AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme VPN Verbindung klappt nur halb; Hirn verdreht
Thema durchsuchen
Ansicht
Themen-Optionen

VPN Verbindung klappt nur halb; Hirn verdreht

Ein Thema von Medium · begonnen am 28. Apr 2016 · letzter Beitrag vom 14. Sep 2016
Antwort Antwort
Medium

Registriert seit: 23. Jan 2008
3.689 Beiträge
 
Delphi 2007 Enterprise
 
#1

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 10:37
Ich muss hier noch mal weiter machen. Das Ursprungsproblem ist nach wie vor, dass ich eine VPN Verbindung zwischen zwei Netzen im 192.168.0.x Kreis herstellen muss. Die Verbindung zum VPN Partner an und für sich ist hergestellt, die Gegenseite sieht mich auch in ihren Logs.

Jetzt haben wir bei manchen Kunden eine Fernwartungslösung der Firma MB Connect im Einsatz, und deren Client-Programm stellt letztlich auch nur eine VPN-Verbindung zu einem Endgerät her. Was dieser Client aber kann, ist das externe Netz auf ein anderes Subnetz quasi zu mappen. Heisst: Ein PC beim Kunden, der dort intern die IP 192.168.0.77 hat, ist bei verbundener Fernwartung von mir über die IP 192.168.10.77 erreichbar.
Sowas wäre DIE Lösung die ich bräuchte, aber in diesem Fall kann ich leider nicht die Software von MB einsetzen, sondern muss das irgendwie mit den Tools von Windows XP (leider geht nur XP, wegen anderer alter Software die zu dem Projekt gehört) allein erreichen. Wie macht man so was?
"When one person suffers from a delusion, it is called insanity. When a million people suffer from a delusion, it is called religion." (Richard Dawkins)
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#2

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 14:20
Sowas nennt man NAT und ist im Allgemeinen etwas, was man nicht möchte. Mit einem Linux Router wäre das über iptables relativ einfach umsetzbar.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Medium

Registriert seit: 23. Jan 2008
3.689 Beiträge
 
Delphi 2007 Enterprise
 
#3

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 14:51
Dazu muss das die Gegenstelle aber auch konfiguriert haben gelle? Ich vermute mal, dass das bei der Lösung von MB Connect deren Endgerät "out of the box" kann. Der Kunde hat leider niemanden vor Ort der solcher Dinge mächtig wäre, und ich selbst bin da leider auch nahe dem Ende meiner Kunst. Sieht so aus, als geht es einfach nicht. Keine Lösung dafür, bumms, aus. Selten sowas. Bleibt mir eigentlich nur, über mein Handy ins Internet zu gehen und damit ein klitze kleines LAN zu haben dessen IP Kreis ich sehr einfach verstellen kann. Und dann eben während dessen kein Zugriff auf unsere Server. Was ein Quark
Dass sowas nicht beim Herbeidenken von VPN mit bedacht wurde, und keine Standardlösung ins Protokoll eingebaut wurde, ist mir ein Rätsel.
"When one person suffers from a delusion, it is called insanity. When a million people suffer from a delusion, it is called religion." (Richard Dawkins)
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#4

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 15:52
Ach was, geht nicht, gibt's nicht. Wenn man denkt dass bei VPN etwas fehlt, dann hat es meistens einfach nur nicht richtig gemacht.

Ich muss zugeben dass ich dein Problem nicht ganz vollumfänglich verstanden habe. Ich versuche mal zusammenzufassen.
  • Du hast zwei physisch getrennte Netzwerke
    • 192.168.20.0/24
    • 192.168.0.0/24
  • Beide Netze sollen über ein VPN komplett verbunden werden
    • d.h. jeder kann jeden innerhalb beider Netze erreichen
  • Beide Netze benutzen eine FritzBox als Router
  • Und in beiden Netzen gibt es je einen Windows XP Rechner, der das VPN herstellen soll

Ist das soweit alles richtig?

