VPN für Webdienst

[incredion]

Hallo zusammen,

ich habe meine DS vom Internet aus Sicherheitsgründen getrennt.

Allerdings möchte ich per VPN auf die DS zugreifen. Bei diesem Zugriff möchte ich primär auf MediaWiki, das im Verzeichnis web liegt über den Apache zugreifen.

Mein Verständnisproblem nun:
Das Netz von dem aus ich per VPN auf die DS zugreife arbeitet mit 192.168.x.x IPs. Das Netz in dem die DS arbeitet hat ebenfalls 192.168.x.x IPs.

Der Aufbau des VPN funktioniert fehlerlos. Nun möchte ich die Website meiner DS aufrufen und frage mich, wie das gehen soll? Sie hat zwar die IP 192.168.1.50, aber wenn ich das im Browser eingebe sucht dieser natürlich im lokalen Netz (nicht über die VPN-Leitung) und findet dort die DS nicht.

Wie sage ich denn dem Browser, dass die DS, die er finden soll über das VPN angebunden ist?

Danke im Voraus!
incredion

 

[goetz]

Hallo,
in dem entfernten Netz brauchst Du einen anderen IP-Kreis, es würde schon reichen dort auf 192.168.2.0 (Netzmaske 255.255.255.0) umzustellen. Anders geht es nicht.

Gruß Götz

 

[jahlives]

lokales Netz != VPN-Netz != entferntes Netz d.h. du musst für alle 3 unterschiedliche Subnetze verwenden, damit das Routing eindeutig wird

 

[incredion]

Ich danke Euch für die Hinweise. Das bedeutet, das VPN verbindet die beiden Netzwerke virtuell zusammen zu einem.

D.h. wenn ich die DS unter 192.186.1.x laufen habe und das andere Netz läuft im Bereich 192.168.0.x, dann sollte es gehen und ich kann die DS über das VPN direkt mit ihrer IP ansprechen?

 

[goetz]

Hallo,
genau so sollte es gehen.

Gruß Götz

 

[incredion]

Leider hilfts nicht.

Nochmal genauer. Die DS liegt auf 192.168.1.50. Das Netz aus dem per VPN zugegriffen wird liegt auf 192.168.178.x. Die Netzmaske (hab ich noch nie begriffen was die sein sollte) steht auf 255.255.255.0.

Problem ist: anmelden per VPN funktioniert, auch der VPN-Server zeigt den angemeldeten User an. Leider kann dieser (trotz Freigabe für das Verzeichnis web) nicht auf die DS per http zugreifen. Eingabe von 192.168.1.50 im Browser auf VPN-Client-Seite ergibt nur Stillstand. Es wird keine Website geliefert.

Die Frage ist nun: wo liegt das Problem, oder wie finde ich den kritischen Punkt heraus.

Bitte nochmals um Eure Hilfe!

 

[fpo4711]

Was für ein VPN nutzt Du denn? Sollte es OpenVPN unter Windows sein, so mußt Du die Clientsoftware auch "Als Administrator" starten. Benutzer mit Adminrechten reicht nicht. Vieleicht liegt es aber auch an deinen lokalen IPs da sind x-se drin

Gruß Frank

 

[incredion]

Als ichVPN verwende ich PPTP. Kein Windows. Der Client ist ein Mac.

Nach wie vor frage ich mich, ob ich aus einem Netz mit 192.168.178er Adressen und einer Netmask 255.255.255.0 auf ein Netz mit 192.168.1er Adressen überhaupt so einfach zugreifen kann. Wie sag ich denn dem Browser oder einer anderen Netzwerk-Komponente, dass es die 192.168.1er Adressen hinter dem VPN findet?

 

[Puppetmaster]

Eingabe von 192.168.1.50 im Browser auf VPN-Client-Seite ergibt nur Stillstand. Es wird keine Website geliefert.

Funktioniert genau diese Eingabe denn in deinem Heimnetz, also im Netz, wo die DS steht?

 

[fpo4711]

Nach wie vor frage ich mich, ob ich aus einem Netz mit 192.168.178er Adressen und einer Netmask 255.255.255.0 auf ein Netz mit 192.168.1er Adressen überhaupt so einfach zugreifen kann. Wie sag ich denn dem Browser oder einer anderen Netzwerk-Komponente, dass es die 192.168.1er Adressen hinter dem VPN findet?

Genau richtig erkannt. Der transparenteste Weg wäre eine separate Route zu setzen. Leider nötig bei PPTP. Ansonsten OpenVPN verwenden hier werden die Routen automatisch gepusht.

sudo route add -net 192.168.1.0 192.168.1.254 -netmask 255.255.255.0

IP's sind natürlich entsprechend anzupassen.

Gruß Frank

 

[incredion]

Funktioniert genau diese Eingabe denn in deinem Heimnetz, also im Netz, wo die DS steht?

Ja selbstverständlich.

Darüber hinaus: funktioniert eigentlich über das VPN Bonjour? Im Heimnetz kann ich über nas.local auf die DS zugreifen. Geht das über das VPN nicht?

 

[incredion]

Genau richtig erkannt. Der transparenteste Weg wäre eine separate Route zu setzen. Leider nötig bei PPTP. Ansonsten OpenVPN verwenden hier werden die Routen automatisch gepusht.

sudo route add -net 192.168.1.0 192.168.1.254 -netmask 255.255.255.0

IP's sind natürlich entsprechend anzupassen.

Gruß Frank

Öhm, öhm, das hab ich nicht verstanden.

Also 1) ich bleibe bei PPTP, muss also eine Route setzen. Ok.
2) Dann sage ich dem Client den Code sudo route...
was tut das dann genau? ansich müsste ich dem client doch sagen, wenn Du eine IP wie 192.168.1.50, also 192.168.1.0-Raum ansprechen willst, dann musst du über das Gateway x gehen. Ich weiß aber nicht, welche IP das 'virtuelle' Gateway VPN auf dem Client hat, oder? Wird dynamisch zugewiesen?

Geht ads alles mit OpenVPN einfacher? dann würde ich das nutzen...

Ich denke nochmal laut:
unter Erweiterte Optionen kann ich beim Mac dem VPN (PPTP) sagen, es soll TCP/IP wie folgt konfigurieren: da steht normal nur PPP, ich kann aber auch Manuell auswählen.

Bei Manuell kann ich angeben IPV4-Adresse, Teilnetzmaske und Router.
Ich habe den Verdacht, da gebe ich an unter welcher IP das VPN beim Client geführt werden soll.
Also z.B. 192.168.1.200 mit 255.255.255.0 Router 192.168.1.1
Dann muss ich die DS über das VPN mit 192.168.1.? ansprechen können? Wie wird das gemappt? Oder geht dann Bonjour?

 

[Puppetmaster]

Genau richtig erkannt. Der transparenteste Weg wäre eine separate Route zu setzen. Leider nötig bei PPTP.[/CODE]

? Also ich habe mich noch nie mit händisch gesetzten Routen herumschlagen müssen bei PPTP und kann genau das o.g. machen: Zugriff aus einem 192.168.178er Netz auf ein 192.168.1er Netz einfach über die Eingabe der "Fremdnetz"-IP.

Warum ich den TE nach der genauen Schreibweise fragte war der Umstand, dass das entfernte Netz, bzw. der ertfernte Browser notwendige Portzugaben nicht selbsttätig ergänze, wie das im lokalen Netz funktioniert. Eingabe von 192.168.178.10 führt mich dann z.B. nicht automatisch auf 192.168.178.10:5000.

 

[incredion]

? Also ich habe mich noch nie mit händisch gesetzten Routen herumschlagen müssen bei PPTP und kann genau das o.g. machen: Zugriff aus einem 192.168.178er Netz auf ein 192.168.1er Netz einfach über die Eingabe der "Fremdnetz"-IP.

Warum ich den TE nach der genauen Schreibweise fragte war der Umstand, dass das entfernte Netz, bzw. der ertfernte Browser notwendige Portzugaben nicht selbsttätig ergänze, wie das im lokalen Netz funktioniert. Eingabe von 192.168.178.10 führt mich dann z.B. nicht automatisch auf 192.168.178.10:5000.

Das klingt mir vielversprechend.

