Maskine på VPN kan ikke tilgås af maskine på lokalnetværk
Esben von Buchwald
http://www.k-net.dk/forum_viewtopic.php?25.3418 ( den 6. post i tråden)
Maskine A og B er på samme lokalnet, B har en forbindelse ud af huset
via PPTP(VPN) til en ISP kaldet Bolignet, og har derfor sin egen
eksterne IP med åbne porte ud og ind.
A prøver sende en request til B via dens eksterne (PPTP) IP, og kan godt
connecte, men får nogen respons, for B ser, at A ligger på samme lokale
subnet, og derfor prøver B at sende en respons tilbage via sin lokale IP
og ikke via PPTP forbidelsen, hvilket betyder at A ikke ser denne
respons, da den ikke kommer fra samme IP som requesten bliver sendt til...
Maskine A kører winXP, Maskine B kører Win2k3 server
Findes der nogen løsninger, evt. at tvinge Windows 2003 Server på
maskine B til altid at sende svar tilbage via den forbindelse som en
request kommer fra?
Alternativet er, at min server og dens domæner skal oprettes på
lokalnettets DNS server, hvilket nok er ret omstændigt at få lov til.
Ellers, kan firewallen på lokalnettet sættes til at route al trafik til
IP adresser på Bolignet, direkte til den lokale IP som har oprettet VPN
forbindelsen. Dette er endnu mere omstændigt, da der så vil være brug
for en tabel som holder øje med hvilke lokale IP adresser som er
connectet og har fået tildelt hvilken IP via Bolignet, og man vil også
kunne risikere, nogen sidder med deres egen router bag NAT og derfor kan
oprette flere PPTP forbindelser til Bolignet, uden at have forskellige
IPer på det lokale netværk...
Min IP konfiguration på serveren ser således ud:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : nybro.dk
IP Address. . . . . . . . . . . . : 82.211.211.22
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 82.211.208.1
PPP adapter BoligNet:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 85.235.228.105
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 85.235.228.105
--
MVH: Esben von Buchwald
http://www.sbn.as
"Claus Albæk (Kbh.)"
> Findes der nogen løsninger, evt. at tvinge Windows 2003 Server på
> maskine B til altid at sende svar tilbage via den forbindelse som en
> request kommer fra?
>
Er der mulighed for at lave en static route?
--
--
X2 4800+ 3GB RAM, 15K RPM RAID0... pimped out ride...
Esben von Buchwald
> Esben von Buchwald wrote:
>
>> Findes der nogen løsninger, evt. at tvinge Windows 2003 Server på
>> maskine B til altid at sende svar tilbage via den forbindelse som en
>> request kommer fra?
>>
>
> Er der mulighed for at lave en static route?
>
>
Tja jeg kan da skrive nogle "route add" kommandoer i en bat fil ved
opstart hvis det er det du mener?
Niels Dybdahl
> >> maskine B til altid at sende svar tilbage via den forbindelse som en
> >> request kommer fra?
> >>
> >
> > Er der mulighed for at lave en static route?
> >
> >
>
> Tja jeg kan da skrive nogle "route add" kommandoer i en bat fil ved
> opstart hvis det er det du mener?
Det kan vel løse problemet. Når A snakker til B via de eksterne adresser, så
ser B vel kun A's eksterne adresse og det er denne som skal tvinges via VPN
forbindelsen.
Niels Dybdahl
Peter Rongsted
<use-net@rem_oVe-amokk.dk> wrote:
>Claus Albæk (Kbh.) wrote:
>> Esben von Buchwald wrote:
>>
>>> Findes der nogen løsninger, evt. at tvinge Windows 2003 Server på
>>> maskine B til altid at sende svar tilbage via den forbindelse som en
>>> request kommer fra?
>>>
>>
>> Er der mulighed for at lave en static route?
>>
>>
>
>Tja jeg kan da skrive nogle "route add" kommandoer i en bat fil ved
>opstart hvis det er det du mener?
På en Windows maskine skal du bare tilføje -p til route add
kommandoen. Så bliver den persistent, og skal ikke lægges ind hver
opstart. Det er jo ikke unix ;-)
Peter
Esben von Buchwald
> ser B vel kun A's eksterne adresse og det er denne som skal tvinges via VPN
> forbindelsen.
>
Njae....
Den IP som maskinerne på lokalnettet får tildelt, er en offentlig IP,
som også bruges på WAN siden, dvs. lokalnet-maskinerne er ikke bag NAT
(men dog bag firewall som lukker for alt indgående)
Dvs. at den request som kommer til B, via B's VPN forbindelse, kommer
fra selve A's IP... Da B, ud over VPN forbindelsen, også er på samme
netværk som A, tror B at den skal sende returpakken tilbage til A via
lokalnettet, da dette er den "korteste vej", pga. de ligger i samme subnet
Det er her hele problemet ligger...
Maskine A og B er begge på et LAN, med flg. IPer:
A: 82.211.210.29
B: 82.211.211.22
LAN-IP adresserne starter ved 82.211.208.1 og er i et subnet af
størrelsen 255.255.252.0, dvs. LAN's IP range ligger fra 82.211.208.1
til 82.211.211.255
Default Gateway er 82.211.208.1
VPN forbindelsen til Bolignet har flg. data:
IP: 85.235.228.105
Subnet: 255.255.255.255
Gateway: 85.235.228.105
Har du en idé til hvordan jeg får sat en route op, så al trafik der er
kommet ind via 85.235.228.105 også returneres via denne, i stedet for
som nu, hvor den sendes over LAN hvis den kommer fra en IP på LAN?
Esben von Buchwald
at illustrere det her:
http://dump.sbn.as/k-net_bolignet.png
Peter Rongsted
<use-net@rem_oVe-amokk.dk> wrote:
>For at tydeliggøre, hvordan det hele er stykket sammen, har jeg prøvet
>at illustrere det her:
>
>http://dump.sbn.as/k-net_bolignet.png
Der er intet du kan gøre på serveren. Når svaret skal sendes tilbage
ser TCP/Ip stakken bare en (eller flere) IP pakke(r) hvor der er
byttet om på source og destination. Der er derfor ingen viden om
hvilket interface, som modtog den oprindelige pakke. Den bliver derfor
routet udfra routing-tabellerne - altså direkte på nybro.dk-LAN'et.
Som jeg ser det, har du to muligheder:
a) koble serveren fra LAN'et så den ikke har en adresse der.
b) skjule source-adressen for serveren. Det kan du gøre enten i
firewall'en på vej ud af LAN'et (nok det mest naturlige) eller lige
før PPTP tunnelen (fx i en router).
Peter
Esben von Buchwald
> On Fri, 21 Oct 2005 00:18:47 +0200, Esben von Buchwald
> <use-net@rem_oVe-amokk.dk> wrote:
>
>
>>For at tydeliggøre, hvordan det hele er stykket sammen, har jeg prøvet
>>at illustrere det her:
>>
>>http://dump.sbn.as/k-net_bolignet.png
>
>
> Der er intet du kan gøre på serveren. Når svaret skal sendes tilbage
> ser TCP/Ip stakken bare en (eller flere) IP pakke(r) hvor der er
> byttet om på source og destination. Der er derfor ingen viden om
> hvilket interface, som modtog den oprindelige pakke. Den bliver derfor
> routet udfra routing-tabellerne - altså direkte på nybro.dk-LAN'et.
Det lyder ikke godt. Vil det sige, at det til hver en tid vil være 100%
umuligt for nogen som helst maskine på samme subnet (LAN) som min
server, at få adgang til serveren via den IP adresse som den har fået
via VPN?
> Som jeg ser det, har du to muligheder:
>
> a) koble serveren fra LAN'et så den ikke har en adresse der.
Det kan jeg ikke, da VPN forbindelsen ud til Bolignet's firewall kører
igennem kollegiets LAN
> b) skjule source-adressen for serveren. Det kan du gøre enten i
> firewall'en på vej ud af LAN'et (nok det mest naturlige) eller lige
> før PPTP tunnelen (fx i en router).
>
OK, den må du gerne forklare nærmere... :-)
Hvilken firewall er det du taler om her? Den K-net firewall jeg har
tegnet på billedet? Den har jeg ikke adgang til at pille ved...
Mht. at sætte en router imellem kollegiets LAN og mine maskiner, har jeg
dårlige erfaringer med dette, da jeg så er begrænset til kun at kunne
lave én VPN forbindelse ud til Bolignet's firewall...
P. Rongsted
<use-net@rem_oVe-amokk.dk> wrote:
>Det lyder ikke godt. Vil det sige, at det til hver en tid vil være 100%
>umuligt for nogen som helst maskine på samme subnet (LAN) som min
>server, at få adgang til serveren via den IP adresse som den har fået
>via VPN?
Jeg kan kun se de muligheder jeg allerede har beskrevet.
>> Som jeg ser det, har du to muligheder:
>>
>> a) koble serveren fra LAN'et så den ikke har en adresse der.
>
>Det kan jeg ikke, da VPN forbindelsen ud til Bolignet's firewall kører
>igennem kollegiets LAN
Giv nu ikke op så hurtigt. Serveren skal bare ikke kende noget til
kollegiets LAN. Se nedenfor.
>> b) skjule source-adressen for serveren. Det kan du gøre enten i
>> firewall'en på vej ud af LAN'et (nok det mest naturlige) eller lige
>> før PPTP tunnelen (fx i en router).
>
>OK, den må du gerne forklare nærmere... :-)
>
>Hvilken firewall er det du taler om her? Den K-net firewall jeg har
>tegnet på billedet? Den har jeg ikke adgang til at pille ved...
Det er den eneste firewall, som jeg kender til, så ja det er den.
>Mht. at sætte en router imellem kollegiets LAN og mine maskiner, har jeg
>dårlige erfaringer med dette, da jeg så er begrænset til kun at kunne
>lave én VPN forbindelse ud til Bolignet's firewall...
Ja desværre er der mange, som ikke kan finde ud af at sætte VPN
ordentligt op :-(
Routeren skal ikke være mellem kollegiets LAN og alle dine masikiner.
Det er jo kun serveren, som skal isoleres fra LAN'et! Sæt routeren op,
som har den adresse på kollegiets LAN. På bagsiden forbinder du din
sever (du kan selv bestemme adresserne). Nu kender serveren ikke
kollegiets LAN og vil sende alt gennem tunnelen. Da routeren ikke ser
pakkerne inde i tunnelen, vil den ikke forsøge at sende noget lokalt.
Da VPN forbindelsen åbnes fra serveren er der ikke behov for at sætte
port-forwarding op i routeren.
Dine andre pc'er kobler du direkte til kollegiets LAN. Endelig ikke
bag routeren - ellers får du bare samme problem, men med nogle andre
adresser.
Du kan fx bruge sådan en fætter:
http://edbpriser.dk/Listprices.asp?ID=18494
Peter