VPN Routing Problem?

[Fossibaer75]

Hallo,

ich habe anscheinend neuerdings ein Routingproblem über VPN. Das VPN lief die ganze Zeit ohne Probleme, es wurde nichts geändert, aber mittlerweile komme ich an keine Share´s etc dran.
Bisher war es immer so das ich direkt über die 192er IP der DS auf die Weboberflächer und Freigaben zugreifen konnte..

Mein "Netzwerk" sieht wie folgt aus:

Netgear Router: 192.168.1.1 macht DHCP und DNS
Diskstation :192.168.1.11 static VPN Server
Standardgateway 192.168.1.1

VPN: L2TP/IPSec
Adresspool: 10.2.0.0
Manueller DNS: 192.168.1.1

Aktuell ist der Haken bei "Standardgateway für Remotenetzwerk verwenden" am Client aus

In diesem Zustand komme ich aktuell zumindest an die DSM Oberfläche über die 10.2.0.0
Ein Ping in das 192er Netz funktioniert nicht, Zugriff auf die Weboberfläche von Router und Diskstation auch nicht...
Über IPconfig bekomme ich folgendes angezeigt

PPP-Adapter Home:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Home
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.2.0.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.1.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Wenn ich den Haken wieder bei "Standardgateway für Remotenetzwerk" setze bekommen ich bei einem Ping in das 192er Netz jeweils Antwort von der DS und vom Router.
Die DS antwortet auch auf einen Ping auf die 10.2.0.0 sowie auf ihren Namen (ping Diskstation)

Ein Zugriff auf die Weboberfläche ist bei Router und DS (weder 192er noch 10er IP) nicht möglich...
Ipconfig sieht nach Tunnelaufbau so aus:

PPP-Adapter Home:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Home
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.2.0.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server . . . . . . . . . . . : 192.168.1.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Das VPN lief bestimmt seit 1 Jahr mit diesen Einstellungen problemlos und ich habe nichts geändert....

Vielen Dank für eure Hilfe, komme aktuell echt nicht mehr weiter

 

[fpo4711]

Hallo,

dein beschriebenes Verhalten ist völlig korrekt und war meiner Meinung nach auch schon immer so. Der Fehler liegt schon mal in deiner Verwendung der IPs. In einem Subnetz fallen nämlich immer zwei IPs weg. Die Unterste (bezeichnet das Netz selber) und die Oberste (Broadcast). Um das also richtig zu nutzen bleibt dir nur folgendes.

Bei PPTP und L2TP auf der DS bleibt dir nur "Standardgateway für Remotenetzwerk verwenden" wenn Du auf die Geräte im anderen Netz zugreifen willst. Bei OpenVPN ist das komfortabler gelöst.

Willst Du also nur den Traffic für die DS bzw. für das dahinterliegende Netz also in deinem Fall die 192.168.1.1/24 mußt Du auf dem Clienten eine manuelle Route setzen oder aber wie oben beschrieben das Häkchen setzen. Hier mal der Befehl für die Route (Erst nach dem Aufbau der Verbindung auf der Clientseite ausführen)

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.2.0.0

Ansonsten bleibt Dir noch die DS (Allerdings dann nur die DS) mit der IP des Tunnelendpunkts anzusprechen. Die kann sich aber bei jeder Anwahl ändern. Und die feine Art ist das auch nicht.

Gruß Frank

 

[Fossibaer75]

Hi,

vielen Dank für die Antwort, allerdings komme ich damit nicht wirklich weiter

Der Haken mit dem Standardgateway war bei mir immer gesetzt. Ich konnte immer über die 192er IP´s auf meine Share´s und/oder Geräte zugreifen.
Wenn er jetzt gesetzt ist bekomme ich nüscht
Weder Freigaben, noch Zugriff auf die Geräte funktionieren, selbst Anfragen ins www gehen ins Nirvana

Was mich wundert warum steht bei gesetztem Haken bei IPconfig als Standardgateway die 0.0.0.0
Da müsste doch eigentlich das GW stehen das in der DS eingetragen ist?
Also mein Router mit der 192.168.1.1

Ich habe mal deine manuelle Route eingetragen, das funktioniert aber leider nicht.
Ein route print zeigt mir deine Route nicht an. Habe ich da was vergessen oder falsch gemacht? Bin im Thema routing nicht sooo fit

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.15.1 192.168.15.108 20
10.0.0.0 255.0.0.0 10.2.0.0 10.2.0.1 21
10.2.0.1 255.255.255.255 Auf Verbindung 10.2.0.1 276
88.153.236.18 255.255.255.255 192.168.15.1 192.168.15.108 21
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.15.0 255.255.255.0 Auf Verbindung 192.168.15.108 276
192.168.15.108 255.255.255.255 Auf Verbindung 192.168.15.108 276
192.168.15.255 255.255.255.255 Auf Verbindung 192.168.15.108 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.15.108 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.2.0.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.15.108 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.2.0.1 276
===========================================================================
Ständige Routen:
Keine

 

[fpo4711]

Sofern ich das aus dem Zahlensalat (Für solche Fälle gibt es hier im Forum den Code-Tag, das Doppelkreuz in der Symbolleiste) richtig deute, sieht es so aus als ob Du das Häkchen nicht gesetzt hast.

Bei der Route war ich mit der falschen Syntax unterwegs. Nimm mal

route add 192.168.1.0 mask 255.255.255.0 10.2.0.1

Das sollte dich auf jeden Fall ans Ziel bringen.

