Windows PC in die Domäne über zwei VPN Verbindungen

[Aeternitas]

Guten Tag,

ich würde gerne einen PC über zwei VPN‘s zu Domäne hinzufügen. Punkt A (192.168.1.0) hat eine VPN zu Punkt B (192.168.2.0). Punkt B hat eine VPN zu Punkt C (192.168.3.0). Nun würde ich gerne ein PC von Punkt A in die Domäne von Punkt C hinzufügen. Kann das über eine Statische Route funktionieren? Wenn ja, wie stelle ich das an?

Mit freundlichen Grüßen

 

[snakesh1t]

Gibt es einen Grund wieso Punkt A und Punkt B nicht mit Punkt C verbunden sind?
Grundsätzlich solltest du mehr Infos nennen.
Was für Router du benutzt, was für eine VPN-Technik, wie sind die lokalen Netze aufgebaut, wer mach lokal DNS usw.

 

[Raijin]

Wenn ja, wie stelle ich das an?

Erstmal dadurch, dass du uns verrätst welche VPN-Technologie du einsetzt. IPsec, OpenVPN, WireGuard, etc.

Grundsätzlich muss natürlich das Routing stimmen, wenn du auf ein entferntes System zugreifen willst. Das heißt, dass der Client in Subnetz A (192.168.1.0/24) wissen muss, dass Ziele in Subnetz C (192.168.3.0/24) über die VPN-Verbindung zu B zu erreichen sind. Der VPN-Server in B muss wiederum wissen, dass er eingehende Verbindungen aus dem VPN zu A weiterreichen soll in die VPN-Verbindung zu C. Heißt: Der Server B muss von VPN_A nach VPN_C forwarden. Bei C (192.168.3.0/24) wiederum muss definiert sein, dass Absender aus A (192.168.1.0/24) zugelassen werden und der Rückweg muss ebenso stimmen wie der Hinweg, nur eben andersherum.

Erleichtern könnte man das mit einer direkten VPN-Verbindung von A zu C.

 

[Aeternitas]

Erstmal dadurch, dass du uns verrätst welche VPN-Technologie du einsetzt. IPsec, OpenVPN, WireGuard, etc.

Grundsätzlich muss natürlich das Routing stimmen, wenn du auf ein entferntes System zugreifen willst. Das heißt, dass der Client in Subnetz A (192.168.1.0/24) wissen muss, dass Ziele in Subnetz C (192.168.3.0/24) über die VPN-Verbindung zu B zu erreichen sind. Der VPN-Server in B muss wiederum wissen, dass er eingehende Verbindungen aus dem VPN zu A weiterreichen soll in die VPN-Verbindung zu C. Heißt: Der Server B muss von VPN_A nach VPN_C forwarden. Bei C (192.168.3.0/24) wiederum muss definiert sein, dass Absender aus A (192.168.1.0/24) zugelassen werden und der Rückweg muss ebenso stimmen wie der Hinweg, nur eben andersherum.

Erleichtern könnte man das mit einer direkten VPN-Verbindung von A zu C.

Also die Standorte sind jeweils mit einer BO-VPN verbunden. Habe aber nicht bedacht, dass der DC aus dem C Netz auch mit dem PC Kommunizieren muss und dafür eine Route braucht... heißt ich komme Um eine Firewall Konfiguration nicht rum...?!

 

[snaxilian]

BO-VPN

Was soll das sein? Das VPN-Netzwerk der Hochschule Bochum heißt BOVPN. $Suchmaschine sagt, es könnte auch Branch-Office-VPN heißen aber auch das ist nur ein nicht klar und eindeutig definierter Begriff und sagt nichts aber auch gar nichts über die zugrunde liegende und verwendete Technologie aus.

Du vermischt hier wild verschiedene Dinge. Bitte frage den dafür zuständigen Admin um Rat. Dein Beispiel/Anfrage könnte auch aus gefühlt jeder IHK Fachinformatiker Abschlussprüfung kommen, die nehmen gerne mehrere in Reihe verbundene Standorte um Routingverständnis zu prüfen.

VPNs an sich verbinden einzelne Geräte miteinander oder einzelne Geräte mit entfernten Netzen oder zwei Netze untereinander. Damit die Geräte oder Geräte in Netzen dann untereinander kommunizieren können, braucht es einen oder mehrere Router, die zwischen diesen Netzen entsprechend vermitteln und die Pakete auf den richtigen Weg schicken, also routen.
Damit nicht wild jeder mit jedem kommunizieren kann, sind Firewalls eine Möglichkeit (von mehreren) um den Verkehrsfluss einzuschränken.
Wenn das bei dir/euch der Fall ist, musst du dich entsprechend um die korrekte Konfiguration der Routen kümmern und ggf. um Firewallfreischaltungen.
VPN-Gateway, Router und Firewalls können alles unterschiedliche Geräte sein die einzeln zu konfigurieren sind oder es sind Kombi-Geräte die mehrere Funktionen haben (eine Fritzbox ist so ein typisches All-in-One Gerät).

 

[Raijin]

heißt ich komme Um eine Firewall Konfiguration nicht rum...?!

Wenn das Routing nicht ausreichend konfiguriert ist, dann kommst du nicht drumherum, nein.

Alle Beteiligten Netzwerke bzw. die jeweiligen Gateways müssen jeweils von den anderen Netzwerken wissen und eine Route dorthin haben. Ggfs wird diese Route bereits mit dem Standardgateway erschlagen - zumindest auf Seiten des Clients.

Nach dem Routing folgt anschließend die Freigabe in der Firewall des jeweiligen Gateways, um die Verbindungen bzw. deren Weiterleitung überhaupt zuzulassen.

Zu guter Letzt müssen aber auch beide Endpunkte (Server/Client) der eigentlichen Applikation in ihrer lokalen Firewall entsprechende Verbindungen aus dem entfernten Netz erlauben.

Wo genau der Transfer von einem ins andere Netzwerk erfolgt, hängt von der Infrastruktur ab. @snaxilian hat es ja schon angedeutet:

VPN-Gateway, Router und Firewalls können alles unterschiedliche Geräte sein die einzeln zu konfigurieren sind oder es sind Kombi-Geräte die mehrere Funktionen haben (eine Fritzbox ist so ein typisches All-in-One Gerät).

Hinzu kämen womöglich noch Layer3-Switches, je nach dem wie komplex die jeweiligen Netzwerke tatsächlich sind..


Sofern es sich um ein fremdadministriertes VPN handelt, wie von @snaxilian vermutet, musst du so oder so mit dem Admin des Netzwerks bzw. des VPNs Kontakt aufnehmen, weil man nicht einfach so VPN an VPN reihen kann wie oben bereits dargelegt. Im Rahmen einer Uni könnte zB das VPN A<>B für Studenten der Uni sein (A @ home + B @ Uni) und VPN B<>C könnte eine echte Standortverbindung zweier Fakultäten sein, über die unter Umständen gar keine Studenten-Zugriffe erfolgen sollen/dürfen. Das gilt es, mit dem Admin zu klären.