Falls ja, dann sollte das nun wirklich kein unlösbares Problem sein. Die FritzBoxen haben eine eingebaute VPN Funktion, die sehr gut funktioniert und ohne großen Aufwand beliebig viele Netze miteinander verbindet. Die wichtigsten Voraussetzungen dafür sind, dass du zwei unterschiedliche Subnetze in beiden Standorten benutzt (tust du ja). Außerdem benötigst du öffentliche IPs an beiden Standorten. Kein Carrier-NAT! Aber da du das VPN ja bereits mit den XP Rechner herstellen konntest, wird das wohl auch der Fall sein.

Wenn zwei Rechner, die nicht Router im Netzwerk sind, das VPN herstellen sollen, dann hast du mehrere Probleme. Denn die anderen Rechner mit Netz wissen nicht, wohin sie das fremde Netz routen sollten. Man müsste dies als statische Route bei beiden FritzBoxen hinterlegen. Die FritzBox-Lösung wäre aber deutlich schöner, allein schon weil Windows XP bei sicherheitsrelevanten Diensten wie VPN absolut nichts verloren hat.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Aviator

Registriert seit: 3. Jun 2010
1.611 Beiträge
 
Delphi 10.3 Rio
 
#5

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 17:10
Ist das soweit alles richtig?
Ich glaube nicht ganz. Und da liegt der Knackpunkt. Sein Netz liegt im Bereich 192.168.0.X und das Netz mit dem er sich verbinden will liegt ebenfalls im Bereich 192.168.0.X

Und jetzt ist die Frage, wie er diese beiden Netze als jeweils eigenständiges Netz behandeln kann. Korrekt @Medium?

Hierfür müsste es dann eine Zwischenschicht geben die z.B. Anfragen über ein weiteres Netz auf das richtige Netz umleitet. Bzw. das gibt es ja als VPN Netz. Nur will er denke ich die ganz normalen IP-Adressen des Gegenüber verwenden. Und da beißt sich die Katze in den Schwanz. Denn dann kommt er ja in seinem eigenen Netz raus.
  Mit Zitat antworten Zitat
Medium

Registriert seit: 23. Jan 2008
3.689 Beiträge
 
Delphi 2007 Enterprise
 
#6

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 18:01
Die wichtigsten Voraussetzungen dafür sind, dass du zwei unterschiedliche Subnetze in beiden Standorten benutzt [...]
Nur um Aviators korrekte Aussage nochmal zu bestätigen: Ich habe die selben Subnetze in beiden Netzwerken.
Das ist genau der Knackpunkt. Sind die unterschiedlich, gibt es keine Probleme. (Getestet mit Internet am Notebook via Handy als AP und anderem IP-Kreis.)

Der Kunde ist auch leider etwas größer (ein Museum), so dass dort auch nicht mal eben das Netzwerk umgestellt werden kann. (Zumal es "nur" um die gelegentliche Fernwartung einer einzigen kleinen Anlage dort geht.) Bei uns wären ebenfalls etliche PCs, SPSen, Telefone, Drucker und IP-Kameras sowie entsprechende Dienste und Programme anzupassen, womit uns solch eine Komplettumstellung vermutlich mindestens 1-2 Tage komplett lahm legen würde - eher mehr, wenn man die "Nachwehen" der ganzen vergessenen Ecken dazu rechnet. Steht auch für uns also eigentlich in keinem Verhältnis zueinander.
Ich weiß zudem nicht, über was für ein Gerät der Kunde im Internet ist. Und selbst wenn: Es gibt dort einen Werksstudenten der "schon mal was mit Computern gemacht hat" (bisschen mehr schon, aber so in etwa), der auch nicht mal eben beliebige Konfigurationen herbeizaubern kann. (Dass überhaupt ein VPN Zugang existiert ist vermutlich eher dem Komfort aktueller Hardware geschuldet als allem anderen.) Ergo: Ich müsste, wenn es denn ein komplikations-unwahrscheinlicher Weg wäre, dem Kunden alles mundgerecht vorkauen, oder dafür 2 Tage Dienstreise machen (~6h pro Strecke mit Auto). Problem ist dabei, dass ich selbst bei Netzwerktechnik recht schnell überfordert bin. (Hab das in der FH auch nur mit Hängen und Würgen überstanden. Bin eindeutig Entwickler, kein Netzwerkler )

