Toon posts:

Default gateway in combinatie met VPN

Pagina: 1
Acties:
  • 1.308 views sinds 30-01-2008
  • Reageer

woensdag 2 maart 2005 19:44

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 25-11 22:24

Mathadon

Topicstarter
Ik hoop dat iemand mij hiermee kan helpen......

Ik heb een internetverbinding + een VPN verbinding naar mijn werk.
Wanneer ik inbel met mijn VPN verbinding dan kan ik niet meer op het internet komen..... nou ben ik er achter gekomen dat het komt omdat de remote default gateway wordt gebruikt als default gateway. Nu heb ik met het commando "route add" de metric waarden van de 2 gateways omgedraaid (2 naar 1 en omgedraaid) + een static route add toegevoegd aan de routerings tabel die de gateway van de VPN verbinding gebruikt, zodat ik wel op het netwerk van me werk kan komen.

Dus mijn probleem is opgelost, ALLEEN het probleem is....... wanneer ik mijn computer opnieuw opstart + ik heb de route adds persistent gemaakt (dus ze blijven bestaan), dan werkt het helaas niet meer, omdat de gateway-adres van zowel mijn internetconnectie + VPN connectie steeds verschillend zijn......

Hoe kan ik zeg maar, die veranderingen in mijn routeringstabel zodanig aanpassen dat het niet uitmaakt dat de default gatewayadressen steeds variabel zijn?

Bestaat er 1 of ander scriptje wat ik kan uitvoeren die de gateways + route adds veranderingen uitvoert? Of weet iemand een andere handige manier om te op te lossen zodat ik zowel op het VPN netwerk als op het internet kan blijven werken? zonder dat ik steeds handmatig het routeringstabel hoef aan te passen....

Mijn dank is groot!

[ Voor 4% gewijzigd door Mathadon op 02-03-2005 19:45 ]

woensdag 2 maart 2005 19:48

Acties:

Verwijderd

Wat dacht je van het vinkje bij "Use default gateway on remote network" uitzetten bij de eigenschappen van je VPN-dialin?

Move PNS > NT trouwens.

Edit: zo dus:
quote: Koffie
My network places -> Rechtermuiklik properties -> VPN icoontje -> Rechtermuisklik properties -> tabblad networking -> TCP/IP -> Properties -> Advanced -> Vinkje weghalen

[ Voor 41% gewijzigd door Verwijderd op 02-03-2005 20:00 ]

woensdag 2 maart 2005 20:18

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 25-11 22:24

Mathadon

Topicstarter
Als ik dat doe, dan kan ik wel gebruik maken van mijn internetverbinding, maar dan kom ik niet meer op mijn netwerk van me werk.

Stel ik zet dat vinkje aan, dan krijg ik de volgende ip adresgegevens van de VPN verbinding:

Ipadres: 192.168.1.x
Subnet: 255.255.255.0
Gateway: 192.168.1.x (ALTIJD hetzelfde adres als het ipadres, x = variable)

Hetzelfde geldt voor mijn internet verbinding via UMTS, ik krijg elke keer een ander ipadres, met als gatewayadres die hetzelfde is als het ipadres (elke keer verschillend). Het gaat by the way om een laptop + umts waarmee ik steeds verbinding maak naar mijn werk via een VPN verbinding. Maar elke keer als ik een VPN verbinding opzet, kan ik niet meer komen op het internet. Zoals in mijn 1e post heb ik al een oplossing hiervoor bedacht, alleen deze oplossing werkt alleen voor 1x totdat ik opnieuw opstart, want dan heb ik weer een ander gateway-adres gekregen waardoor de routerings aanpassingen niet meer kloppen.

