VPN zweier Router mit gleicher LAN-Adresse

Hallo,

ich würde gerne folgendes Szenario über VPN lösen: Es gibt zwei LANs mit gleicher Adressstruktur, dass heißt auch die Router haben die gleiche Adresse im Netzwerk (192.170.333.1). Zu jedem Netzwerk gibt es einen Server (192.170.333.2). Mein Ziel ist es, dass diese Server von jedem Teilnehmer beider LANs aus zu erreichen sind.

Voraussetzung für VPN ist eigentlich eine unterschiedliche Netzwerk-Adressierung. Das ist hier leider nicht der Fall.

Wie kann man/ich trotzdem ein VPN aufbauen?

Viele Grüße!
JENS

Hallo,

Voraussetzung für VPN ist eigentlich eine unterschiedliche
Netzwerk-Adressierung. Das ist hier leider nicht der Fall.

Wie kann man/ich trotzdem ein VPN aufbauen?

man könnte das, wenn man viel Handarbeit investiert und die „Router“
Lunix-Kisten sind, auf denen man das VPN entsprechend manipulieren kann.

Executive Summary: Nein, das geht nicht. Man muss renumbern.

Gruß,

Malte

Hi Jens,

wie sind die beiden Netzwerke verbunden??? Übers Internet denke ich doch, oder? Ergo haben sie nicht! diesselbe IP. Deine Router haben ins private Netz diesselbe Adresse, aber ins Internet, das zweite Beinchen, zwei unterschiedliche Adressen. Sowas nennt sich NAT Network Address Translation.
Wenn dein Gedankengang stimmen würde, könnten wir beiden nicht zeitgleich ins Internet. Denn mein Rechner hat die 192.168.2.2, wie vermutlich Millionen andere Rechner auch. Also hätte das Internet ein Problem, meine Anfrage einer Webseite an mich zurückzusenden. Es würde mich nicht finden. Aber mein Beinchen im Internet, nämlich die Schnittstelle meines Routers mit dem dsl-Kabel, hat eine einzigartige IP-Adresse.
Bei dir ist es genauso. Also baue deinen Tunnel auf. Du wirst sehen, an den IP-Adressen liegt es nicht, wenns nicht klappt :-}

Gruß

Hügel

Hallo Hügel,

danke für deine Antwort. Natürlich meinte ich die private Netzwerkadressierung ;o) Sorry für die schlechte Formulierung!
Wäre schön, wenn es so einfach wie von Dir beschrieben funktionieren würde.
Aber: Verwenden beide Netzwerke die selbe Adressierung im LAN, würde der Router meines Wissens nach nur innerhalb des eigenen Netzes nach einem Teilnehmer suchen und gar nicht das VPN bemühen. Siehe auch die Antwort von Malte.

Viele Grüße!

Hm, das ist nicht die Antwort die ich mir erhofft habe. Trotzdem danke ;o)
Die Router sind normale FRITZ-Boxen, keine Ahnung, auf welchem Betriebssystem diese laufen.

Also gibt es keine Möglichkeit, dem VPN eine (zweite) alternative IP-Adresse für den Server (und/oder Router, wenn nötig) vorzugeben, während die Adressstruktur des LANs dennoch erhalten bleibt? Eines der beiden LANs muss - wie Du es nennst - komlpett ge"renumbered" werden?

Viele Grüße

Jens

Pardon,

dann verstehe ich deine Aufgabenstellung gar nicht.

Wo befinden sich die beiden Netze? Wenn du sie nicht übers Internet verbinden willst, warum dann ein Tunnel???

Gruß

Hügel

Ich habe mich wieder etwas undeutlich ausgedrückt.
Das VPN will ich übers Internet aufbauen. Wenn beide lokal getrennte LANs die selbe private Netzadressierung verwenden, wird das VPN nicht funktionieren, da der Router die Anfrage nicht an das VPN weiterleitet sondern innerhalb des eigenen LANs bleibt. Soweit zumindestens mein Kenntnisstand, basierend hierauf:
http://www.avm.de/de/Service/Service-Portale/Service…
(siehe „1. Anpassen der IP-Netze“)

Jens

Wo befinden sich die beiden Netze? Wenn du sie nicht übers
Internet verbinden willst, warum dann ein Tunnel???

Es geht um das P in VPN: Er will ein privates Netz aufbauen. Für die Rechner soll das so aussehen, als stünden sie direkt nebeneinander im gleichen Raum, am gleichen Switch. Dass die Verbindung übers Internet getunnelt wird, ist in einem VPN völlig transparent.

Du hast recht, dass der Verbindungsaufbau an sich erst mal funktionieren würde. Kommunizieren sollen anschliessend aber zwei Rechner mit ihren lokalen Adressen - die nichts davon wissen, dass sie tatsächlich übers Internet miteinander gekoppelt sind. Und das knallt natürlich, wenn die dann identische IP-Adressen besitzen.

Gruß

Hm, das ist nicht die Antwort die ich mir erhofft habe.
Trotzdem danke ;o)
Die Router sind normale FRITZ-Boxen, keine Ahnung, auf welchem
Betriebssystem diese laufen.

Das ist zwar ein abgespecktes Linux, aber nicht hinreichend manipulierbar. Kannste haken :wink:

Also gibt es keine Möglichkeit, dem VPN eine (zweite)
alternative IP-Adresse für den Server (und/oder Router, wenn
nötig) vorzugeben, während die Adressstruktur des LANs dennoch
erhalten bleibt?

Nein. Ich wüsste nicht, wie. Die Fritz-Boxen sehen so etwas - mehrere Subnetze auf einem LAN - auch nicht vor, auch ohne VPN nicht.

Eines der beiden LANs muss - wie Du es nennst - komlpett ge"renumbered" werden?

Ja. Deshalb ist DHCP übrigens eine tolle Sache, dann ist so ein Renumbering trivial.

Gruß,

Malte

Hallo Malte,

Eines der beiden LANs muss - wie Du es nennst - komlpett ge"renumbered" werden?

Ja. Deshalb ist DHCP übrigens eine tolle Sache, dann ist so
ein Renumbering trivial.

Dass man zwei Subnets haben muss, für Local und Remote, ist klar, sonst klappt das mit dem Routen schon mal nicht.

Aber eigentlich wäre es technisch trivial an den beiden Tunnelenden eine statische NAT zu machen.

Also z.B.
192.168.1.x Local
192.168.2.x Remote

Am Tunnelende werden dann die 192.168.2.x IPs in 192.168.1.x umgesetzt.
Das Ganze natürlich in beide Richtungen.

MfG Peter(TOO)

Hi,

Aber eigentlich wäre es technisch trivial an den beiden
Tunnelenden eine statische NAT zu machen.

sicher. Aber zeig mir mal, wie das mit einer Fritz!Box geht.

Gruß,

Malte

Wie kann man/ich trotzdem ein VPN aufbauen?

Die Frage kannst du dir schnell selbst beantworten.

Klar, den Routern ist es egal, die VPN-Verbindungen laufen eh über ein anderes Protokoll. Aber was machen die Clients? Was passiert, wenn ein Client in Netz A einen Client in Netz B (=A) erreichen will? Er macht einen Broadcast ins lokale Netz, wozu auch sollte er über das Gateway gehen? Das lokale Netz hat ja den Bereich. Auch die Router werden ein solches Netz nicht routen, d.h. die Pakte nicht weiterleiten, denn auf zwei Seiten das gleiche Netz geht nicht - unabhängig davon, ob die Router eine Verbindung aufbauen.
Mit viel Arbeit kann man so etwas bridgen, wobei auch dann jeder Rechner im gesamten Netz eine unterschiedliche IP-Adresse haben muss. Aber Bridging per VPN ist alles andere als trivial und das macht auch niemand freiwillig. Ergo bleibt nur neu durchzunummerieren. Bei WIndowsdomänen ist das nicht ganz so tragisch, wenn der DNS auch wirklich gepflegt ist und DHCP verwendet wird. Nach neuer Nummerierung mit dcdiag die Domäne prüfen.

Hallo,

ich würde gerne folgendes Szenario über VPN lösen: Es gibt
zwei LANs mit gleicher Adressstruktur, dass heißt auch die
Router haben die gleiche Adresse im Netzwerk (192.170.333.1).
Zu jedem Netzwerk gibt es einen Server (192.170.333.2). Mein
Ziel ist es, dass diese Server von jedem Teilnehmer beider
LANs aus zu erreichen sind.

Fehler 1: das sind keine privaten Adressen! Hoffentlich war das Absicht und kein Versehen, und wenn doch, musst Du die Netze sowieso umnummerieren wenn Du damit ohne Scherereien ans Internet willst, und damit ist die Frage hinfällig.

Voraussetzung für VPN ist eigentlich eine unterschiedliche
Netzwerk-Adressierung. Das ist hier leider nicht der Fall.

Das ist ein Designfehler, und nichts worauf man stolz ist. Kluge packen das Übel an der Wurzel --> Eins der Netzwerke umnumerieren. Da ich mir außerdem nicht vorstellen kann, wieso jemand sich eine 170-er Adresse schnappt und damit eine Internetkollision riskiert -> beide umnumerieren.

Wie kann man/ich trotzdem ein VPN aufbauen?

