hakketas
Goto Top

Cisco VPN Client, entfernte IP, auch im lokalem Netzwerk vorhanden

Hallo Kollegen!

Mitarbeiter X hat zuhause seinen Home-Server die IP 192.168.0.2 gegeben.

Unser Fileserver hat auch die 192.168.0.2.

Nun verbindet er sich mit dem Cisco VPN Client (zu unserer 5510) und landet natürlich immer wenn er auf unseren Fileserver zugreifen möchte auf seinem privaten Home-Server.

Welche möglichkeiten der Problemlösung gibt es und welche ist am sinvollsten?

Danke!

Content-Key: 253431

Url: https://administrator.de/contentid/253431

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: Criemo
Criemo 30.10.2014 um 15:10:46 Uhr
Goto Top
Hi,
ich gehe davon aus, dass die Verbindung über Eure Firewall ins Netz rein kommt. Kannst du dem VPN, nicht einen anderen IP Kreis zu weisen?

Wir haben eine Sophos UTM (Ehemals Astaro)

Mitarbeiter A logt sich mit 192.168.1.1 bei uns via VPN ein und die Firewall weißt ihm eine 10.0.0.x zu somit ist nur der Firewall entsprechende IP bekannt und er kann sich mit der anderen Adresse ohne Probleme frei bei uns bewegen!

VG
Criemo
Mitglied: Hakketas
Hakketas 30.10.2014 um 15:15:59 Uhr
Goto Top
Nutzer sitzt Zuhause, er hat zuhause den IP Adresskreis 192.168.0.X (wie wir in der Firma).
Der VPN Client bekommt eine 10.70.XX.XX IP zugewiesen.

Nur der Client greift natürlich auf seine 192.168.0.2, die zuhause ist zu und sendet den Traffic nicht in den Tunnel.
Mitglied: Criemo
Criemo 30.10.2014 aktualisiert um 15:28:32 Uhr
Goto Top
hi,

Hab mal nach geschaut wenn du auf dem Client die Verbindung bearbeitest, kannst du unter dem Reiter Transport den haken bei "Allow Lokal Lan Access" rausnehmen.


VG
Criemo
Mitglied: adminst
adminst 30.10.2014 um 15:54:03 Uhr
Goto Top
Hallo
Er kann höchstens die Routingtabelle ändern.
Eure IP Ranges sind überhaupt nicht optimal gewählt. Jeder OEM Router etc. ist mit 192.168.0.0/24 vorkonfiguriert.

Gruss
adminst
Mitglied: brammer
brammer 30.10.2014 um 16:11:05 Uhr
Goto Top
Hallo,

die einfachste Lösung wäre hier die Ändeunrg des USER heimnetzes auf 192.168.214.0 /24 (Oder irgendein anderes)

Was mal wieder zeigt das ein gutes IP Design ernorm Vorteilhaft ist.

wie man als Firma 192.168.0.0 nehmen kann ist mit schleierhaft....

brammer
Mitglied: Hakketas
Hakketas 30.10.2014 um 16:24:30 Uhr
Goto Top
Zitat von @brammer:
wie man als Firma 192.168.0.0 nehmen kann ist mit schleierhaft....


Leider alles historisch gewachsen und nicht von mir versaut, bin Eurer Meinung face-smile

Teste es mal mit dem "Allow Lan Access" Parallel habe ich das Split Tunneling untersagt.
Mitglied: brammer
brammer 30.10.2014 um 16:26:39 Uhr
Goto Top
Hallo,

das Split Tunneling dürfte nichts bringen. Er kennt ja die Maschine 192.168.0.2 local...

brammer
Mitglied: Chonta
Chonta 30.10.2014 um 17:42:07 Uhr
Goto Top
Hallo,

entweder der Mitarbeiter verwendet ein anderes Netz zu hause was wie schon gesagt das schnellste und einfachste ist.
Die Firma stellt das Netz um. (bescheiert)
Der mitarbeiter bekommt ein anderes VPN-Netz überdas genattet wird um auf den Server in der Firma zu kommen, (umständlich)


Gruß

Chonta
Mitglied: Criemo
Criemo 30.10.2014 um 17:45:37 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

entweder der Mitarbeiter verwendet ein anderes Netz zu hause was wie schon gesagt das schnellste und einfachste ist.
Die Firma stellt das Netz um. (bescheiert)
Der mitarbeiter bekommt ein anderes VPN-Netz überdas genattet wird um auf den Server in der Firma zu kommen,
(umständlich)


Gruß

Chonta

hi,

hat er ja schon...

Nutzer sitzt Zuhause, er hat zuhause den IP Adresskreis 192.168.0.X (wie wir in der Firma).
Der VPN Client bekommt eine 10.70.XX.XX IP zugewiesen.

Nur der Client greift natürlich auf seine 192.168.0.2, die zuhause ist zu und sendet den Traffic nicht in den Tunnel.


warum so umständlich wenn er es mit dem Haken beseitigen kann, dass während einer VPN Verbindung keine Pakete ins LAN geschickt werden sondern sämtlicher traffic über den Tunnel geht?


VG
Mirco
Mitglied: aqui
aqui 31.10.2014 um 11:10:24 Uhr
Goto Top
Man sollte sich natürlich bei einem VPN Design immer VORHER Gedanken über das IP Adressdesign machen.
Die Allerwelts IPs 192.168.0-2 im dritten Byte zu verwenden zeugt eher von ziemlichem Unwissen dieser Materie. In sofern also...selber Schuld.
Lies dazu das entsprechende Forums Tutorial bzw. dess Anmerkungen dazu:
VPNs einrichten mit PPTP

Du kannst das nur mit IP Adress Translation umgehen, was dein VPN Design aber umso komplizuierter macht.
Besser in deinem Falle ist also das Server Netzwerk Segment umzulegen in ein anderes IP Netz um längerfristig Ruhe zu haben.
Alternativ das Clientnetz umlegen auf ein anderes IP Netz was aber dein Problem nicht löst, denn beim nächsten Client in dem Netz stehst du wieder vor dem gleichen Problem.
Das 192.168.0.0 /24 Netz zu nehemn ist auch selten intelligent, sorry aber 90% aller Billigrouter verwenden das als Default ! Das in einem VPN Design zu verwenden kann man fast schon nicht mehr dumm nennen.
Mitglied: Hakketas
Hakketas 03.11.2014 um 08:35:16 Uhr
Goto Top
Danke für die Klatsche, siehe oben, "Ist nicht auf meinem Mist gewachsen".

Netzwerk wird nicht umgestrickt, bei der aktuellen Dimension wäre das ein halbjähriges Projekt, hat die GF direkt abgelehnt.
Mitglied: aqui
aqui 03.11.2014 um 09:27:43 Uhr
Goto Top
Netzwerk wird nicht umgestrickt, bei der aktuellen Dimension wäre das ein halbjähriges Projekt, hat die GF direkt abgelehnt.
Dann bleibt dir leider nur eine umständliche Konfig mit statischem NAT oder Pool NAT (Network Adress Translation) anders ist das dann technisch nicht zu lösen.
Es sei denn du kannst mit einem Router nur die Endgeräte in ein separates neues IP Segment abtrennen die für den VPN Zugriff gebraucht werden ?!