Windows Server via VPN von 2 Routern aus erreichen

[Rene0210]

Ich habe einen Windows Server 2022 der als Standard-Gateway die 192.168.250.10 verwendet dies ist ein LANCOM Router über diesen Router sind via VPN andere Standorte verbunden und können per RDP auf den Server arbeiten.

Parallel gibt es neues Netzwerk mit einem Omada ER8411 Router über diesen sind auch via VPN andere Standorte mit einem Omada 7206 Router verbunden, soweit läuft alles sehr gut bis auf die Tatsache das ich über die Omada 7206 die über VPN mit dem Omada 8411 verbunden sind nicht den Server erreiche, der sich ja eigentlich im selben Netzwerk befindet.

Wenn ich über Open VPN gehe und mich mit dem Omada 8411 verbinde kann ich auch auf den Server arbeiten, also geht Client to Site aber nicht Site to Site.

Windows Server 2022

IP-Adresse: 192.168.250.1

Subnet: 255.255.255.0

Gateway: 192.168.250.1

LANCOM Router 1906VA

IP-Adresse: 192.168.250.10

Omada ER8411

IP-Adresse: 192.168.250.11

 

[snakesh1t]

Normalerweise musst du für jedes Netzwerk ein eigenes Subnet aufbauen!
Also jeder Standort muss sein eigenes Netz haben.
Hauptstandort: 192.168.250.0
2. Standort: 192.168.251.0
3. Standort: 192.168.252.0
usw.

 

[Rene0210]

Jeder Standort hat auch sein eignes Subnet. Gibt es nicht eine Möglichkeit das der Omada den Server sieht? Also ich kann von einem anderen Standort aus der mit einem Omada 7206 via VPN mit den Omada 8411 verbunden ist den LANCOM 192.168.250.10 anpingen aber nicht den Server also müsste doch im LANCOM Router etwas verändert werden oder?

 

[Raijin]

Mach bitte eine Skizze von dem Aufbau inkl. allen beteiligten Geräten, Bezeichungen, Verbindungen und IP-Adressen nebst Subnetzmaske und Gateway.. Einen ÖPNV-Plan erklärt man auch nicht mit Worten...

Deine IP-Adressen in #1 können nicht stimmen. IP-Adresse und Gateway sind identisch, das funktioniert so nicht, weil sich die Katze damit buchstäblich in den eigenen Schwanz beißt. Falls das ein Tippfehler ist, bitte vor dem Posten korrekturlesen, weil man auf Basis falscher Angaben kaum richtigen Antworten liefern kann.


Von deiner Erklärung her scheint beispielsweise jeder Standort dasselbe Subnetz zu verwenden, weil du ausschließlich von 192.168.250.0/24 sprichst. Die Standorte müssten aber beispielsweise so sein wie @snakesh1t es schreibt, also im Kontext der via VPN verbundenen Netzwerke einzigartig und ohne Überschneidungen. Jedes Gerät muss anhand der IP-Adresse eindeutig erkennen können, dass diese IP nicht im lokalen Netzwerk liegt, sondern hinter dem Gateway. Stell dir eine Stadt vor, in der alle Straßen "Bahnhofstraße" heißen. Das geht schlecht, oder?

 

[Rene0210]

Anhang anzeigen 1370219

 

[Evil E-Lex]

Hat der LANCOM oder der Server eine Route ins Netz 192.168.229.0/24?

 

[Raijin]

Ok, das sieht doch schon viel besser aus. Die LANCOMs lasse ich im folgenden außen vor, da sich das Problem ja um die Omadas handelt.


Folgendes muss nun gewährleistet sein:

ER7206 @ 192.168.229.10 muss eine statische Route zu 192.168.250.0/24 via VPN-IP des ER8411 haben
ER8411 @ 192.168.250.11 muss eine statische Route zu 192.168.229.0/24 via VPN-IP des ER7206 haben
Die jeweiligen Firewalls müssen eben diese Verbindungen auch zulassen.n.

Sollte das bereits eingerichtet sein, muss man mittels tcpdump oder WireShark mal genauer hinschauen bis wohin die Pakete noch gehen und ab wann sie weg sind. Dann hat man den Ort des Problems und muss dann schauen ob ggfs die Firewall doch etwas blockt oder das Routing falsch ist.

Abgesehen davon muss natürlich auch der Server selbst Anfragen aus den Subnetzen der anderen Standorte akzeptieren. Daher auch hier mal prüfen ob der Server vielleicht selbst blockt.

 

[Rene0210]

Ergänzung (26. Juni 2023)

Der VPN Tunnel ist in Ordnung, ich komme wie gesagt ach von dem Omada ER7206 (192.168.229.10) via VPN zum Omada 8411 (192.168.250.11) ich kann sogar den LANCOM anpingen und er antwortet auch aber alles was sich hinter dem LANCOM befindet sehe ich so nicht.

Ergänzung (26. Juni 2023)

Was meinst du damit????
Abgesehen davon muss natürlich auch der Server selbst Anfragen aus den Subnetzen der anderen Standorte akzeptieren. Daher auch hier mal prüfen ob der Server vielleicht selbst blockt.

 

[Raijin]

Der VPN Tunnel ist in Ordnung, ich komme wie gesagt ach von dem Omada ER7206 (192.168.229.10) via VPN zum Omada 8411 (192.168.250.11) ich kann sogar den LANCOM anpingen und er antwortet auch aber alles was sich hinter dem LANCOM befindet sehe ich so nicht.

Ah, jetzt seh ich das Problem.