Ik moet trouwens alleen maar verbinding kunnen maken naar 172.21.145.22 adres van de Terminal Server op werk. Dit werkt wanneer ik route add 172.21.145.22 mask 255.255.255.255 192.168.1.x metric 2 toevoeg aan de routeringstabel, want dan gebruikt hij de gateway van de VPN verbinding ipv de internetverbinding. (dit MOET want je kan niet 172.21.145.22 adres vinden via de gateway van de internetverbinding (DUH!) ) Maar het probleem is dus dat deze route-add alleen maar 1x werkt.... wanneer ik opnieuw opstart krijg ik een ander gateway-adres van de VPN verbinding... (+ internet gateway)

Ik wil het zeg maar voor elkaar krijgen dat ik niet elke keer handmatig deze route add commando's hoef uit te voeren met als input de steeds maar verschillende gateway-adressen...

Ooh ja, als je het vinkje UIT zet dan krijg je GEEN gateway-adres van de VPN verbinding dus dat is geen optie. je krijgt dan de volgende ip gegevens van de VPN verbinding:

Ipadres: 192.168.1.x
Subnet: 255.255.255.0
Gateway: (blank)

Dus het vinkje uitzetten heeft geen zin want dan kom ik nooit op de Terminal Server (172.21.145.22 via gateway 192.168.1.x)

Wanneer ik dus wel het vinkje aanzet heb ik 2 gateways tot mijn beschikking maar het verkeer wordt automatisch eerst door gestuurd naar de gateway van de VPN, omdat het vinkje aanstaat... daarom werkt het internet niet. Dus daarom heb ik de metric (volgorde van gateways) verwisseld zodat al het verkeer 0.0.0.0 mask 0.0.0.0 eerst naar de UMTS gateway gaat, zodat internet werkt, alleen met als uitzondering de routering naar 172.21.145.22 die heb ik laten routeren naar de gateway van de VPN verbinding, waardoor ik op de Terminal Server kan inloggen.

Ik hoop dat het nu wat duidelijker is en dat het niet zomaar een kwestie is van een vinkje uit zetten...

woensdag 2 maart 2005 20:58

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Het is wel een kwestie van een vinkje uitzetten. Je PC is echter te dom.

Als je een vpn opzet, maakt je pc een route aan naar het externe netwerk. Als je het vinkje aanzet, zal hij al het verkeer naar over de VPN sturen. Je kan nu niet meer internetten, omdat internet verkeer niet op het internet maar op de remote site aan komt (als je daar ook internet hebt, wordt het meestal gewoon door gerouteerd, maar schijnbaar hebben jullie dat niet).
Daarom stelde JSS voor om het vinkje uit te zetten. Dat lost het probleem van het onbereikbare internet op.

"Waarom kun je de terminal server niet meer bereiken?" vraag jij je af.

Nou, je PC is dom. Hij kent alleen routes naar direct verbonden netwerken en netwerken die je handmatig opgeeft.

Aangezien je een IP adres krijgt uit de range 192.168.1.x zal er een route toegevoegd worden 192.168.1.0/24 --> 192.168.1.x.

Je TS ligt echter in het netwerk 172.21.0.0/16. Dit netwerk kent je PC niet en zul je hem moeten leren. Nu geef je aan dat je dit niet handmatig wilt doen.

Je hebt 3 mogelijkheden:

1) Installeer eenvoudige routing software die het mogelijk maakt om routes naar interfaces te laten verwijzen (Bijv. 172.21.0.0/16 --> VPN-Interface)
bijv. http://www.kerio.com/kwf_home.html

2) Installeer RIP op je VPN concentrator en laat deze jet 172.21.0.0/16 netwerk adverteren over VPN's en installeer de RIP listener op je computer.
http://www.microsoft.com/...t/en-us/prcc_tcp_lgpn.asp

3) Configureer destination NAT op je VPN concentrator en configureer deze dat deze het netwerk adres van de TS (172.21.145.22) omzet in een IP adres dat in de range valt van de client (bijv. 192.168.1.1). Je houdt de client voor de gek, maar je kan dan connecten naar 192.168.1.1 om de TS te bereiken.

3 is de netste oplossing, maar je moet wel je vpn concentrator kunnen configureren. (en hij moet het ondersteunen, een eenvoudige PIX is dus niet genoeg)

2 Ook hier moet je je vpn concentrator kunnen configueren, maar is ook nog doenmaar, maar je verspilt bandbreedte, elke 30 sec heb je een RIP broadcast.

1 is de lelijkste en je zult het merken in de performance van je laptop en je netwerksnelheid. het is wel de enige mogelijkheid die je hebt als je niet aan je vpn concentrator mag komen.

edit: (even heel kort door de bocht kun je ook een statische lease maken zodat je altijd het zelfde ip adres hebt)

edit2: optie 2 gaat niet werken met een IPSec VPN omdat RIP gebruik maakt van broadcasts bedenk ik net

[ Voor 4% gewijzigd door JackBol op 02-03-2005 21:00 ]

De actuele opbrengst van mijn Tibber Homevolt

donderdag 3 maart 2005 09:21

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 25-11 22:24

Mathadon

Topicstarter
Ik zal ff hier plaatsen wat ik precies heb uitgevoerd:

C:\>ipconfig

Windows 2000 IP Configuration

Ethernet adapter Local Area Connection:

Media State . . . . . . . . . . . : Cable Disconnected

PPP adapter Vodafone NL Connection:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.7.196.93
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 10.7.196.93 (elke keer verschillend)

PPP adapter: (VPN VERBINDING)

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.69
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.69 (elke keer verschillend)


C:\>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 08 74 4c 4e db ...... 3Com EtherLink PCI
0x2000004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x3000005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.7.196.93 10.7.196.93 2
0.0.0.0 0.0.0.0 192.168.1.69 192.168.1.69 1
10.6.0.1 255.255.255.255 10.7.196.93 10.7.196.93 1
10.7.196.93 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.7.196.93 10.7.196.93 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.69 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.69 192.168.1.69 1
213.53.107.140 255.255.255.255 10.7.196.93 10.7.196.93 1
224.0.0.0 224.0.0.0 10.7.196.93 10.7.196.93 1
224.0.0.0 224.0.0.0 192.168.1.69 192.168.1.69 1
255.255.255.255 255.255.255.255 10.7.196.93 2 1
Default Gateway: 192.168.1.69
===========================================================================
Persistent Routes:
None

C:\> Nu ga ik de Metric omdraaien.... waardoor de default gateway veranderd omgewisseld wordt.

C:\>route add 0.0.0.0 mask 0.0.0.0 10.7.196.93 metric 1

C:\>route add 0.0.0.0 mask 0.0.0.0 192.168.1.69 metric 2

C:\>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 08 74 4c 4e db ...... 3Com EtherLink PCI
0x2000004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x3000005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.7.196.93 10.7.196.93 1
0.0.0.0 0.0.0.0 192.168.1.69 192.168.1.69 2
10.6.0.1 255.255.255.255 10.7.196.93 10.7.196.93 1
10.7.196.93 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.7.196.93 10.7.196.93 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.69 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.69 192.168.1.69 1
213.53.107.140 255.255.255.255 10.7.196.93 10.7.196.93 1
224.0.0.0 224.0.0.0 10.7.196.93 10.7.196.93 1
224.0.0.0 224.0.0.0 192.168.1.69 192.168.1.69 1
255.255.255.255 255.255.255.255 10.7.196.93 2 1
Default Gateway: 10.7.196.93
===========================================================================
Persistent Routes:
None

C:\> Nu ga ik een route maken zodat ik de Terminal Server kan bereiken via de gateway van de VPN verbinding.

C:\>route add 172.21.145.22 mask 255.255.255.255 192.168.1.69 metric 2

Maar deze aanpassingen wil ik dus zeg maar dynamisch hebben, zodat ik niet elke keer een ander gatewayadres hoef in te vullen. Liefst door middel van een bat-file of vb script die ik 1x moet dubbelklikken wanneer de verbindingen tot stand zijn gekomen.... Is dat niet mogelijk ipv allerlei software programma's te installeren of aanpassingen te maken in het DMZ?

[ Voor 5% gewijzigd door Mathadon op 03-03-2005 09:30 ]

donderdag 3 maart 2005 09:49

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 25-11 22:24

Mathadon

Topicstarter
Dirk-Jan schreef op woensdag 02 maart 2005 @ 20:58:
Het is wel een kwestie van een vinkje uitzetten. Je PC is echter te dom.

Als je een vpn opzet, maakt je pc een route aan naar het externe netwerk. Als je het vinkje aanzet, zal hij al het verkeer naar over de VPN sturen. Je kan nu niet meer internetten, omdat internet verkeer niet op het internet maar op de remote site aan komt (als je daar ook internet hebt, wordt het meestal gewoon door gerouteerd, maar schijnbaar hebben jullie dat niet).
Daarom stelde JSS voor om het vinkje uit te zetten. Dat lost het probleem van het onbereikbare internet op.

"Waarom kun je de terminal server niet meer bereiken?" vraag jij je af.

Nou, je PC is dom. Hij kent alleen routes naar direct verbonden netwerken en netwerken die je handmatig opgeeft.

Aangezien je een IP adres krijgt uit de range 192.168.1.x zal er een route toegevoegd worden 192.168.1.0/24 --> 192.168.1.x.

Je TS ligt echter in het netwerk 172.21.0.0/16. Dit netwerk kent je PC niet en zul je hem moeten leren. Nu geef je aan dat je dit niet handmatig wilt doen.

Je hebt 3 mogelijkheden:
1) Installeer eenvoudige routing software die het mogelijk maakt om routes naar interfaces te laten verwijzen (Bijv. 172.21.0.0/16 --> VPN-Interface)
bijv. http://www.kerio.com/kwf_home.html

2) Installeer RIP op je VPN concentrator en laat deze jet 172.21.0.0/16 netwerk adverteren over VPN's en installeer de RIP listener op je computer.
http://www.microsoft.com/...t/en-us/prcc_tcp_lgpn.asp

3) Configureer destination NAT op je VPN concentrator en configureer deze dat deze het netwerk adres van de TS (172.21.145.22) omzet in een IP adres dat in de range valt van de client (bijv. 192.168.1.1). Je houdt de client voor de gek, maar je kan dan connecten naar 192.168.1.1 om de TS te bereiken.

3 is de netste oplossing, maar je moet wel je vpn concentrator kunnen configureren. (en hij moet het ondersteunen, een eenvoudige PIX is dus niet genoeg)

2 Ook hier moet je je vpn concentrator kunnen configueren, maar is ook nog doenmaar, maar je verspilt bandbreedte, elke 30 sec heb je een RIP broadcast.

1 is de lelijkste en je zult het merken in de performance van je laptop en je netwerksnelheid. het is wel de enige mogelijkheid die je hebt als je niet aan je vpn concentrator mag komen.

edit: (even heel kort door de bocht kun je ook een statische lease maken zodat je altijd het zelfde ip adres hebt)

edit2: optie 2 gaat niet werken met een IPSec VPN omdat RIP gebruik maakt van broadcasts bedenk ik net
Ten eerste, misschien een n00b vraagje :) maar wat bedoel je precies met VPN concentrator? de VPN server?

Optie 1 is geen mogelijkheid,
Optie 2 snap ik nog niet helemaal..... want we zitten namelijk ook met beveiligingskwesties..
Optie 3 snap ik wel, maar...

Maar er is dus nog 1 opstakel. Ons DMZ laat alleen TCP/IP verkeer via het RDP-poort 3389 toe naar het ipadres 172.21.145.22. Als ik de TS server in het DMZ ga plaatsen d.m.v. een NAT destination, dan kunnen mensen volledig de TS bereiken? dus niet alleen via poort 3389.. toch? en dat mag niet.


Als ik optie 3 uitvoer + ik zet dat vinkje use remote default gateway uit, dan verloopt het verkeer nog steeds via de default gateway van de UTMS verbinding, want ik krijg dan de volgende ipgegevens:

C:\>ipconfig

Windows 2000 IP Configuration

Ethernet adapter Local Area Connection:

Media State . . . . . . . . . . . : Cable Disconnected

PPP adapter Vodafone NL Connection:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.7.196.93
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 10.7.196.93

PPP adapter:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.69
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :

en route print:

C:\>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 08 74 4c 4e db ...... 3Com EtherLink PCI
0x2000004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x3000005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.7.196.93 10.7.196.93 2
10.6.0.1 255.255.255.255 10.7.196.93 10.7.196.93 1
10.7.196.93 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.7.196.93 10.7.196.93 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.69 255.255.255.255 127.0.0.1 127.0.0.1 1
213.53.107.140 255.255.255.255 10.7.196.93 10.7.196.93 1
224.0.0.0 224.0.0.0 10.7.196.93 10.7.196.93 1
224.0.0.0 224.0.0.0 192.168.1.69 192.168.1.69 1
255.255.255.255 255.255.255.255 10.7.196.93 2 1
Default Gateway: 10.7.196.93
===========================================================================
Persistent Routes:
None

Dan zou ik alleen maar naar 192.168.1.69 kunnen connecten en niet naar andere computers (in het DMZ) met dezelfde ip-range (192.168.1.x) zie subnet 255.255.255.255.

Dus ik zou zowiezo ALTIJD de optie "use remote default gateway" moeten gebruiken. Ik mag hem niet uitvinken. Dus ik zal en moet wel wat aanpassingen (de default gateways omdraaien) moeten brengen aan de routering op de laptop. Correct me if i'm wrong...

donderdag 3 maart 2005 10:00

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Mathadon schreef op donderdag 03 maart 2005 @ 09:49:

Ten eerste, misschien een n00b vraagje :) maar wat bedoel je precies met VPN concentrator? de VPN server?

Optie 1 is geen mogelijkheid,
Optie 2 snap ik nog niet helemaal..... want we zitten namelijk ook met beveiligingskwesties..
Optie 3 snap ik wel, maar...

Maar er is dus nog 1 opstakel. Ons DMZ laat alleen TCP/IP verkeer via het RDP-poort 3389 toe naar het ipadres 172.21.145.22. Als ik de TS server in het DMZ ga plaatsen d.m.v. een NAT destination, dan kunnen mensen volledig de TS bereiken? dus niet alleen via poort 3389.. toch? en dat mag niet.
Je kan altijd nog in die NAT-dst rule aangeven dat alleen verkeer over poort 3389 permit wordt.
Dan zou ik alleen maar naar 192.168.1.69 kunnen connecten en niet naar andere computers (in het DMZ) met dezelfde ip-range (192.168.1.x) zie subnet 255.255.255.255.

Dus ik zou zowiezo ALTIJD de optie "use remote default gateway" moeten gebruiken. Ik mag hem niet uitvinken. Dus ik zal en moet wel wat aanpassingen (de default gateways omdraaien) moeten brengen aan de routering op de laptop. Correct me if i'm wrong...
Daar heb je inderdaad gelijk in en heb ik nog niet aan gedacht.

De actuele opbrengst van mijn Tibber Homevolt

donderdag 3 maart 2005 10:24

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 25-11 22:24

Mathadon

Topicstarter
maareh, dus ik heb nog steeds geen oplossing..... tenzij iemand mij een goeie site kan geven die VB of batch scripting beschrijft in combinatie met ipadres-routering.... (ik kan niet VB programmeren)

donderdag 3 maart 2005 15:49

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Mathadon schreef op donderdag 03 maart 2005 @ 10:24:
maareh, dus ik heb nog steeds geen oplossing..... tenzij iemand mij een goeie site kan geven die VB of batch scripting beschrijft in combinatie met ipadres-routering.... (ik kan niet VB programmeren)
in een ver verleden heb ik eens met WSH gewerkt, misschien dat je daarnee een scriptje in elkaar kan zetten, maar daarmee kan ik jen iet helpen...

De actuele opbrengst van mijn Tibber Homevolt

donderdag 13 oktober 2005 14:41

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 22-12 12:04

ajslaghu

Voor de goede orde, ik ben hier recent mee bezig geweest en een redelijke elegante oplossingen is het instellen van een DHCP relay in de vpn server. Erg makkelijke te realiseren in RAS van windows server.

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq