VPN LAN-LAN Kopplung

[Memorex23]

Hallo zusammen,

Ich habe bei zwei Netzwerken die jeweils eine Fritzbox als Router haben eine VPN LAN-LAN Kopplung eingerichtet (Siehe Skizze).




Jetzt habe ich folgendes Problem:
Ich komme jeweils von einem Netzwerk auf die Fritzbox des anderen (indem ich die IP Adresse in den Browser eintippe). Die VPN Verbindung funktioniert also.
Ich komme auch vom einen Netzwerk über das VPN auf das NAS (bzw. den Linux PC) im anderen Netzwerk. Allerdings können die Windows Rechner (beides Windows 10) nicht aufeinander zugreifen.
Zuerst habe ich gedacht es liegt daran das die Subnetzmaske falsch ist aber dann dürfte der Zugriff auf das NAS ja auch nicht funktionieren.

Was übersehe Ich?

 

[Creati]

Sollte funktionieren. Einfach mal die Standardsachen probieren:

- ping
- Firewalls deaktivieren
- Andere Art des Zugriffs außer SMB probieren (RDP beispielsweise)

Dann weiß man schon mehr.

 

[Raijin]

Ich weiß nicht genau wie die LAN2LAN Verbindung bei den Fritzboxxen realisiert ist. Wenn NAT im Spiel ist, sollte es eigentlich keine Probleme geben, weil es jeweils so aussieht als käme die Anfrage von der Fritzbox.

Ist das VPN jedoch geroutet, dann ist die Quell-IP der Verbindung eine IP aus dem fremden Netz. In diesem Fall kann es passieren, dass die lokale Firewall bei Windows zuschlägt. So sind beispielsweise Zugriffe auf Freigaben standardmäßig für LAN-only konfiguriert. Kommt nun eine externe IP daher, wird geblockt.

Um die Firewall korrekt zu konfigurieren, gehst du in die Firewall Ausnahmen und editierst den entsprechenden Dienst, zB die Dateifreigabe. Dort gibt es eine Option, die sich Gültigkeitsbereich oder so nennt - hab gerade nur Linux hier. Da kann man einstellen 'Nur lokales Netzwerk erlauben' oder 'Alles erlauben' bzw. spezifische Adressbereiche eingeben. Entweder stellt man dann auf alles (nicht empfohlen) oder gibt explizit das Subnetz der gegenüberliegenden Fritzbox an
Dann werden Anfragen aus dem anderen Fritznet zugelassen.

Dasselbe muss man nun für jeden Dienst wiederholen, der aus dem Fremdnetz genutzt werden soll. Selbst der Ping lässt sich so reglementieren.

 

[Creati]

Raijin hat recht. Ich habe es eben bei mir ausprobiert. Ich habe ebenso ein LAN2LAN VPN mit der FritzBox. Zugriffe werden entsprechend geroutet. Zugriffe sind nur aus dem lokalen Subnetz möglich.
Dies geht über die erweiterten Einstellungen der Firewall. Dort hast Du mehrere Regeln. Die Regeln, welche die Datei und Druckerfreigabe betreffen, musst Du entsprechend anpassen. Das kannst Du in den Eigenschaften unter dem Reiter Bereich machen. Dort hast Du den Eintrag "Remote-IP-Adresse", wo Du den entsprechenden Eintrag machen musst.

 

[Memorex23]

Hallo nochmal,

eure Tipps haben dazu geführt das ich nun endlich Datein über das Netzwerk austauschen kann. Das klappt seit knapp 2 Wochen herrvorrgend. Dafür erstmal noch herzlichen Dank!

Allerdings finde Ich es ein wenig hakelig jeden einzelnen Dienst in der Firewall freizuschalten. Anfangs ging es mir nur darum Datein über ein Netzlaufwerk auszutauschen, nach und nach kommen aber noch mehr Dienste und Anwendungen dazu.

Was müsste Ich denn an der VPN Kopplung ändern damit sich alle Rechner von Haus aus so verhalten als wären sie in einem "normalen Heimnetzwerk"?

 

[Creati]

Ich würde die Firewallregeln einmal für einen Rechner erstellen und die dann exportieren und somit auf die anderen Rechner verteilen: http://www.windowspage.de/tipps/022246.html

 

[Raijin]

Hm.. Wieviele Clients hast du denn, dass das soooooo unglaublich aufwändig ist? An einem normalen PC muss man eigentlich kaum etwas in der Firewall tun, vielleicht ICMP_Echo (Ping). Wenn man ein NAS hat, werden Freigaben am PC ja hinfällig. Pro PC hat man also gefühlt 0 bis max 3 Regeln, die man anpassen müsste. Dauert ca. 14,736 Sekunden
Wenn ein Client gar keine Serverdienste anbietet (zB keine Freigabe, etc), dann braucht man an der Firewall eigentlich auch nicht rumspielen - abgesehen vom Ping, wenn's einem wichtig ist.

Ansonsten kann man das auch komplett umgehen, wenn man am VPN-Server mit NAT arbeitet. Mein Ubuntu-Server NATet alles was aus dem VPN kommt und so denken die Geräte im LAN, dass der Server die Anfrage stellt und nicht irgendein Client hinter einem VPN mit fremder IP.


Hier schreibt Microsoft im übrigen folgendes zu dem Thema:

When you use the My network (subnet) only scope option, Windows Firewall does not perform any IP configuration testing or subnet mask interpretation to determine whether the traffic is coming from a computer that is a neighbor on a locally attached subnet. Instead, Windows Firewall determines whether the traffic is originating from an address that can be reached directly based on routes in the IP version 4 (IPv4) routing table. If it is, this traffic is considered to match the My network (subnet) only scope.

Ausprobiert habe ich das nie, aber wenn man dem Glauben schenken darf, dann reicht eine explizite Router in das fremde Subnetz aus, um als "lokal" zu gelten. Allerdings weiß ich nicht ob der Artikel noch aktuell ist, weil er laut Angabe für Windows Server 2003 gültig ist. Du kannst ja mal testweise am PC eine Route eintragen mit "route add 192.168.2.0 mask 255.255.255.0 192.168.1.1".
Wenn die Aussage von MS noch stimmt, dann müsste der PC künftig auch Pakete aus dem 192.168.2.0er Netz als lokal akzeptieren.