Der Verbindungsversuch geht so:

PC --> ER7206 ---VPN---> ER8411 --LAN--> Server

Die Antwort jedoch so:

Server --LAN--> LANCOM --xxxx-- Kein Netzwerk gefunden


Du musst im LANCOM eine Route einrichten, die wie @Evil E-Lex schon geschrieben hat das Subnetz 192.168.229.0/24 via 192.168.250.11 (ER8411) routet. Entweder das oder der Server bekommt selbst eine statische Route, die genau diesen Weg geht.

Die Antwort sieht dann so aus:

Server --LAN--> (LANCOM --LAN-->) ER8411 --VPN--> ER7206 --LAN--> PC

 

[nkler]

Falls nicht erkennbar sein sollte, wer den Arbeitgeber oder Kunde ist. Dann am besten die IP-Adresse schwärzen.
Der einzustellende IT-Mitarbeiter soll ja in den Projektteams für Datenschutz und Informationssicherheit mitwirken, man macht sich also darüber Gedanken.

 

[HighTech-Freak]

Auf beiden Routern sollte jeweils eine static route für die Zielnetze vom jeweils anderen Router eingetragen werden.
Am Server sollte zusätzlich auch je eine Static Route angelegt werden für die jeweiligen VPN Netze damit der Paketfluss symmetrisch ist (Performance Optimierung).

 

[Rene0210]

Wie stelle ich Routen auf dem Server ein?

 

[Raijin]

Das solltest du eigentlich wissen, wenn du scheinbar beruflich damit zu tun hast.


Wie dem auch sei:

Start --> cmd
--> route add 192.168.229.0 mask 255.255.255.0 192.168.250.11 -p

Das -p am Ende stellt die Route permanent ein. Ohne -p wäre die Route nach dem nächsten Neustart weg.

 

[Rene0210]

Wenn ich eine Site to Site IPSec Verbindung herstelle gebe ich doch immer das IP-Netzwerk an das er verbinden soll, reicht das nicht es funktioniert doch eigentlich oder gibt es Vorteile wenn ich Routen auf dem Server einrichte?

 

[Raijin]

Jede aktive Komponente auf dem Weg muss eine gültige Route haben.

Aktuell hat der Server nur sein Standardgateway = LANCOM. Das heißt der Server schickt sämtliche Pakete, die an eine IP adressiert sind, die außerhalb seines eigenen lokalen Subnetzes liegt - also alles außerhalb von 192.168.250.0/24 und somit eben auch 192.168.229.x - an den LANCOM. Dieser kennt aber aktuell das 192.168.229.0/24 Subnetz nicht und somit verwirft er alle Pakete, die der Server ihm schickt. Deswegen benötigt der LANCOM nun eine Route, die eben diese Pakete zum ER8411 schickt, der wiederum weiß was er damit zu tun hat - ins VPN zum anderen Standort leiten.

@HighTech-Freak hat aber nicht Unrecht damit, dass er sagt, dass die Route im Server selbst effizienter wäre. Der Server würde dann die Pakete für 192.168.229.0/24 nicht mehr zum Standardgateway aka LANCOM leiten - in der Hoffnung dieser kann damit etwas anfangen - sondern direkt zum ET8411.

Sollen auch noch andere Geräte im 192.168.250er Subnetz via VPN erreicht werden, müssen diese natürlich auch eine Rückroute haben. Man kann dabei durchaus zweigleisig fahren. Der Server bekommt eine eigene direkte Route und der LANCOM bekommt eine Route für alle Geräte, die keine eigene Route haben


Theoretisch könnte man im ER8411 natürlich auch SNAT konfigurieren. Der Server würde dann denken, dass die Verbindung vom ER8411 selbst kommt. Das ist allerdings etwas unschön, weil man dann die Geräte aus 192.168.229.0/24 am Server nicht mehr eindeutig identifizieren könnte - zB in Logs oder eben in der Firewall.


Möchte man die ganze Situation bereinigen, wäre es natürlich auch denkbar, beide VPN-Verbindungen auf den LANCOM zu legen, sofern dieser mehrere VPN-Verbindungen zulässt. Der ER8411 wäre dann zumindest für das VPN überflüssig und der LANCOM wäre für alle Verbindungen das Standardgateway und separate Routen im Server wären hinfällig.

 

[Rene0210]

Erst einmal Vielen Dank für die Hilfe.
Ich Probiere es gerne mit den Routen auf dem Server ich habe noch einen weiteren der zur Zeit noch nicht genutzt wird. Ich habe schon versucht Site B Omada 7206 (192.168.229.10) mit den LANCOM (192.168.250.10) über VPN zu Verbinden, das hatte nicht geklappt ich bin mir auch nicht sicher ob dies funktioniert den LANCOM hat unterschiedliche Verschlüsselungen als Omada.

 

[Raijin]

Alternativ: VPN auf den/einen Server umziehen und gar nicht über die Router-VPNs gehen bzw. nur als Clients in den jeweiligen Standorten. Auf einem eigenen VPN-Server hast du freie Hand. Allerdings würde ich das dann über eine VM machen und nicht nativ auf dem Server selbst, weil man eher von All-In-One-Geräten absehen sollte.

 

[redjack1000]

Alternativ, Omada raus, Lancom rein, macht vieles einfacher.

CU
redjack

 

[Raijin]

Aso, auf Seiten des neuen Remote-Standorts einen Lancom statt des ER7206. Stimmt, das wäre auch eine gute Idee, wohl auch die bessere..