PPTP VPN mit DD-WRT: Kein Routing zwischen lokalem IP-Range und VPN IP-Range

ZombyKillah · 29.11.2009, 19:00

Weiß dein Client, dass er das Netzwerk 10.0.0.x auf der anderen Seite des VPN Netzwerkes findet?

Beispiel:
local network:
10.0.0.n/24
Server: 10.0.0.135

Auf dem Server wird ein Netzwerkdevice angelegt, welches ebenfalls eine IP bekommen kann.
Beispiel:
Network: 10.0.0.135/24
VPN: 10.0.0.135/16
Durch das Setzen der Netmask 255.255.0.0 werden alle anderen 10.0.x.n Netzwerke über das VPN gesucht.
Durch diese Einstellung würde der Client ebenfalls den Adressbereich 10.0.x.n
für die VPN Verbindung bekommen und alle Adressen in diesen Bereich dort suchen.

Wenn du allerdings eine Adresse aus dem Bereich: 172.16.0.0 – 172.31.255.255 für das VPN verwenden willst, muss der Client seine Routing table ebenfalls so anpassen, dass er weiß, dass ein 10.0.0.n Netzwerk auf dem anderen Ende der VPN zu finden ist.

Einfach zu testen, ob dass wirklich das Problem ist, ist indem man beim VPN Client einstellt, dass der gesamte netzwerktraffic über die VPN Verbindung geschickt wird.

However, wenn die Adressen im "VPN" Server Netzwerk gleich sind, wie die des "lokalen" Netzwerkes des Clients wirst du immer Probleme haben.

Die Einstellung, welche ich empfehlen würde:
Serverbereich festlegen ... z.B.: 10.0.0.1 - 10.0.0.16
Drüber den VPN Bereich ... z.B.: 10.0.0.17 - 10.0.0.32
Dann den DHCP beginnend bei ... 10.0.0.33

RaistlinMajere · 01.12.2009, 20:18

Zitat:

Zitat von ZombyKillah

Wenn du allerdings eine Adresse aus dem Bereich: 172.16.0.0 – 172.31.255.255 für das VPN verwenden willst, muss der Client seine Routing table ebenfalls so anpassen, dass er weiß, dass ein 10.0.0.n Netzwerk auf dem anderen Ende der VPN zu finden ist.

wieso? ist es nicht aufgabe des routers, auf dem der VPN-server läuft, zwischen den beiden netzwerken hin- und herzurouten?

Zitat:

Einfach zu testen, ob dass wirklich das Problem ist, ist indem man beim VPN Client einstellt, dass der gesamte netzwerktraffic über die VPN Verbindung geschickt wird.

das sollte ja eigentlich durch diese einstellung passieren (dieser guide befasst sich leider nur mit der vergabe von VPN-clientadressen aus demselben netz wie dem heimnetzwerk, da gibts dann schnell ein problem wenn man nicht von haus aus im heimnetzwerk einen exotischeren IP-range verwendet), wenn man sie (wie es bei windows default ist) aktiviert lässt, oder? denn dann verwendet die VPN-verbindung das default gateway des heimnetzwerks (also wo der VPN-server läuft), sprich alles geht über dieses gateway und nichts über das des hotel-netzes, in dem man sich z.b. befindet.

wenn ich diese einstellung aktiviert lasse bekomme ich als default gateway aber genau die IP zugewiesen, die ich dem VPN-server im VPN-range zugewiesen habe. und das sollte ja eigentlich auch passen, denn so wie ich das verstehe befindet sich ja an dieser adresse das VPN-interface des routers, der nun in das heimnetz 10.0.0.0 routen soll (und es offenbar nicht tut, sonst hätte ich ja das problem nicht). oder hab ich da was nicht verstanden?
als subnet mask bekomme ich dabei komischerweise 255.255.255.255, wieso ist das so? damit wird ja nur der eine client angesprochen, ist aber dann nicht teil eines netzwerks, oder?

Zitat:

However, wenn die Adressen im "VPN" Server Netzwerk gleich sind, wie die des "lokalen" Netzwerkes des Clients wirst du immer Probleme haben.

Die Einstellung, welche ich empfehlen würde:
Serverbereich festlegen ... z.B.: 10.0.0.1 - 10.0.0.16
Drüber den VPN Bereich ... z.B.: 10.0.0.17 - 10.0.0.32
Dann den DHCP beginnend bei ... 10.0.0.33

das obere ist mir schon klar, aber dann verstehe ich nicht wieso du diese einstellungen empfiehlst. immerhin kanns ja sein, daß ein hotel sein netzwerk mit 10.0.0.0 betreibt, da habe ich dann sofort ein problem bei diesen adressen, wenn mein VPN-server daheim mir so eine adresse zuweist und mir sein default gateway bekannt gibt, dessen adresse sich aber auch im hotel-netzwerk befindet. das gibt dann eine kollision.

ZombyKillah · 01.12.2009, 20:52

Der Router kann nur Verbindungen Routen, die er auch erhält.
In Wirklichkeit hat jeder Computer eine Routing-Table in welcher drinnen steht, welches Netzwerk er über welches Gerät (WLAN, LAN, VPN, etc.) erreicht.

Alle nicht "direkt" erreichbaren Adressen werden über den default Gateway geschickt, welcher dann wissen muss wohin er das Packet routet.

Soweit ich pptp vpns beobachten konnte, nimmt der Computer an, dass es sich um ein 255.255.255.0 Netzwerk handelt, obwohl er 255.255.255.255 hinschreibt ... warum weiß ich nicht.
Als Gateway muss er die Adresse des PPTP Interfaces hinschreiben.

Wie siehts mit der iptalbes Konfiguration aus?
Kann es sein, dass dort die aufgebauten pptp Verbindungen noch blockiert werden.
Habe bei meinen folgende Seite verwendet (war aber white russian)
http://nuwiki.openwrt.org/oldwiki/PPTPDHowto

Such dir einen Adressbereich aus ... das Problem, dass ein Hotel den gleichen Adressbereich verwenden könnte hast du in jeden Bereich.
Ich gebe zu, dass die gebräuchlichsten meines Wissens: 10.0.0.n, 10.127.n.n, 192.168.0.n, 192.168.1.n sind.

RaistlinMajere · 01.12.2009, 21:59

Zitat:

Zitat von ZombyKillah

Such dir einen Adressbereich aus ... das Problem, dass ein Hotel den gleichen Adressbereich verwenden könnte hast du in jeden Bereich.
Ich gebe zu, dass die gebräuchlichsten meines Wissens: 10.0.0.n, 10.127.n.n, 192.168.0.n, 192.168.1.n sind.

naja, wenn ich einen adressbereich aus meinem heimnetzwerk nehme gehts ja eh, aber genau das wollte ich ja nicht tun, um eben so einen möglichen konflikt zu vermeiden.

ich will mal schildern, was ich vor hatte:

bei mir daheim und bei meinen eltern läuft jeweils derselbe telekom-router mit einer IP 10.0.0.138. diese ist unabänderlich (ich habs mal probiert, daraufhin mußte ich den router resetten), ein manko der firmware und aktuellere gibts leider keine, daher muß man damit wohl leben.

nun möchte ich beizeiten von meinen eltern per VPN auf mein heimnetzwerk zugreifen. problem ist, daß sobald die verbindung steht, ich zwar von daheim eine 10.0.0.x-adresse bekomme, diese aber gleichzeitig aus dem bereich des netzwerks meiner eltern ist.
um dieser bekannten problematik zu entkommen dachte ich mir, daß ich für die VPN-verbindung einfach ein anderes netz wähle (möglichst exotisch), damit eben sowas nicht passiert. der router sollte, so wie ich die arbeitsweise eines routers verstanden habe, in der lage sein, zwischen 2 interfaces in unterschiedlichen netzen routen können, immerhin macht das ja die aufgabe eines routers aus.

und genau das hat eben nicht funktioniert. du meinst also daß ich da grundsätzlich falsch gedacht habe und der VPN-adressbereich sowieso aus demselben netz wie das heimnetzwerk sein MUSS? aber was, wenn ich im router eine entsprechende regel hätte, die besagt, das traffic vom einen netz ins andere netz durchgelassen werden soll?

29.11.2009, 19:00	#1
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Weiß dein Client, dass er das Netzwerk 10.0.0.x auf der anderen Seite des VPN Netzwerkes findet? Beispiel: local network: 10.0.0.n/24 Server: 10.0.0.135 Auf dem Server wird ein Netzwerkdevice angelegt, welches ebenfalls eine IP bekommen kann. Beispiel: Network: 10.0.0.135/24 VPN: 10.0.0.135/16 Durch das Setzen der Netmask 255.255.0.0 werden alle anderen 10.0.x.n Netzwerke über das VPN gesucht. Durch diese Einstellung würde der Client ebenfalls den Adressbereich 10.0.x.n für die VPN Verbindung bekommen und alle Adressen in diesen Bereich dort suchen. Wenn du allerdings eine Adresse aus dem Bereich: 172.16.0.0 – 172.31.255.255 für das VPN verwenden willst, muss der Client seine Routing table ebenfalls so anpassen, dass er weiß, dass ein 10.0.0.n Netzwerk auf dem anderen Ende der VPN zu finden ist. Einfach zu testen, ob dass wirklich das Problem ist, ist indem man beim VPN Client einstellt, dass der gesamte netzwerktraffic über die VPN Verbindung geschickt wird. However, wenn die Adressen im "VPN" Server Netzwerk gleich sind, wie die des "lokalen" Netzwerkes des Clients wirst du immer Probleme haben. Die Einstellung, welche ich empfehlen würde: Serverbereich festlegen ... z.B.: 10.0.0.1 - 10.0.0.16 Drüber den VPN Bereich ... z.B.: 10.0.0.17 - 10.0.0.32 Dann den DHCP beginnend bei ... 10.0.0.33 ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

01.12.2009, 20:52	#3
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Der Router kann nur Verbindungen Routen, die er auch erhält. In Wirklichkeit hat jeder Computer eine Routing-Table in welcher drinnen steht, welches Netzwerk er über welches Gerät (WLAN, LAN, VPN, etc.) erreicht. Alle nicht "direkt" erreichbaren Adressen werden über den default Gateway geschickt, welcher dann wissen muss wohin er das Packet routet. Soweit ich pptp vpns beobachten konnte, nimmt der Computer an, dass es sich um ein 255.255.255.0 Netzwerk handelt, obwohl er 255.255.255.255 hinschreibt ... warum weiß ich nicht. Als Gateway muss er die Adresse des PPTP Interfaces hinschreiben. Wie siehts mit der iptalbes Konfiguration aus? Kann es sein, dass dort die aufgebauten pptp Verbindungen noch blockiert werden. Habe bei meinen folgende Seite verwendet (war aber white russian) http://nuwiki.openwrt.org/oldwiki/PPTPDHowto Such dir einen Adressbereich aus ... das Problem, dass ein Hotel den gleichen Adressbereich verwenden könnte hast du in jeden Bereich. Ich gebe zu, dass die gebräuchlichsten meines Wissens: 10.0.0.n, 10.127.n.n, 192.168.0.n, 192.168.1.n sind. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)