Netwerkverkeer omleiden door VPN tunnel - Netwerken

dinsdag 29 maart 2005 21:40

Acties:

Nee

Topicstarter

Beste tweakers,

Ik heb het nodige speurwerk verricht maar kan nergens een oplossing vinden voor mijn probleem.

Het volgende;
Ik heb hier een aantal clients in een netwerk: 192.168.0.2 t/m 192.168.0.6 met subnetmask 255.255.255.0

die zijn gekoppeld aan een server: 192.168.0.1 met subnetmask 255.255.255.0 als intern adres en voor het externe adres: .... met subnetmask 255.255.255.248

deze is gekoppeld aan een router: .... met subnetmask 255.255.255.248

(De server draait Windows XP Prof sp2, met alle updates en internet delen ingeschakelt voor de NIC met ....)

Alles gaat goed, internet werkt als een dolle stier, maar nu het probleem:
Wanneer ik een VPN verbinding opzet met het campusnetwerk van utwente werkt dit prima, zowel vanaf de server als vanaf de clients. Maar wat ik wil realiseren is een vpn verbinding vanaf de server, zodat alle clients gebruik kunnen maken van die vpn verbinding. Een site-to-site verbinding is geen optie!

Nu heb ik hier op got.tweakers.net al het een en 't ander gelezen over het bewerken van m'n route-tabel. Ik ben hier mee aan't klungelen gegaan maar ik kom er niet uit. Heb ook al het nodige op internet gelezen maar ook dit helpt me niet ver.
Wat ik geprobeerd heb is het volgende (op de server uiteraard):

(.... is het ip adres wat ik krijg van de vpn server, NIC 0x1 is intern, NIC 0x2 is extern)

route add 130.89.0.0 mask 255.255.0.0 130.89.6.217
route add 130.89.0.0 mask 255.255.0.0 130.89.6.217 METRIC 1 (blijkbaar zelfde als bovenstaand)
route add 130.89.0.0 mask 255.255.0.0 130.89.6.217 METRIC 15
route add 130.89.0.0 mask 255.255.0.0 130.89.6.217 METRIC 15 0x2

geen van bovenstaande geven mij het gewenste resultaat. Ik kan dan geen adressen binnen 130.89.x.x meer pingen vanaf de clients...

Kan iemand mij verder helpen?

GeGroet,

AXi

[ Voor 4% gewijzigd door Verwijderd op 13-04-2005 13:39 . Reden: Ik kan DAN geen adressen binnen 130.89.x.x meer pingen vanaf de clients... ]

Nee

dinsdag 29 maart 2005 23:51

Acties:

aximus

Nee

Topicstarter

Misschien is het probleem dat het adres dat ik van de vpn server krijg ook in de range van 130.89.x.x valt... maar ik heb geen idee hoe ik het dan op moet lossen....

Nee

dinsdag 29 maart 2005 23:59

Acties:

The Eagle

I wear my sunglasses at night

Liever niet kicken binnen 24 uur

En nu weer on topic:
Ik herinner me je 145.x.x.x range nog uit mijn tijd op de HHS. Mijn 1e gok is dat je idd op een campusnetwerk zit, en dus afhankelijk bent van bepaalde centrale netwerkapparatuur binnen de school. Ik ken de situatie binnen de HHS (den haag) een beetje en daar zitten de meeste poorten vrij dicht. VPN'en is daar bij mijn weten niet echt mogelijk, maar ik kan me vergissen. Laat ik het zo stellen: ik heb hier nog nooit iemand met een VPN gezien

Wellicht kun je iets met poortmapping oid, maar ik geef je persoonlijk niet zoveel kans. Desalniettemin suc6 gewenst:)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 30 maart 2005 00:08

Acties:

aximus

Nee

Topicstarter

VPN wordt in mijn geval aangeboden door de school. Dit zodat studenten die niet op de campus wonen, toch gebruik kunnen maken van de netwerkfaciliteiten van de campus. VPN opzich werkt dus ook prima.
Alleen ik wil dat meerdere netwerk clients van de zelfde vpn verbinding gebruik kunnen maken. Dit wil ik omdat mijn ADSL modem/router maar 1 VPN tunnel tegelijk kan verwerken/openzetten/of hoe je het ook wilt noemen.

Ik weet niet hoe je het nu hebt, maar als ik bij mijn ouders zit VPN (windows dus) ik ook naar de router hiero..
Vervolgens doe ik dan:

route add 213.239.155.60 mask 255.255.255.255 192.168.3.3

213.239.155.60 = osiris.parse.nl = IRC-server van Hans (Parse-Devver) die gelinkt is met irc.tweakers.net; mask 255.255.255.255 geeft aan dat het geen range is, maar 1 IP-adres en 192.168.3.3 is het VPN-IP die ik krijg als ik op de VPN inlog...

De rest van mijn internet-verkeer gaat via 0.0.0.0 met mask 0.0.0.0 via mn gateway 192.168.1.1

Denk dat jij dan ook zoiets zou moeten hebben.

Dit bericht Geplaatst op dinsdag 13 juli 2004 18:13
Door: Osiris

Het gaat om dit topic: Scheiden VPN en Internet dmv twee netwerkkaarten

Zoiets wil ik dus ook, maar dan anders

[ Voor 45% gewijzigd door aximus op 30-03-2005 00:19 . Reden: Bericht gevonden ]

Nee

woensdag 30 maart 2005 17:30

Acties:

Verwijderd

Wat voor VPN client gebruik je?
Routeert je server, of gebruik je een proxyserver voor Internettoegang?

donderdag 31 maart 2005 18:15

Acties:

aximus

Nee

Topicstarter

Verwijderd schreef op woensdag 30 maart 2005 @ 17:30:
Wat voor VPN client gebruik je?
Routeert je server, of gebruik je een proxyserver voor Internettoegang?

Standaard VPN client van windows...

ICS van windows op de server...

Nee

donderdag 31 maart 2005 18:28

Acties:

Verwijderd

Ik ga ervan uit dat je op het campusnetwerk kun je geen routes kan toevoegen naar je eigen LAN, waardoor je geen echte site2site vpn kan opzetten.

Wat resteert is het NATten via de VPN verbinding. Dit kan bijvoorbeeld met winroute, wellicht zal ICS dit ook kunnen.
bedenk:
-Het campus netwerk ziet alleen jouw VPN host IP adres, alles daarachter op jouw netwerk is niet zichtbaar
-Verbindingen kun je alleen maar een kant op opzetten (vanaf jouw lan naar campus)
-Vrijwel alle protocollen zullen werken (o.a. RDP, www, smtp , pop en ftp)
-Echter domein-logon zal niet werken, windows drive mapping daarentegen wel

donderdag 31 maart 2005 18:36

Acties:

aximus

Nee

Topicstarter

Het is ook uitsluitend boedoeld om bij de netwerk shares te komen.

Voglens mij zit het probleem in ICS. Dat ga ik nu eerst proberen op te lossen. Ik ga het nu met Sygate Office Network proberen, dan kan ik het verkeer ook nog een beetje 'shapen'

Een ander probleem is dat ik van de vpn server een publiek ip adres krijg welke ook in de range van 130.89.x.x valt. Al het verkeer naar 130.89.x.x (dus inclusief die van de vpn verbinding zelf) gaan dan over de vpn interface... een soort loop dus.

Ik weet dat er veel studentenhuizen zijn die dit ook zouden willen realiseren dus ik zal m'n ondervindingen hier blijven posten

Nee

donderdag 31 maart 2005 20:07

Acties:

aximus

Nee

Topicstarter

Ik ben misschien niet helemaal duidelijk geweest:
-Al m'n normale internet verkeer moet via m'n ADSL verbinding gaan
-Al het verkeer naar 130.89.x.x moet via m'n VPN verbinding gaan (waar ik een ip krijg van 130.89.x.x)

Dit gaat dus om de clients!

Wanneer ik VPN NAT gaat al m'n verkeer over de vpn verbinding (zelfs terwijl 'use remote gateway on network' uitstaat!)

Nee

vrijdag 1 april 2005 15:57

Acties:

Verwijderd

router in het netwerk hangen en router laten NAT-ten.
server VPN laten opbouwen.
alle clients met
route add 130.89.0.0 mask 255.255.0.0 "server-ip"
route naar universiteitsnetwerk aanmaken (evt met -p optie)

dinsdag 26 april 2005 00:33

Acties:

aximus

Nee

Topicstarter

Voor de compleetheid van dit topic (oplossing van mijn probleem):

Ik heb op een Windows 2000 server machine Routing en Ras geinstalleerd met NAT. Ik heb hem ingesteld als: Lan and demand-dial routing (bij de properties van de server in de console tree). Bij de routing interfaces heb ik een nieuwe Demand dial interface gemaakt (persistant connection) Die demand dial interface heb ik toegevoegd bij IP routing - Network Address Translation. Vervolgens heb ik 2 static routes toegevoegd: 130.89.0.0/255.255.0.0 (gateway:none, interface:remote router) en 130.89.1.1/255.255.255.255 (gateway: m'n normale internet ip, interface: m'n normale internet interface). De eerste static route zorgt ervoor dat al het verkeer in de range 130.89.x.x via vpn wordt geroute. De laatste static route is om in te bellen naar de vpn server (het ip adres heb ik voor dit voorbeeld verzonnen).

Probleem dat ik nu nog heb: Wanneer ik ga downloaden van een share in het vpn netwerk krijgt deze na een tijdje een time-out (snelheid loopt langzaam af naar 0 kbyte/s). Heb al van alles geprobeerd, niks helpt.

Nee

Pagina: 1

Reageer