeig doch mal die routing tabelle vom xp.

 

[haze4real]

habe den schlüssel schon umgestellt und den Routing und RAS Dienst gestartet... Hier die Routing-Tabelle des XP Systems:

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0b 5d cb fb 08 ...... Broadcom NetXtreme Gigabit Ethernet - Paketplaner-Miniport
0x20004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x30005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface

===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0     10.161.XX.XX    10.161.XX.XX	  2
          0.0.0.0          0.0.0.0   192.168.50.101   192.168.100.1	  22
          0.0.0.0          0.0.0.0   192.168.50.101  192.168.50.101	  1
     10.161.XX.XX  255.255.255.255        127.0.0.1       127.0.0.1	  50
   10.255.255.255  255.255.255.255     10.161.XX.XX    10.161.XX.XX	  50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
     192.168.50.0    255.255.255.0   192.168.50.101  192.168.50.101	  1
   192.168.50.101  255.255.255.255        127.0.0.1       127.0.0.1	  50
   192.168.50.255  255.255.255.255   192.168.50.101  192.168.50.101	  50
    192.168.100.0    255.255.255.0    192.168.100.1   192.168.100.1	  1
    192.168.100.1  255.255.255.255        127.0.0.1       127.0.0.1	  20
  192.168.100.255  255.255.255.255    192.168.100.1   192.168.100.1	  20
     195.50.XX.XX  255.255.255.255     10.161.XX.XX    10.161.XX.XX	  1
        224.0.0.0        240.0.0.0    192.168.100.1   192.168.100.1	  20
        224.0.0.0        240.0.0.0     10.161.XX.XX    10.161.XX.XX	  2
        224.0.0.0        240.0.0.0   192.168.50.101  192.168.50.101	  1
  255.255.255.255  255.255.255.255     10.161.XX.XX    10.161.XX.XX	  1
  255.255.255.255  255.255.255.255   192.168.50.101  192.168.50.101	  1
  255.255.255.255  255.255.255.255    192.168.100.1   192.168.100.1	  1
Standardgateway:    192.168.50.101
===========================================================================
St„ndige Routen:
  Keine

10.161.XX.XX ist die Internetverbindung über welche die VPN-Verbindung aufgebaut wird

 

[BasCom]

192.168.100.0    255.255.255.0    192.168.100.1   192.168.100.1

da steht doch was du brauchst. is alles so korrekt.
also dient der xp rechner als gateway ins 50.0 fuer das 100.0 ?
routing und ras dienst bei xp ?

 

[haze4real]

ja hat mich auch gewundert, unter Dienste, allerdings kann ich nicht auf die Verwaltungskonsole für Routing und RAS unter XP, kann den Dienst nur starten...

der Rechner soll quasi als Router zwischen den beiden Netzen herhalten, d.h. zwischen 50.0 und 100.0, funktioniert bloss nicht wenn ich aus dem 100.0 Netz ein Ping in das 50.0 Netz absetzen will bekomm ich Zeitüberschreitung, wenn ich aus dem 100.0 Netz ein Ping auf die 50.101 (der Router quasi) absetze bekomm ich eine Antwort, allerdings nicht wenn ich vom 50.0 Netz auf die 100.1 (auch der Router) ping :/

Bsp:

192.168.100.2 ---PING---> 192.168.100.1 (XP-Router) Passt
192.168.100.2 ---PING---> 192.168.50.101 (XP-Router) Passt
192.168.100.2 ---PING---> 192.168.50.1 (VPN-Server) Zeitüberschreitung

192.168.50.1 (VPN-Server) ---PING---> 192.168.50.101 (XP-Router) Passt
192.168.50.1 (VPN-Server) ---PING---> 192.168.100.1 (XP-Router) Zeitüberschreitung
192.168.50.1 (VPN-Server) ---PING---> 192.168.100.2 Zeitüberschreitung


Auf dem XP Rechner ist die Firewall deaktiviert...

 

[BasCom]

mh? also leichte verwirrung macht sich bei mir grad breit. von welchem rechner pingst du was. vom XP router? oder von einem client. gibs mal ganz konkrete beispiele von wo du was pingst.
ist zwar aufwenidg hier zu schreiben aber . .
btw: ein traceroute wäre hier vl besser.

 

[haze4real]

dacht ich mir schon, hab den Eintrag über dir grad editiert ^^

/edit: omg tracert scheint nen prob zu haben, läuft bis maximale abschnitte,

 

[BasCom]

192.168.100.2 ---PING---> 192.168.50.1 (VPN-Server) Zeitüberschreitung

ja logo, der geht nicht, weil die letzten beiden auch nicht gehen
womit klar wäre:

scheinbar kennt der vpn server den weg ins 100.0 netz nicht, spuck da doch mal auch bitte die routen tabbelle aus.
sonst muss da noch ein: route add -p 192.168.100.0 mask 255.255.255.0 192.168.50.101 rein.

 

[haze4real]

IPv4-Routentabelle
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 14 2a 8d 61 9b ...... Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    195.50.XX.XX    195.50.XX.XX     20
     92.117.XX.XX  255.255.255.255    195.50.XX.XX    195.50.XX.XX     20
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
     192.168.50.1  255.255.255.255        127.0.0.1        127.0.0.1     50
   192.168.50.101  255.255.255.255     192.168.50.1     192.168.50.1      1
    192.168.100.0    255.255.255.0   192.168.50.101     192.168.50.1      1
    195.50.XX.XX  255.255.255.248    195.50.XX.XX    195.50.XX.XX     20
    195.50.XX.XX  255.255.255.255        127.0.0.1        127.0.0.1     20
   195.50.XX.XX  255.255.255.255    195.50.XX.XX    195.50.XX.XX     20
        224.0.0.0        240.0.0.0    195.50.XX.XX    195.50.XX.XX     20
  255.255.255.255  255.255.255.255    195.50.XX.XX    195.50.XX.XX      1
Standardgateway:     195.50.XX.XX
===========================================================================
St„ndige Routen:
  Keine

195.50.XX.XX ist die Internetverbindung über die der VPN-Server bereitgestellt wird

sonst muss da noch ein: route add -p 192.168.100.0 mask 255.255.255.0 192.168.50.101 rein.

hat ich schon gemacht, vorher kam beim Ping statt Zeitüberschreitung Netzwerk nicht verfügbar oder so

 

[BasCom]

hm ne die route steht ja da. hm sorry. mal genau lesen.

im xp router is keine rioute zum vpn server definiert.
statt :192.168.50.0 255.255.255.0 192.168.50.101 192.168.50.101

müsste es 192.168.50.0 255.255.255.0 192.168.50.1 192.168.50.101

heissen

 

[haze4real]

/edit: hier nochmal tracert auf die 3 Pings mit Zeitüberschreitung:

192.168.100.2 (Client) ---TRACERT---> 192.168.50.1 (VPN-Server):

Routenverfolgung zu 192.168.50.1 ber maximal 2 Abschnitte

  1    <1 ms    <1 ms    <1 ms  192.168.100.1 
  2     *        *        *     Zeitberschreitung der Anforderung.

Ablaufverfolgung beendet.

192.168.50.1 (VPN-Server) ---TRACERT---> 192.168.100.1 (XP-Router)

Routenverfolgung zu 192.168.100.1 ber maximal 2 Abschnitte

  1     *        *        *     Zeitberschreitung der Anforderung.
  2     *        *        *     Zeitberschreitung der Anforderung.

Ablaufverfolgung beendet.

192.168.50.1 (VPN-Server) ---TRACERT---> 192.168.100.2 (Client)

Routenverfolgung zu 192.168.100.2 ber maximal 2 Abschnitte

  1   729 ms   719 ms   720 ms  XXX [192.168.50.101] 
  2     *        *        *     Zeitberschreitung der Anforderung.

Ablaufverfolgung beendet.

jeweils nur 2 Abschnitte da diese bis auf 30 mit Zeitüberschreitung durchgelaufen sind...

 

[BasCom]

schau auf mein beitrag drüber :-)

was ich eigentlich komisch find: wenn du dich ins vpn einwählst, müsste die route eigentlich automatisch erstellt werden, je nach deinen vpn einstellungen. hast du stardard gateway fuers remotenetzwerk verwenden aktiviert oder nicht ?

 

[haze4real]

schau auf mein beitrag drüber :-)

hab die route geändert, leider hab ich immer noch die gleichen tracert und ping ergebnisse

was ich eigentlich komisch find: wenn du dich ins vpn einwählst, müsste die route eigentlich automatisch erstellt werden, je nach deinen vpn einstellungen. hast du stardard gateway fuers remotenetzwerk verwenden aktiviert oder nicht ?

glaube das Hauptproblem ist das ich Softwareentwickler bin und einen auf Netzwerkadministrator mach XD

auf dem XP-Router ist die option "Standardgateway für das Remotenetzwerk verwenden" aktiviert

/edit: was ich komisch finde ist das er beim tracert vom VPN-Server auf den Client hinter dem XP-Router der Name und die IP des XP-Routers aufgelöst werden, beim tracert vom VPN-Server auf den XP-Router direkt allerdings nicht :/

 

[BasCom]

also dat muss eigentlich nu funktioniern.

haste nicht was, so man sich bequemer unterhalten kann über das problem. icq beispielsweise. die endösung kann man hier immernoch posten.

 

[haze4real]

schlecht bin noch auf der Arbeit und daheim hab ich die teile nich im Zugriff

 

[BasCom]

also standart gate fuers remote netz brauchst du nur, wennu wills dasd auch der internet traffic über den vpn server geht. und nicht nur der traffic ins 192.168.50.0 netz.
ein ping ins 192.168.50.1 vom xp host ist auch negativ ?

btw: icq2 go :-)

 

[haze4real]

mom, alles klar bin in icq, nummer is 567815454 ^^