Vraagje over VPN: beeldvorming

Nee, je hebt deels gelijk.
Je zal geen conflicten krijgen omdat het verkeer niet over de wan link heen gaat omdat hij denk dat het andere 10 adres in zijn eigen subnet zit, maar hij zal echter de host nooit vinden.
Waar je wel problemen mee krijgt is dat je nooit je server 10.0.0.1 zal bereiken omdat je pc denkt dat het adres 10.0.0.1 lokaal is, en niet remote via de vpn beschikbaar is.

Je moet dus altijd 2 verschillende subnetten hebben, anders werkt het niet.

[ Voor 16% gewijzigd door Remco op 31-08-2011 19:28 ]

Remco schreef op woensdag 31 augustus 2011 @ 19:27:
Nee, je hebt deels gelijk.
Je zal geen conflicten krijgen omdat het verkeer niet over de wan link heen gaat omdat hij denk dat het andere 10 adres in zijn eigen subnet zit, maar hij zal echter de host nooit vinden.
Waar je wel problemen mee krijgt is dat je nooit je server 10.0.0.1 zal bereiken omdat je pc denkt dat het adres 10.0.0.1 lokaal is, en niet remote via de vpn beschikbaar is.

Afhankelijk van de instellingen kan 't ook precies andersom zijn.

CyBeR schreef op woensdag 31 augustus 2011 @ 19:35:
[...]


Afhankelijk van de instellingen kan 't ook precies andersom zijn.

Die mag aan Tux uitgelegt worden

Om lokale range te benaderen, eerst de gateway pakken
Conflict zal het nooit worden iig. Pakketje wordt niet eens gerouteerd

---

Voor de rest, net als Remco, gewoon verschillende subnetten idd. Je krijgt anders conflicten. Je kan wel super en sub netwerken elkaar laten overlappen, maar uit ervaring en om het duidelijk te houden, iedereen gewoon z'n eigen subnetje geven

[ Voor 6% gewijzigd door LinuX-TUX op 31-08-2011 19:44 ]

Dan vraag ik mij af: hoever moeten die subnetten uit elkaar liggen? Moet dat 10.x.x.x zijn en 192.168.x.x?

Dothan schreef op woensdag 31 augustus 2011 @ 19:45:
Dan vraag ik mij af: hoever moeten die subnetten uit elkaar liggen? Moet dat 10.x.x.x zijn en 192.168.x.x?

dit werkt niet meer met classen maar echt met subnets denk aan /30 subnets op een 10.x.x.x adres.

Dothan schreef op woensdag 31 augustus 2011 @ 19:45:
Dan vraag ik mij af: hoever moeten die subnetten uit elkaar liggen? Moet dat 10.x.x.x zijn en 192.168.x.x?

Buiten de eigen ip blok? Eigen IP + Netmask blok.
Thuis locatie: PC 192.168.1.2 met netmask 255.255.255.0 (kan je dus van 192.168.1.1 t/m 254 gebruiken)
Andere locatie: Server 192.168.2.1 met netmask 255.255.255.0

Simpel voorbeeldje hoor. Dit is basic netwerk.

Voor calculaties & om exotische configuraties te maken kan men hier terecht: http://www.subnetmask.info/

[ Voor 14% gewijzigd door LinuX-TUX op 31-08-2011 19:53 ]

LinuX-TUX schreef op woensdag 31 augustus 2011 @ 19:43:
[...]

Die mag aan Tux uitgelegt worden

Als VPN server kun je routes meesturen aan je clients.

Als je uitgaat van dat de gemiddelde client in een /24-netwerk zit, bijvoorbeeld 10.0.0.0/24, kun je dus de volgende twee routes meesturen:
• 10.0.0.0/25
• 10.0.0.128/25

Tada, twee more specific routes waar toch je hele subnet onder valt.

CyBeR schreef op woensdag 31 augustus 2011 @ 19:52:
[...]


Als VPN server kun je routes meesturen aan je clients.

Als je uitgaat van dat de gemiddelde client in een /24-netwerk zit, bijvoorbeeld 10.0.0.0/24, kun je dus de volgende twee routes meesturen:
• 10.0.0.0/25
• 10.0.0.128/25

Tada, twee more specific routes waar toch je hele subnet onder valt.

Wil niet tever offtopic gaan hier. Tot dusver mee eens dat alternatieve netten gepushed kunnen worden naar clients & dat de server ervan op de hoogte is als knooppunt. Maar dat wil toch niet zeggen dat mijn desktop de gateway(vpn link) gaat vragen voor een lokaal adres

10.0.0.2 vraagt 10.0.0.1 aan om pakketje door te sturen naar 10.0.0.3 ... Terwijl 1 & 3 in hetzelfde subnet zitten. Als dat wel kan tegenwoordig ga ik gelijk weer de boeken in duiken, zou wel super funky worden.

10.0.0.2 vraagt aan 10.0.0.1 aan of hij zo braaf wil zijn om z'n pakketje door te sturen naar 10.0.0.140 kan ik me beamen in jouw voorbeeld.

---

Verwijderd schreef op woensdag 31 augustus 2011 @ 19:52:
[...]

Maar dan stel je dat je weet welke netwerken er op jouw VPN worden aangesloten. Wat nu als je dit niet weet? Of zeg ik nu iets vreemds?

Nee hoor, je zegt niets vreemds. Maar soms moeten configuraties gewoon aangepast worden om dit idd te doen. Kies bijvoorbeeld op het centrale punt een exotische range. 10.83.x.x bijvoorbeeld.
1 op de miljoen thuis werkers kan het misschien in z'n hoofd hebben gehaald om dat thuis ook te doen.

Bij andere mensen die erbij komen, moet je gewoon zeggen dat ze niet kunnen tenzij ze hun netwerkje aanpassen. Er zijn namelijk meer dan genoeg mensen die thuis al standaard op 10.0.0.x zitten of 192.168.1.x . Niet iedereen kan dezelfde range gebruiken die erbij komt

---

@hieronder:
o-god VLAN switch ... LinuX-TUX gaat zich schamen

[ Voor 29% gewijzigd door LinuX-TUX op 31-08-2011 20:05 ]

Uiteraard is het gebruik van NAT eventueel een optie om te verbloemen dat het andere netwerk hetzelfde subnet gebruikt De gebruikte apparatuur moet dit natuurlijk wel ondersteunen

LinuX-TUX schreef op woensdag 31 augustus 2011 @ 20:00:
[...]

Wil niet tever offtopic gaan hier. Tot dusver mee eens dat alternatieve netten gepushed kunnen worden naar clients & dat de server ervan op de hoogte is als knooppunt. Maar dat wil toch niet zeggen dat mijn desktop de gateway(vpn link) gaat vragen voor een lokaal adres

10.0.0.2 vraagt 10.0.0.1 aan om pakketje door te sturen naar 10.0.0.3 ... Terwijl 1 & 3 in hetzelfde subnet zitten. Als dat wel kan tegenwoordig ga ik gelijk weer de boeken in duiken, zou wel super funky worden.

10.0.0.2 vraagt aan 10.0.0.1 aan of hij zo braaf wil zijn om z'n pakketje door te sturen naar 10.0.0.140 kan ik me beamen in jouw voorbeeld.

Het idee is dan dat al die 10.0.0.x adressen aan de andere kant van de VPN zijn en dat ze lokaal dus niet meer werken. Het is het een of het ander. De VPN server zal 't niet terugsturen over de link (nouja, dat kan wel maar dan moet je heel vreemde dingen aan 't doen zijn met het bridgen van L2 vpns enzo.)

Oh, de grap is natuurlijk dat je lokale gateway ook onder die routes zou vallen. Om dat probleem te voorkomen regelt de meeste VPN software dat de lokale gateway met een /32 in je route tabel komt. Die is per definitie more specific dan al het andere. Dan zou je dus het volgende overhouden:

• 10.0.0.0/25 via vpn
• 10.0.0.128/25 via vpn
• 10.0.0.1/32 via ethernet (lokaal dus)
• 10.0.0.0/24 via ethernet
• 0.0.0.0/0 via 10.0.0.1 (of via de vpn als je alles over je vpn stuurt, dan komt er nog een bij, namelijk: )
• v.p.n.server/32 via 10.0.0.1

Bekijk aan de hand daarvan maar wat waarheen gaat.

Die /25's zouden trouwens wel iets zijn dat de vpn admin speciaal in moet stellen, dat kom je niet vaak tegen. Meestal vinden ze dat je maar gewoon lekker moet omnummeren

[ Voor 4% gewijzigd door CyBeR op 31-08-2011 20:08 ]

Touche, maar dat bedoelde ik idd in m'n voorbeeldje. Schrijf alleen 'in hetzelfde subnet' wat had moeten zijn 'met hetzelfde netmask' (subnetten kunnen elkaar overlappen idee).

En jouw voorbeeld klopt als een bus, maar is niet echt te decoderen voor de TS ben ik bang (koste mij ook nog even ... te lang niet meer mee mogen spelen )

Lang verhaal, bijna gekaapt topic idee, wat is hiernaast nog de achterliggende gedachte Passeridae? Puur bedrijfsnetwerken aan elkaar knopen of werknemers toegang verschaffen tot het bedrijfsnetwerk?

Dothan schreef op woensdag 31 augustus 2011 @ 19:45:
Dan vraag ik mij af: hoever moeten die subnetten uit elkaar liggen? Moet dat 10.x.x.x zijn en 192.168.x.x?

Dat hangt van je subnet af.

10.0.1.x en 10.0.2.x zou al kunnen mits je een masker van 255.255.255.0 aanhoud.