Wie gesagt. Im Zweifel klemm ich für den Kunden (eigentlich auch nur ein Sub-Kunde) meine VM-USB Platte ans Notebook und opfere etwas Mobildatenkontingent. Schöner wäre anders, aber offenbar wenn überhaupt nur mit großem Aufwand und ohne Garantie.
"When one person suffers from a delusion, it is called insanity. When a million people suffer from a delusion, it is called religion." (Richard Dawkins)
  Mit Zitat antworten Zitat
BenjaminH

Registriert seit: 14. Okt 2004
Ort: Freiburg im Breisgau
713 Beiträge
 
Turbo Delphi für Win32
 
#7

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 18:25
Es geht nur um die Fernwartung eines einzigen Systems?
Dann ist der einfachste Trick dort irgendwo einen SSH-Server(zum Beispiel auf dem Router) zum laufen zu bringen, sich mit dem Verbinden und alle nötigen Ports mittels Forwarding zu holen.
Einfachstes Beispiel, ein Webserver(192.168.0.17 Port 80) steht im Museum, ist aber nicht von außen erreichbar. Man braucht jetzt nur einen SSH-Server irgendwo in deren Netz, der auch von außen erreichbar ist(z.B. mit Port Forwarding im Router des Museums).
Jetzt will man auf den Webserver von außen zugreifen. Dann macht man folgendes:
Code:
ssh -L 8080:192.168.0.17:80 IP.Adresse.des.Museums
Nach dem Login kann man im eigenen Webbrowser unter der URL http://127.0.0.1:8080 auf den Webserver im Museum zugreifen.
Das funktioniert natürlich auch für mehrere Ports. Die Verbindung mit dem Fernwartungstool baut man dann zu 127.0.0.1(also quasi sich selbst) auf.
Benjamin
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#8

AW: VPN Verbindung klappt nur halb; Hirn verdreht

  Alt 13. Sep 2016, 21:06
Ah, okay.

Wenn eine Änderung des Subnetzes keine Option ist, dann gibt es natürlich andere.
  • Wie du selbst sagst, kann man NAT verwenden. Hier hat jemand das gleiche Problem und es wird beschrieben wie man es löst. Das ist aber nicht trivial und vermutlich nicht mit Windows XP lösbar. Es würde Zugriff auf den Museumsrouter und ziemlich sicher einen weiteren Rechner oder Router benötigen. Falls du wirklich nur eine IP fernwarten willst, rate ich davon ab.
  • Wenn du nur eine IP fernwarten willst, warum dann überhaupt der ganze Aufwand? BenjaminH beschreibt eine Standardlösung die ich seit Jahren für verschiedene Unternehme und Vereine verwende. Ein Raspberry Pi und ein Portforwarding im Museumsrouter und der Fall wäre erledigt. Falls der fernzuwartende Rechner verschlüsselt und authentifiziert erreichbar ist, könnte man sich SSH sogar sparen und direkt die nötigen Ports freigeben. Aber Achtung: Sicherheitsrisiko wenn das nicht so ist!
  • Falls du an der technisch korrekten, aber leider meist nicht umsetzbaren Lösung interessiert bist: Die Lösung heißt IPv6. Jedes Gerät bekommt eine globale, eindeutige IP-Adresse. Im Museumsrouter könnte die IP der zu steuernden Anlage freigeschaltet werden. Falls man Authentifizierung oder Verschlüsselung benötigt, kann man mit VPN zwei IPv6-Netze verbinden. Da alle Adressen weltweit eindeutig wären, könnte es nicht zu Konflikten wie in eurem Fall kommen.
  • Edit: Ist TeamViewer eine Lösung? Einfacher als TeamViewer wird es nicht mehr.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog

Geändert von Valle (13. Sep 2016 um 21:10 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:48 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz