VPN Box zu Box Planungsfragen

[Patt]

Hallo Leute,

ich möchte gerne 2 Büros per VPN über die Fritz Boxen verbinden, weiss nun aber nicht genau wie das mit den IP Adressen zu regeln ist.

Folgende Konfiguration liegt vor:

Standort A:
Es gibt zwei IP Bereiche. 192.168.1.xxx und 192.168.0.xxx, wobei die Fritz 192.168.0.1 hat und DHCP ist aus!
Desweiteren wird der Bereich 192.168.1.xxx per DHCP von einem Cisco Router vergeben. Auf diesen habe ich keinen Zugriff, da dieser von der Firma stammt. Es ist auch ein separater DSL Anschluss darüber geschaltet über welchen die Clients ein VPN zum Firmenrechner aufbauen.
Das lokale Netz der Fritz ist mit dem Standort B über Portforwarding verbunden. Da wird eine lokale Datenbank genutzt. Bisher ist diese Verbindung aber unverschlüsselt!!!!!

Die identische Konstellation hat nun auch Standort B:

Einziger Unterschied: Auf dem Server von Standort A läuft die Datenbank, der Server von Standort B erhält diese Daten via Portforwarding, damit dann die Clients von B auf die DB die auf A liegt zugreifen können.
Die beiden Server haben jeweils 192.168.1.100 und 192.168.0.100 als IP Adresse.

Mir ist nun nicht ganz klar, wie ich die IP Bereiche verändern muss damit das VPN funktionieren kann.

Reicht es tatsächlich aus, nur den IP Bereich 192.168.0.xxx bei Standort B zu ändern, auf bspw. 192.168.2.xxx
Kann es dann zu Problemen mit dem Bereich 192.168.1.xxx geben, da dieser weiterhin bei beiden vorhanden ist oder werden die gar nicht erreicht?

Wäre super wenn mir mal ein Profi eine Antwort geben könnte.

Ich hoffe ich habe alles soweit erklärt, falls Angaben fehlen bitte mitteilen.

VIELEN DANK.

Grüße

 

[Patt]

Keiner ne Ahnung von diesem Thema?

 

[frank_m24]

Das niemand geantwortet hat liegt wahrscheinlich an deiner äußerst verwirrenden Beschreibung.

Standort A:
Es gibt zwei IP Bereiche. 192.168.1.xxx und 192.168.0.xxx, wobei die Fritz 192.168.0.1 hat und DHCP ist aus!

Und welche Clients hängen wo? Wo hängt der Server?

Es ist auch ein separater DSL Anschluss darüber geschaltet über welchen die Clients ein VPN zum Firmenrechner aufbauen.

Welche Clients? Welche Firmenrechner?

Das lokale Netz der Fritz ist mit dem Standort B über Portforwarding verbunden. Da wird eine lokale Datenbank genutzt.

Jetzt bin ich raus. Gibt es die Portweiterleitungen an Standort A oder an Standort B? Und wo ist die Datenbank? An der Fritzbox? Am Cisco? Und wie hängen die beiden zusammen?

Die identische Konstellation hat nun auch Standort B:

Alles? Mit Cisco, Datenbank, Firmenrechner und Portweiterleitungen???

Einziger Unterschied: Auf dem Server von Standort A läuft die Datenbank, der Server von Standort B erhält diese Daten via Portforwarding, damit dann die Clients von B auf die DB die auf A liegt zugreifen können.

Ein SERVER, der Daten per Portweiterleitungen erhält? Das halte ich für ausgeschlossen. Ist der "Server" an Standort B ein Proxy? Oder ein Spiegel? Was soll das alles? Warum greifen die Clients an Standort B nicht direkt auf den Server zu?

Die beiden Server haben jeweils 192.168.1.100 und 192.168.0.100 als IP Adresse.

Auf beiden Seiten beide Adressen? Wohl kaum, oder?

Male ein übersichtliches Bild, am besten mit Visio oder ähnlichen Tools, wo du noch mal sauber die Rechner, deren Verbindungen, die IP-Bereiche, Routen etc. darstellst. Momentan kann man unmöglich seriös antworten.

 

[Patt]

Hallo,

ja ist ja auch schwierig zu erklären. Hilft meine Skizze?

Grüße

 

[frank_m24]

Hallo,

jetzt bin ich noch verwirrter.

Warum haben alle Notebooks 2 LAN Anschlüsse, einen zum Server und einen zum VPN Router?

Die Laptops verbinden sich via Cisco VPN Client mit dem Firmenrechner.

Warum verbinden sich die Notebooks via Cisco-VPN Client, wenn sie doch eine eine LAN Verbindung direkt zum VPN Router haben?

Diese Verbindung ist so gesichert (Ports) dass eine Verbindung zur Kundendatenbank nicht aufgebaut
werden kann

Was hat der Firmenrechner mit dem Zugriff auf die Datenbank zu tun? Der Datenbankzugriff der Notebooks erfolgt völlig unabhängig vom Firmenrechner (laut Bild).

deswegen läuft diese Verbindung über 2 lokale Server.

Und das führt nicht zu Inkonsistenzen beim Zugriff? Bist du sicher, dass das clever ist? Bei so einem Szenario gehen bei mir aber alle Alarmglocken an.

Die Internetverbindung zu den beiden Filialen ist bisher ungesichert und soll nun via VPN erfolgen.

Die Internetverbindung wird immer ungesichert bleiben und niemals per VPN erfolgen können. D meinst wahrscheinlich, dass die Nutzdatenverbindung beider Filialen untereinander abgesichert erfolgen soll.

Der Firmenrechner ist räumlich getrennt von beiden Standorten?

 

[Patt]

mmh, vielleicht drück ich mich einfach falsch aus!?

Also. Im Büro A sind diverse Fest PC und für die Aussendienstler diverse Docking Stationen. Der Cisco Router ist von der Zentrale im Büro installiert und hängt auch an einem DSL Anschluss.
Wenn der Laptop hochgefahren ist stelle ich eine VPN Verbindung zum Firmenrechner her. Nur wenn die VPN steht kann man die Intranetseiten aufrufen. Normale Internetzugriffe laufen über einen Speziellen Proxyserver.

Diese Konstellation würde ja ausreichen und man bräuchte keinen zusätzlichen Internetzugang.

Die Clients müssen ja sowohl lokal mit dem eigenen Server auf welchem die Datenbankanwendung läuft verbunden sein als auch mit der VPN Verbindung.

Dieser Standort würde ja für sich alleine gesehen ausreichen.

Es gibt nun aber noch eine 2. Filiale. Dort ist im Prinzip die gleiche Konstellation vorhanden.
Die beiden Filialen können ja nicht mit der Internetverbindung die die Cisco Router haben verbunden werden, da ja alle möglichen Ports gesperrt sind.
Also wurde in jeder Filiale noch ein "privater" DSL Anschluss installiert. Dadurch können nun die Mitarbeiter von Standort B auf die Datenbank die auf dem Server Standort A liegt zugreifen.
Die DB Anwendung merkt hier nicht wo man sich befindet, da in beiden Filialen die DB auf einem Netzlaufwerk liegt. Beides mal Laufwerk K:.
Server bei B holt sich die Daten via diesem Programm:
http://www.networkactiv.com/AUTAPFScreenshot.html

und diese Verbindung ist ja ungesichert und soll eben per VPN gesichert werden.
Bei der VPN Verbindung von Fritz Box zu Fritz Box müssen die beiden Netzte ja getrennte IP Bereiche haben.

Nun klarer?

Grüße

 

[frank_m24]

Es ist wirklich erstaunlich, wie du es schaffst, das Chaos immer größer werden zu lassen.

Also. Im Büro A sind diverse Fest PC und für die Aussendienstler diverse Docking Stationen.

Ok, so weit kann ich folgen.

Der Cisco Router ist von der Zentrale im Büro installiert und hängt auch an einem DSL Anschluss.

Was ist das für ein Satz? "... ist von der Zentrale im Büro installiert ...". Bei mir hat noch nie eine Zentrale einen Cisco Router installiert, es waren immer Menschen. :? Wo steht er denn jetzt? In der Zentrale? In Büro A?

Wenn der Laptop hochgefahren ist stelle ich eine VPN Verbindung zum Firmenrechner her.

Wofür braucht ihr dann einen Cisco Router, wenn die Notebooks den Tunnel direkt zum Firmenrechner aufbauen?

Nur wenn die VPN steht kann man die Intranetseiten aufrufen.

Wenn der Intranetserver auf der anderen Seite des VPN Tunnels steht, dann ist das wohl so.

Normale Internetzugriffe laufen über einen Speziellen Proxyserver.

Ah, ein Proxy. Der ist neu. Wo steht der? Lokal? Auf der anderen Seite des VPN Tunnels?

Diese Konstellation würde ja ausreichen und man bräuchte keinen zusätzlichen Internetzugang.

Ich sehe bislang nirgendwo einen Grund für 2 Internetzugänge. Alles, was du beschreibst, kann man bequem über einen Internetzugang abwickeln.

Die Clients müssen ja sowohl lokal mit dem eigenen Server auf welchem die Datenbankanwendung läuft verbunden sein als auch mit der VPN Verbindung.

Kann sein. Aber wo ist das Problem? Dafür braucht man nicht zwei Internetzugänge.

Dieser Standort würde ja für sich alleine gesehen ausreichen.

Für den Satz bekommst du auch eines Tages den Pulitzer Preis. Was willst du mir damit sagen?

Die beiden Filialen können ja nicht mit der Internetverbindung die die Cisco Router haben verbunden werden, da ja alle möglichen Ports gesperrt sind.

Aha. Ist das so? Warum? Wer sperrt die? Aber viel wichtiger: Wen interessiert die Portsperre? Es läuft ein VPN Tunnel darüber. Ein TUNNEL! Und noch viel schlimmer: Jemand, der wüßte Port-Tunnel einsetzt stört sich an Portsperren? Dann tunnelt man eben über einen Port, der frei ist.

Dadurch können nun die Mitarbeiter von Standort B auf die Datenbank die auf dem Server Standort A liegt zugreifen.

Ah, das hört sich schon ganz anders an. Also gibt es doch nur einen Datenbank Server, richtig?

Die DB Anwendung merkt hier nicht wo man sich befindet, da in beiden Filialen die DB auf einem Netzlaufwerk liegt. Beides mal Laufwerk K:.

Sollte es wirklich 2 Datenbanken geben? Das ist wirklich mehr als mutig. Hattet ihr jemals den Fall, dass zwei Mitarbeiter an zwei unterschiedlichen Standorten den gleichen Datensatz verändert haben? Und Schwupps habt ihr die schönste Inkonsistenz.

und diese Verbindung ist ja ungesichert und soll eben per VPN gesichert werden.

Da ist eines deiner großen Verständnis-Probleme. Ein VPN ist kein Port-Tunnel! Ein VPN arbeitet auf Schicht 2, ein Port-Tunnel auf Schicht 4. Eine Verbindung auf IP-Ebene ist bislang offensichtlich nicht vorgesehen zwischen euren beiden "Servern".

Bei der VPN Verbindung von Fritz Box zu Fritz Box müssen die beiden Netzte ja getrennte IP Bereiche haben.

Das ist mal definitiv einwandfrei richtig und nachvollziehbar.

 

[Patt]

Hallo,

wir haben einen DSL Anschluß und den Cisco Router von unserer Firma für welche wir die Produkte verkaufen gestellt bekommen! Bräuchten also für unsere Arbeit keinen weiteren Internetzugang!
Über diese Verbindung wird dann der VPN Tunnel vom Laptop/FestPC zum Firmenrechner aufgebaut! Mit Firmenrechner meine ich das Rechenzentrum unserer Zentrale.

Der Proxy Server steht auch im Rechenzentrum der Zentrale. Hier kann ich nichts ändern etc. Vielleicht ist nun klar wieso wir einen zusätzlichen ungeschützten Internetzugang haben, da jeder Internetzugriff reklementiert ist. Ohne bestehende VPN Verbindung kann man keine Internetseiten aufrufen. ALso können wir über diese Leitung auch keine Verbindung zwischen unseren Filialen aufbauen. Folglich haben wir eben in jeder Filiale einen eigenen Zugang installiert.

Unabhängig von der uns zur verfügung gestellten Webanwendung unserer Zentrale, welche nur über den VPN Tunnel aufgerufen werden kann haben wir ein CRM Programm!
Und diese DB läuft auf unserem eigenen Server in Filiale A!

Es gibt eben nur eine Datenbank! und damit die aus Filiale B auch darauf zugreifen können wird Filiale B ja auch via Portweiterleitung damit versorgt.

Bei Schicht 2 und 4 kann ich dir nicht folgen

Wieder etwas klarer?

 

[frank_m24]

wir haben einen DSL Anschluß und den Cisco Router von unserer Firma für welche wir die Produkte verkaufen gestellt bekommen! Bräuchten also für unsere Arbeit keinen weiteren Internetzugang!
Über diese Verbindung wird dann der VPN Tunnel vom Laptop/FestPC zum Firmenrechner aufgebaut! Mit Firmenrechner meine ich das Rechenzentrum unserer Zentrale.

Dann gibt es in der Zentrale also deutlich mehr, als nur den einen Firmenrechner, u.a. wohl auch einen dritten Cisco Router als Gegenstelle für eure beiden Cisco Router in den Filialen. Und es wird auf den Notebooks kein dedizierter Tunnel aufgebaut, sondern die Cisco Router stellen eine LAN-LAN Verbindung zur Verfügung, über die das Netz der Zentrale erreicht werden kann. Sobald ein Notebook eingeschaltet wird, hat es Zugriff auf den Firmenrechner und auf den Proxy in der Zentrale (und über den Proxy auch ins Internet). Richtig? Das würde dann die beiden Cisco Router in den Filialen erklären.

Also können wir über diese Leitung auch keine Verbindung zwischen unseren Filialen aufbauen. Folglich haben wir eben in jeder Filiale einen eigenen Zugang installiert.

Sicher? Wenn "eure" beiden Ciscos eine LAN-LAN Verbindung zur Zentrale haben, dann müssten sie sich auch gegenseitig sehen können - schon über den Tunnel, völlig ohne Umweg über den Internetproxy. Dem steht im Moment nur eure merkwürdige IP-Konfiguration im Wege, da in beiden Filialen die Netze gleich sind. Wären die unterschiedlich, würde wohl eine statische Route ausreichen, um die Netze über die Ciscos miteinander zu verbinden. Andererseits ist es wahrscheinlich vertraglich bedenklich, wenn ihr Netzwerkressourcen eines Auftraggebers nutzt, um eigene Daten durchzutunneln. Von daher wollen wir diesen Fall nicht weiter betrachten. Es gibt ja schon die alternativen DSL Verbindungen, also nehmen wir die.

Unabhängig von der uns zur verfügung gestellten Webanwendung unserer Zentrale, welche nur über den VPN Tunnel aufgerufen werden kann haben wir ein CRM Programm! Und diese DB läuft auf unserem eigenen Server in Filiale A! Es gibt eben nur eine Datenbank! und damit die aus Filiale B auch darauf zugreifen können wird Filiale B ja auch via Portweiterleitung damit versorgt.

Das klingt vernünftig. Es gibt also keine lokal gespiegelte Datenbasis an Standort B, sondern Zugriffe werden transparent durch die Porttunnel von B nach A geleitet. Das macht Sinn. Damit ist der "Server" an Standort B aber eben doch nur ein "Proxy", wie ich ganz am Anfang schon vermutet habe. Gut so.

Ok. Wenn du die beiden Fritzboxen per VPN verbinden willst, dann stören die identischen Subnetze an A und B (192.168.0.???). Auf einer Seite müsste das verändert werden (auf z.B. 192.168.2.???). Dann könnte man die beiden Standorte mittels VPN verbinden. Die Notebooks brauchen jetzt natürlich unterschiedliche IPs, je nach Standort. Per DHCP kannst du das nicht machen, das benutzt ja schon der Cisco. Also musst du sie manuell setzen, z.B. über ein Script. Einfach dauerhaft 2 zusätzliche IPs fest zu vergeben (für jeden Standort eine) wird nicht gehen. Dann würden die Notebooks an Standort B den Server nicht auf der anderen Seite des VPNs suchen. Also muss die IP bei jedem Standortwechsel wirklich umgestellt werden.

Ab jetzt gibt es zwei Varianten, das Ganze zum Fliegen zu bringen:

• Der "Server" auf Seite B entfällt, statt dessen bekommen die Notebooks eine statische Route, über die sie Standort A erreichen. Damit können sie den Server unter seiner bisherigen IP direkt ansprechen, der VPN Tunnel und die Fritzboxen sorgen dafür. Die statische Route könnte ebenfalls vom Script passend gesetzt werden. Das einfach über die Default-Route abzuwickeln wird nicht gehen, da die ja wahrscheinlich auf den Cisco zeigt, und der weiß nichts von der Fritzbox und dem anderen Standort. Also muss eine manuelle statische Route her.
• Der "Server" auf Seite B bleibt, aber und tunnelt die Daten jetzt durch die VPN Verbindung. Natürlich hat er jetzt eine andere IP, als der Server an Standort A. Die Notebooks müssen also je nach Standort auf unterschiedliche Serveradressen zugreifen

Mittels "netsh" sollten sich die erforderlichen Scripte für Standort A und Standort B relativ leicht erstellen lassen. Ich denke, bei Google findest du auch schon Beispiele dafür, wie man sowas macht.