Gruß Frank

 

[Fossibaer75]

super das klappt jetzt

Ich verstehe jetzt zwar immer noch nicht warum es auf einmal nicht mehr ging, aber die Lösung funktioniert und das ist die Hauptsache

 

[Fossibaer75]

Hi,

leider zu früh gefreut
Das klappt nur einmal, sobald die Verbindung geschlossen ist, ist die Route auch wieder weg. Ich denke man kann sie bestimmt auch fest eintragen, allerdings bekomme ich doch bestimmt Probleme wenn ich mich in einem LAN mit der selben IP Range befinde, oder?

Nochmal zurück zum Standardgateway.
Wenn der Haken gesetzt ist muss ich doch über IPconfig den Standardgateway angezeigt bekommen oder nicht? Bei mir steht dort als IP 0.0.0.0
Da kann doch was nicht stimmen?

VG
Sascha

 

[fpo4711]

Ich denke man kann sie bestimmt auch fest eintragen

Der zusätzliche Parameter -p im Befahl für die Route macht sie dauerhaft.

allerdings bekomme ich doch bestimmt Probleme wenn ich mich in einem LAN mit der selben IP Range befinde, oder?

Richtig erkannt aber dann ist es eh Essig mit dem VPN

Nochmal zurück zum Standardgateway.
Wenn der Haken gesetzt ist muss ich doch über IPconfig den Standardgateway angezeigt bekommen oder nicht? Bei mir steht dort als IP 0.0.0.0

Du solltest jedenfalls bei aktiviertem Häkchen zusätzlich beispielsweise folgende Route sehen können.

 0.0.0.0         0.0.0.0   Auf Verbindung          10.2.0.1     11

Gruß Frank

 

[Fossibaer75]

Hi,

ich habe den Haken jetzt wieder gesetzt (so lief es die letzten Monate)
Jetzt funktioniert kein Zugrif mehr über in das LAN
Anfragen ins WAN werden mit "Verbindung zum Proxyserver kann nicht hergestellt werden" beantwortet

Nur mal zu meinem Verständnis:
Die DS müsste doch eigentlich das Routing vom VPN Netz (10.2.0.0) in das LAN übernehmen
ansonsten würde der Eintrag mit dem Standardgateway keinen Sinn machen oder?
Der Inet Traffic der nicht für das Lan bestimmt ist, muss doch an das Standardgateway sprich Router weitergeleitet werden und von dort ins WAN

Ich habe noch einmal den IPconfig und route print angehängt...diesmal mit Code

PPP-Adapter Home:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Home
   Physikalische Adresse . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 10.2.0.1(B
   Subnetzmaske  . . . . . . . . . . : 255.255.25
   Standardgateway . . . . . . . . . : 0.0.0.0
   DNS-Server  . . . . . . . . . . . : 192.168.1.
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.15.1   192.168.15.108   4245
          0.0.0.0          0.0.0.0   Auf Verbindung          10.2.0.1     21
         10.2.0.1  255.255.255.255   Auf Verbindung          10.2.0.1    276
    88.153.236.18  255.255.255.255     192.168.15.1   192.168.15.108   4246
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1   4531
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1   4531
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531
     192.168.15.0    255.255.255.0   Auf Verbindung    192.168.15.108   4501
   192.168.15.108  255.255.255.255   Auf Verbindung    192.168.15.108   4501
   192.168.15.255  255.255.255.255   Auf Verbindung    192.168.15.108   4501
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1   4531
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.15.108   4502
        224.0.0.0        240.0.0.0   Auf Verbindung          10.2.0.1     21
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.15.108   4501
  255.255.255.255  255.255.255.255   Auf Verbindung          10.2.0.1    276
===========================================================================

 

[fpo4711]

Hallo,

kurz überschlagen sieht das doch gut aus. Wenn der du mit gesetztem Haken leben kannst, dann nimm die manuelle Route wieder raus. Anstatt route add .... dann route del .......

Und da bei dir wohl eine Proxy Fehlermeldung erscheint würde ich mal in den Interneteinstellungen schauen ob da nicht versehentlich eine Proxyeinstellung vorhanden ist.

Ansonsten muß ich dich jetzt mit deinem Problem(chen) alleine lassen. Mir fehlt da heute die Zeit für. Man versaut sich eben immer wieder die Tage mit Arbeit

Gruß Frank

 

[Fossibaer75]

Hi,

klar kann ich mit dem gesetzten Haken Leben, aber es funktioniert eben nicht
Proxy habe ich keinen eingestellt.
Bei gesetztem Haken komme ich auch über die 10.2.0.0 nicht auf die Weboberfläche der DS, freigaben funktionieren
Anfragen ins WAN werden auch nicht geroutet...

Aber vielen Dank für die schnelle Hilfe....ich kann warten

 

[fpo4711]

Mit gestztem Haken solltest Du die DS und alle Geräte im Serversubnetz mit ihren lokalen IP's erreichen können. Wenn Du nur die DS über die Tunnel-IP erreichen willst, dann wäre das die 10.2.0.1

Gruß Frank

 

[Fossibaer75]

Hi,

ging ja doch schnell

Genau da ist der "Haken"
Ich kann kein Gerät (Router, DS)über das Serversubnetz (192.168.1...??) mit http über die lokale IP erreichen.
Anfragen ins WWW enden auch in einem Proxyfehler, obwohl kein Proxy eingestellt ist

Langsam habe ich den Verdacht das evtl ein Win Update etc. mir einen Streich spielt...