Frage zu VPN

RaistlinMajere · 22.08.2009, 19:04

Ich habe mir, um auch in offenen WLANs bedenkenlos surfen zu können, daheim einen VPN-Server eingerichtet, auf den ich mich bei Bedarf verbinde.

Nun habe ich dazu eine Frage: Ein VPN-Tunnel erstellt mir ja quasi ein eigenes Interface zwischen dem WWW und meinem Heimnetzwerk. Wenn ich nun, sobald ich verbunden bin, surfe oder z.B. meine Emails checke, woher weiß die jeweilige Applikation (Webbrowser, Email Client), daß der Traffic nicht über das offene WLAN geht, sondern über den VPN-Tunnel? Overruled dieser die Verbindung zum offenen WLAN oder ist der VPN-Tunnel tatsächlich nicht mehr als eine verschlüsselte Verbindung zum Heimnetzwerk und alles abseits dessen geht nach wie vor über das offene WLAN?

RaistlinMajere · 22.08.2009, 22:30

Hat sich erübrigt.

ingomar · 23.08.2009, 02:21

danke für die erfüllende erklärung

im grunde genommen gibt es bei vpn zwei ansätze: split tunnel und full tunnel.

split=dein LAN wird extra angehängt und über vpn kannst drauf zugreifen
full=alles geht so, als ob du in deinem LAN hängen würdest

die frage ist wohl auch, wie du vpn (und womit) implementieren willst.

RaistlinMajere · 23.08.2009, 11:29

Zitat:

Zitat von ingomar

danke für die erfüllende erklärung

es war mir etwas peinlich, zuzugeben, daß der wikipediaeintrag zu vpn meine fragen beantworten konnte.

Zitat:

im grunde genommen gibt es bei vpn zwei ansätze: split tunnel und full tunnel.

split=dein LAN wird extra angehängt und über vpn kannst drauf zugreifen
full=alles geht so, als ob du in deinem LAN hängen würdest

die frage ist wohl auch, wie du vpn (und womit) implementieren willst.

ich habs über die winxp pro bordmittel gelöst. ist das dann ein split oder ein full tunnel?

ingomar · 23.08.2009, 18:43

einfach gesagt: surf mal über vpn auf www.speedtest.net oder such nach whatismyip - wenn das die ip von deinem rechner zuhause ist, hast du gewonnen (und einen full tunnel).

RaistlinMajere · 23.08.2009, 19:13

Zitat:

Zitat von ingomar

einfach gesagt: surf mal über vpn auf www.speedtest.net oder such nach whatismyip - wenn das die ip von deinem rechner zuhause ist, hast du gewonnen (und einen full tunnel).

stimmt, das ist ein einfacher test. und ja, es ist ein full tunnel.

allerdings bin ich auf noch ein problem draufgekommen: sobald ich per VPN verbunden bin, ist zugriff auf netzwerkressourcen zwar möglich, sonst aber nichts, d.h. ich kann keine webseiten aufrufen. dürfte ein problem mit der PFW (sunbelt) am server sein, sobald die abgedreht ist, gehts.

muß ich da außer TCP 1723 noch etwas forwarden? bei einem versuch sehe ich nämlich nichts, was geblockt wird.

ingomar · 24.08.2009, 00:29

nun, im grunde genommen hast du am vpn-client eine offizielle ip (e.g. 213.47.80.x) und eine vpn IP (e.g. 192.168.1.x) .

über vpn kommst du dann zwar zum vpn-server (der ja auch einen fuss im VPN-netz hat), aber die firewall auf deinem rechner "weiss" nicht, dass sie bspw. http für einen rechner aus einem ganz anderen subnetz als das LAN erlauben soll... schau also mal die logs an, wahrscheinlich steht da eh, welche regel angeschlagen hat.

RaistlinMajere · 24.08.2009, 00:52

Zitat:

Zitat von ingomar

nun, im grunde genommen hast du am vpn-client eine offizielle ip (e.g. 213.47.80.x) und eine vpn IP (e.g. 192.168.1.x) .

über vpn kommst du dann zwar zum vpn-server (der ja auch einen fuss im VPN-netz hat), aber die firewall auf deinem rechner "weiss" nicht, dass sie bspw. http für einen rechner aus einem ganz anderen subnetz als das LAN erlauben soll... schau also mal die logs an, wahrscheinlich steht da eh, welche regel angeschlagen hat.

ganz stimmt das nicht. das VPN-netz ist dasselbe, in dem sich auch der server befindet. die IPs für VPN-clients werden per DHCP aus demselben IP-pool vergeben und das funzt auch. sobald ich mit einem client verbunden bin, kann ich sehen, daß er für den VPN-adapter am client eine entsprechende IP aus diesem pool zugewiesen hat.

im konkreten fall bedeutet das, daß mein server fix auf 10.0.0.136 liegt. zusätzlich hat der server ein 2. interface namens "PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle" bekommen, über das offenbar die VPN-verbindungen abgewickelt werden. dieses hat die IP 10.0.0.5/255.255.255.255 bekommen, hat allerdings komischerweise kein default gateway.

der client (hab mich fürs testen mit einer yesss-karte ins internet verbunden) hat vom DHCP für den VPN-adapter aktuell die adresse 10.0.0.6 bekommen.
komisch ists allerdings, daß der client, genauso wie das VPN-serverinterface die subnet mask 255.255.255.255 hat, allerdings zusätzlich das default gateway 10.0.0.5 (also die IP des VPN-serverinterfaces). könnte hier das problem liegen, daß das VPN-serverinterface kein default gateway hat (ich sehe auch keine möglichkeit, eines anzugeben, normalerweise wird das per DHCP mitgeschickt) und daher verbindungen nach draußen nicht weiterleiten kann?
nur warum funzts dann bei abgeschalteter FW am server (das hat doch damit nichts zu tun)?

LouCypher · 24.08.2009, 09:40

ich nem mal an hier geht um eine pptp verbindung? Wenn du diese einrichtest musst in den erweiterten einstellungen dieser verbindung das hakerls "standard gateway für remote netzwerk" entfernen sonst geht alles durchs vpn und du kannst nicht surfen. Für eine PPTP vpn musst neben dem Port 1723 auch noch das GRE Protokoll freischalten sonst geht nix.

RaistlinMajere · 24.08.2009, 10:47

Zitat:

Zitat von LouCypher

ich nem mal an hier geht um eine pptp verbindung?

wenn ich mir anschaue, was der assistent für neue verbindungen da eingestellt hat, steht da "automatisch". zur weiteren auswahl steht pptp oder ipsec.
wenn ich pptp manuell auswähle, gelingt mir zwar die verbindung, aber es wird nicht einmal ein versucht gestartet, eine website aufzurufen, es geht einfach nicht. bei "automatisch" wurde wenigstens probiert.

Zitat:

Wenn du diese einrichtest musst in den erweiterten einstellungen dieser verbindung das hakerls "standard gateway für remote netzwerk" entfernen sonst geht alles durchs vpn und du kannst nicht surfen.

dieses hakerl ist aktiv. trotzdem scheint beim client als default gateway die eigene(!) ip-adresse auf und nicht die des tatsächlichen gateways (das wäre der router fürs heimnetzwerk, normalerweise wird das per DHCP zugewiesen).
am server ist beim VPN-interface gar kein gateway angegeben (und ich sehe auch keine möglichkeit, eines anzugeben).

Zitat:

Für eine PPTP vpn musst neben dem Port 1723 auch noch das GRE Protokoll freischalten sonst geht nix.

explizit kann man das in der sunbelt PFW nicht tun, man kann nur per protokollnummer freischalten. in diesem fall habe ich das für 47 (das ist das GRE protokoll) getan, hat aber nichts gebracht.
interessanterweise hängts aber nur an der PFW, nicht an der FW im router, denn bei dieser ist nur TCP 1723 freigegeben und trotzdem funzts, wenn die PFW am server abgedreht ist. wie gibts das?

22.08.2009, 19:04	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	Frage zu VPN Ich habe mir, um auch in offenen WLANs bedenkenlos surfen zu können, daheim einen VPN-Server eingerichtet, auf den ich mich bei Bedarf verbinde. Nun habe ich dazu eine Frage: Ein VPN-Tunnel erstellt mir ja quasi ein eigenes Interface zwischen dem WWW und meinem Heimnetzwerk. Wenn ich nun, sobald ich verbunden bin, surfe oder z.B. meine Emails checke, woher weiß die jeweilige Applikation (Webbrowser, Email Client), daß der Traffic nicht über das offene WLAN geht, sondern über den VPN-Tunnel? Overruled dieser die Verbindung zum offenen WLAN oder ist der VPN-Tunnel tatsächlich nicht mehr als eine verschlüsselte Verbindung zum Heimnetzwerk und alles abseits dessen geht nach wie vor über das offene WLAN? ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

22.08.2009, 22:30	#2
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	Hat sich erübrigt. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

24.08.2009, 09:40	#9
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	ich nem mal an hier geht um eine pptp verbindung? Wenn du diese einrichtest musst in den erweiterten einstellungen dieser verbindung das hakerls "standard gateway für remote netzwerk" entfernen sonst geht alles durchs vpn und du kannst nicht surfen. Für eine PPTP vpn musst neben dem Port 1723 auch noch das GRE Protokoll freischalten sonst geht nix. ____________________________________ Greetings LouCypher

23.08.2009, 02:21	#3
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	danke für die erfüllende erklärung im grunde genommen gibt es bei vpn zwei ansätze: split tunnel und full tunnel. split=dein LAN wird extra angehängt und über vpn kannst drauf zugreifen full=alles geht so, als ob du in deinem LAN hängen würdest die frage ist wohl auch, wie du vpn (und womit) implementieren willst.

23.08.2009, 18:43	#5
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	einfach gesagt: surf mal über vpn auf www.speedtest.net oder such nach whatismyip - wenn das die ip von deinem rechner zuhause ist, hast du gewonnen (und einen full tunnel).

24.08.2009, 00:29	#7
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	nun, im grunde genommen hast du am vpn-client eine offizielle ip (e.g. 213.47.80.x) und eine vpn IP (e.g. 192.168.1.x) . über vpn kommst du dann zwar zum vpn-server (der ja auch einen fuss im VPN-netz hat), aber die firewall auf deinem rechner "weiss" nicht, dass sie bspw. http für einen rechner aus einem ganz anderen subnetz als das LAN erlauben soll... schau also mal die logs an, wahrscheinlich steht da eh, welche regel angeschlagen hat.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)