Ich habs grad nochmal getestet: im Heimnetz kommt sowohl über 192.168.1.50 als auch über 192.168.1.50:80 die gewünschte Seite.

Wie hast Du denn den Client konfiguriert?

Eine weitere Frage ist ja auch noch, ob ich den User auf der DS richtig eingerichtet habe, dass er auf den Webserver zugreifen kann...

 

[Puppetmaster]

Wie hast Du denn den Client konfiguriert?

Kann jetzt gerade nicht an die Maschine heran, aber eigentlich habe ich mehr oder weniger die Standardeinstellungen genommen.

Eine weitere Frage ist ja auch noch, ob ich den User auf der DS richtig eingerichtet habe, dass er auf den Webserver zugreifen kann...

Das kannst nur du beantworten!

 

[incredion]

Kann jetzt gerade nicht an die Maschine heran, aber eigentlich habe ich mehr oder weniger die Standardeinstellungen genommen.



Das kannst nur du beantworten!

Haha. Nein, ich meine, ich weiß nicht wie ich für einen User den Zugriff auf den Webserver sperre oder freigebe. Ich finde solche Einstellungen gar nicht. Das einzige, was ich sehe ist das Zugriffsrecht auf das Verzeichnis web, was das documentroot des Apache ist.

 

[fpo4711]

? Also ich habe mich noch nie mit händisch gesetzten Routen herumschlagen müssen bei PPTP und kann genau das o.g. machen: Zugriff aus einem 192.168.178er Netz auf ein 192.168.1er Netz einfach über die Eingabe der "Fremdnetz"-IP.

Das funktioniert auch nur wenn man wirklich alles durch den Tunnel schickt. Also sprich Standard-Gateway auf den Tunnel legen. Denn der Client weiß von Haus aus nicht welches Subnetz sich auf der Serverseite befindet.

Also um die Namensauflösung zu umgehen würde ich die Geräte mit ihren lokalen IP's ansprechen. Bonjour mußt Du testen hier wird viel über Broadcasts geregelt und die werden per VPN (jedenfalls auf der DS) nicht übermittelt. Helfen könnte hier jedenfalls auch auf der Clientseite einen DNS einzutragen der auf der Serverseite liegt - Also beispielsweise den Router auf der Serverseite.

Gruß Frank

 

[incredion]

Ich danke Euch für Euere Hinweise.

Aber ein zusammenhängendes Bild ergibt sich aus den vielen Einzelhinweisen für mich momentan nicht.

Schauen wir die Sache doch mal von der anderen Seite aus an. Ihr wisst ja nun, was ich will. Ich habe ein Netz mit 192.168.1.x IPs in der die DS liegt 192.168.1.50. Auf der DS läuft ein Webserver auf Port 80 und darin ein WikiMedia.

So, nun will ich extern von einem Client-Netz mit 192.168.178.x IPs per VPN (am besten ein in MacOS vorhandenen VPN also PPTP oder L2...) einen Tunnel auf das 192.168.1.x Netz aufbauen und darüber per Browser das Wiki nutzen.

Wie mache ich das mit geringstem Aufwand und sicherem Ausgang?

 

[fpo4711]

Ich versuch mal zwei einfache Wege aufzuzeigen.

1.) Gesamten Traffic durch den Tunnel schicken. In den erweiterten Einstellungen unter PPTP / L2TP den Haken setzen unter

"Gesamten Verkehr über die VPN-Verbindung senden"

2.) Nur den für die DS bestimmten Verkehr über das VPN schicken. Den unter 1.) genannten Haken nicht setzen und entsprechende Route setzen. Sollte dein entsprechendes Interface ppp0 sein (kann man mit ifconfig prüfen) dann beispielsweise

sudo su 
route add -net 192.168.1.0 -interface ppp0

oder aber entsprechend wie bereits oben gennannt auf die IP des Tunnels. Die müsstest Du dann noch anpassen.

In beiden Fällen kannst Du danach über die lokale IP der DS zugreifen. Willst Du noch eine Namensauflösung aus dem Servernetz dann auch in den erweiterten Einstellungen unter DNS die IP des Routers des Servernetzes eintragen.

Gruß Frank