VPN Verbindung funktioniert, jedoch kein Zugriff auf Netzwerk

[Gladiator6]

Hallo

Ich verwende einen Asus n66u um eine VPN Verbindung herzustellen. Dies klappt auch, mir wird die korrekte externe IP Adresse angezeigt. Ich nutze mit meinem Win 7 Laptop die Windows Boardmittel (Netzwerkumgebung --> neue VPN Verbindung) um die Verbindung herzustellen. Leider habe ich keinen Zugriff auf andere Netzwerk Ressourcen. Ich müsste ja bei bestehender VPN Verbindung auch Zugriff auf den Router via interner IP haben, was nicht der fall ist. Via iphone bekomme ich jedoch Zugriff.

Liegt es an den Einstellungen? Sollte ich besser einen VPN Client benutzen anstatt die Windows Boardmittel?

Bestenk Dank füre eure Hilfe.

 

[Seinfeldfreak]

Als Erstes checken, ob irgendwelche Firewalls/Virenscanner aktiv sind, die den Verkehr blocken.

 

[Gladiator6]

Bei mir läuft nur Microsoft Security Essentials. Und natürlich die Windows Firewall, welche ja standardmässig aktiviert ist.

 

[Primergy!]

Hast du ggf. in dem Netz, aus dem du das VPN aufbauen willst, das gleiche Subnet wie im entfernten Netz?

 

[Raijin]

Wie genau der windowseigene VPN-Client funktioniert, weiß ich nicht, da ich den nie verwendet habe. Prinzipiell ist es aber so, dass VPN letztlich nur ein weiteres Netzwerk ist - eben nur virtuell. Das heißt im Umkehrschluß auch, dass du unter Umständen eine entsprechende Route in der Routing Tabelle setzen musst.

Beispiel:

LAN@Home: 192.168.1.x
LAN@Office: 172.16.61.x
VPN-LAN: 10.10.10.x

Route => Subnetz 192.168.1.0 (255.255.255.0) via 10.10.10.1 (VPN-Server) leiten.

Poste bitte mal die IP-Adressen bzw. Subnetze, die du verwendest (zB via Eingabeaufforderung 'ipconfig /all') bzw. die Routing Tabelle ('route print')

 

[Gladiator6]

Ja das ist korrekt.

Home Netzwerk:

Router: 192.168.1.1
Access Point 1: 192.168.1.2
Access Point 2: 192.168.1.3

Clients: ab 192.168.1.4

Der Router vergibt für VPN die Adressen 192.168.10.2-192.168.10.11

Das Netz von wo aus ich die VPN Verbindung herstellen will:

Router 192.168.1.1

Clients ab 192.168.1.2

Wo besteht nun das Problem?
Ich möchte natürlich die VPN Verbindung aus irgend einem Netz herstellen können, zB. bei einem Kumpel, im Büro, in den Ferien...

 

[Raijin]

Das Problem ist ganz einfach: Es gibt zwei identische Subnetze, das eine lokal, das andere hinterm VPN. Wohin sollen die Pakete zu 192.168.1.x nu geschickt werden? Ins LAN oder über's VPN?

1) Wohin geht "ping 192.168.1.1" ohne VPN-Verbindung? Genau, an den Router im jeweiligen LAN
2) Wohin geht "ping 192.168.1.1" mit VPN-Verbindung? Hm.. Entweder der lokale Router oder der Router hinterm VPN? Ja wat nu?

Genau deswegen ist es eine seeeehr schlechte Idee, 192.168.0.x oder 1.x für ein LAN zu verwenden, wenn man plant, dieses LAN via VPN mit einem anderen LAN zu verbinden. Diese beiden Subnetze sind die am häufigsten verwendeten Netze überhaupt. Mein Tip: Such dir für dein Heimnetz ein anderes Netz. Es gibt 3 Bereiche, die für private Subnetze vorgesehen sind:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Ich empehle dir, das auch auszunutzen. Für das LAN in der Wohnung zB auf 192.168.117.x zu setzen und für das VPN-LAN zB 10.17.18.0 zu verwenden. Dann ist es sofort klar, dass das VPN-IPs sind und man kann sich nicht vertun zwischen 192.168.1.x und 10.x.... Und lieber nicht 10.0.0.x und 172.16.0.x verwenden, das ist (fast) genauso einfallslos wie 192.168.0.x ;-)
Mein WLAN habe ich beispielsweise analog dazu in den 172er Bereich verlegt. Das muss aber nicht unbedingt sein und ist eher just4fun entstanden, weil ich mal WLAN zum Spielen in meinem Router (ubuntu server) gefiltert habe (Gast-WLAN und so).. ;-)


Und noch was zum Thema IP-Adressen: Du hast das schon richtig gemacht mit den IP-Adressen für Router und AP. Ich habe die auch vorne gruppiert. Allerdings würde ich aus Gründen der Erweiterbarkeit den DHCP-Bereich ein Stück versetzen, zB ab .10. Dann hast du Luft, falls du noch nen AP oder andere Geräte festsetzen willst.

 

[Gladiator6]

Und wie gehe ich am besten vor um die Router Adressen zu ändern?

Ich habe jetzt zB. die IP von AP 2 von 192.168.1.3 auf 192.168.66.3 umgestellt.

Nun habe ich aber keinen Zugriff mehr auf das Menu. Das habe ich eigentlich erwartet, da ich diesem Problem schon früher mal begegnet bin. Ich habe allerdings nicht verstanden waurm das nicht geht.

Ich nehme an, nun muss ich den AP resetten um wieder Zugriff zu haben? Der DHCP Server ist ja ausgeschaltet und wenn ich nur einen Client mit AP2 verbinde (Verbindung zum Router trennen), dann bekommt der Client keine IP?

Edit:

Konnte die IP Adressen ändern.

neu Home:

Router: 192.168.66.1
AP1: 192.168.66.2
Ap2: 192.168.66.3

Das Router Menu ist via VPN erreichbar, das Menu von AP1 und AP2 nicht. Weiter sehe ich in der Netzwerkumgebung auch nur den eigenen Computer, nicht aber alle anderen im Netzwerk vorhandenen Geräte.

Vielleicht sollte ich trotzdem mal einen anderen VPN client ausprobieren?

 

[Raijin]

Teste bitte erstmal ausschließlich mit pings und nicht mit dem Webinterface, etc. Und was heißt der Router ist via VPN erreichbar? Über die VPN-IP oder die LAN-IP? Wenn du im FremdLAN bist und den Tunnel aufbaust, dann könntest du eine Route (192.168.66.0 via vpn-gateway) setzen und die HeimGeräte auch per LAN-IP erreichen.

Die Netzwerkumgebung ist mehr oder weniger irrelevant. Wenn die IPs stimmen, die Routen korrekt gesetzt sind und die Firewalls nicht blockieren, dann geht ein Ping auch durch. Geht der Ping, dann geht prinzipiell auch das Webinterface sofern die Firewall das nicht explizit blockt.

Ein richtiger VPN-Client wird vermutlich generell besser sein als das windowsinterne Pendant. Es kommt aber letztendlich auf den VPN-Tunnel an. VPN gibt es in diversen untereinander inkompatiblen Ausprägungen. Beispielsweise OpenVPN oder IPsec.