Das Zauberwort heißt NAT. Wirklich gute Router können NAT *vor* dem Tunneling machen. Du kannst damit die 192.170.30-er Adresse des jeweils anderen Netzes hinter einer neuen Adresse, meinetwegen 192.171.xxx.xxx für Netz1 --> Netz2, und 192.172.xxx.xxx für Netz2 --> Netz1 verstecken. Über (manuell einzupflegende - igitt!) Umsetztabellen sorgst Du dann dafür, dass 192.170.30.2 (Netz1) den 192.170.30.2 (Netz2) unter der IP 192.171.30.2 sieht, und dieser den 192.170.30.2 (Netz1) unter 192.172.30.2.

Ich hab sowas mal bauen und betreiben müssen, als ein B-Netz durch Verkauf/Ausgliederung der EDV Abteilung in 2 Netze gespalten werden musste, und jede Hälfte ihre EDV erst mal mitnehmen musste. Man kann die IPs von 2000 Clients, Druckern und Hosts nun mal nicht einfach mit 3 Mausklicks über Nacht umsetzen. Und da einige Hosts nur einmal vorhanden waren, und darüber hinaus die ausgegliederte EDV noch eien Weile lang Fernsupport für die verbliebenen Systeme leisten musste, mussten sie für die andere Firmenhälfte noch eine Weile ereichbar bleiben, bis sich die eigene Anlagen beschafft und ihre Daten migriert hatten. Daher 2 Netze parallel mit den selben IP Adressen.

Für so ein Szenario lohnt sich die Mühe.und man bemüht High-End Router (Cisco) für so eine Aufgabenstellung.

Einem (sorry - alles ist relativ) Schmalspur-Routerchen wie der Fritzbox traue ich das ehrlich gesagt nicht zu. Und wenn ich mir so ansehe, wie Du mit Host- und Netzwerkadressen wild durcheinander wirfst (192.170.333.1 dürfte wohl der Router sein, und 192.170.333.0 wäre dann das Netz) meine ich, dass das Thema auch Dich mehr Zeit und Mühe für IP Grundlagenforschung kosten wird als die Sache wert ist. Außerdem verursacht NAT häufig Scherereien mit Verschlüsselung und anderen Protokollen (z.B. FTP), also verursacht die Kopfwehpille oft Bauchweh. Lass es einfach, oder begründe, wieso das gerade hier so sein muss.

Zu faul, Netzwerke umzunumerieren reicht mir nicht als Grund :smile:

…Armin

sicher. Aber zeig mir mal, wie das mit einer Fritz!Box geht.

Mal abgesehen davon, wie soll ein Client in Netz A den Weg zu Netz B wissen, wenn B=A? Wenn, dann müßte der Tunnel transparent bridgen, aber das will wirklich niemand…

B wäre dann aus Sicht von A nicht mehr gleich A, weil jeweils(!) ein n:n-NAT gemacht würde, und daher aus Sicht des lokalen Netzsegmentes das entfernte Segment in einem anderen IP-Subnetz liegen würde.

Gruß,

Malte

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

B wäre dann aus Sicht von A nicht mehr gleich A, weil
jeweils(!) ein n:n-NAT gemacht würde, und daher aus Sicht des
lokalen Netzsegmentes das entfernte Segment in einem anderen
IP-Subnetz liegen würde.

Gut, aber bei so einem Transfernetz müßte man höllisch aufpassen, daß DNS & WINS keinen Unsinn bauen, so richtig klasse ist das nicht.
Wenn DC#1 die 192.168.1.2 hat und DC#2 ebenfalls, möchte ich das Netz nicht administrieren… ^^

Dc steht für Domaincontroller, nehme ich an? Ja, in einem Windowsnetz wäre das sogar noch mehr PITA. Aber selbst in einem ordentlichen Lunix-lastigen Netz möchte man sowas nicht. Deshalb ja auch der dringende Rat, zu renumbern. Aber strikt auf Layer 3 ist es zumindest technisch möglich.

Das ist so oder so eine dieser Lösungsmöglichkeiten, von denen man seinem Chef nie erzählt.

Gruß,

Malte

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

ich würde gerne folgendes Szenario über VPN lösen: Es gibt
zwei LANs mit gleicher Adressstruktur, dass heißt auch die
Router haben die gleiche Adresse im Netzwerk (192.170.333.1).
Zu jedem Netzwerk gibt es einen Server (192.170.333.2). Mein
Ziel ist es, dass diese Server von jedem Teilnehmer beider
LANs aus zu erreichen sind.

Fehler 1: das sind keine privaten Adressen!

noch besser, das sind überhaupt keine IP-Adressen, oder wie bekommst Du 333 in ein Byte?

Deshalb geh ich davon aus, daß die aus der hohlen Hand geschüttelt wurden.

Gruß,

Malte

oder wie
bekommst Du 333 in ein Byte?

Oktal.

Gruß

oder wie bekommst Du 333 in ein Byte?

Oktal.

Dann passt aber die 192 nicht, und Zahlensysteme mischen ohne Angabe ist bestimmt verboten oder so :wink:

Gruß,

Malte