IP range bei aktivem VPN?
Hallo zusammen
Wenn ich meinen Pc von einem fremden Netzwerk aus (kein Mobilfunk, z. B. bei einem Freund) via VPN mit meinem Netzwerk zu Hause verbinde und die beiden Netzwerke die selben IP ranges verwenden, führt dies dann zu Problemen?
Weil wenn ich ja jetzt ein Gerät Ping und sowohl bei mir und meinem Freund, ein Gerät mit einer IP 192.168.1.139 existiert, woher weis der PC dann, über welchen Netzwerkadapter er diesen Befehl aussenden soll?
Müssten dann unterschiedliche Netze vorhanden sein? Also zum Beispiel bei meinem Freund 192.168.1.0/24 und bei mir 10.0.1.0/24
Habe leider keine praktische Umgebung um dies zu testen, die Frage ist mir einfach so eingefallen.
Danke für eure Antworten! :)
2 Antworten
Ja es müssen unterschiedliche IP-Adressen vorhanden sein. Ein VPN ist logisch gesehen erst mal nichts anderes außer eine Lange LAN Strippe um Netzwerke zusammen zu führen. In deinem heimnetzwerk dürfen ja auch keine 2 Geräte die gleiche IP haben, da es sonst Probleme geben könnte. Wenn du das ganze jetzt noch weiter spinnen willst könnte man das ganze mit Sub-Netze etc. bzw anderen Netzklassen schon realisieren, ist aber für euer Scenario denke ich nicht die Lösung.
Jetzt wird es interessant. Wenn du das VPN so verwenden willst, ist natürlich nicht die Adresse hinter dem NAT also die "interne" IP Adresse relevant sondern deine öffentliche Adresse welche du vom Provider bekommst. Diese ist niemals identisch. Da musst du bei einer VPN Vernetzung aber aufpassen, da sich diese Regelmäßig ändert. Früher was es alle 24 Stunden, mittlerweile bei den meisten Providern nur bei Reconnect.
Keine Sorge, habe bereits eine DynDns (von meinem Provider stellt diese Funktion kostenlos zur Verfügung :)) Ja, auch bei mir nur bei einem Reconnect. Also die Verbindung aufzubauen, sollte schonmal kein Problem darstellen. Aber die internen Ips halt schon, wenn ich dann z. B: ne RDP Verbindung zu meinem Hauptrechner bzw. evtl. bald einem TS aufbauen will.
Über DynDNS bekommst du ja nur die öffentliche IP des Gateway, die damit verbundene Geräte lassen sich so nur über die Ports, aber nicht über deren IP ansprechen. Das ist so aber auch kein VPN.
Ja, aber wenn ich ja im VPN drinnen bin (über DynDnsIP via Port 1194 -> Zeigt dann von meiner Firewall auf VPN-Server). Dann habe ich dann das Problem, welches jetzt kein Problem mehr ist, mit den privaten IP-Adressen.
Das was du beschreibst ist im den sinne erst mal eine Portfreigabe. Damit hat man eine Verbindung mit genau einem Dienst.
Ein VPN-Server muss aber mehrere Dingen machen, er verwaltet die Anfragen aller Klienten, die dann eine virtuelle IP bekommen und er verwaltet auch den Tunnel, die auch einer Verschlüsselung gleichkommt. Ohne diesen Tunnel ist kein VPN möglich.
Hast du eine virtuelle IP von dem VPN-Server, dann kannst du auch auf andere IP die eine solche Anfrage an den VPN-Server gestellt haben.
Für solche zwecke zumindest im größeren Stil nutzt man einen VPN Konzentrator. Für den Heimbereich oder für kleinere Netze greif ich da immer gerne auf Lancom zurück.
Auch mit den Fritzbox kann man schon VPN-Netze für den Hausgebrauch machen, es kommt aber auch da darauf, das man ein bestimmte Grund-Verständnis dafür hat, was ein VPN eigentlich macht.
Das dynDNS ist da nur dafür da das man überhaupt eine Anfrage an einen Router senden kann, der per DSL mit wechselnder IP an das Internet angeschlossen ist. Dahinter kann ein VPN-Server stecken, aber auch jeder andere Art von Serverdiensten
Ja, das ist mir bewusst, den Server bin ich gerade am aufbauen (basiert auf OpenVPN)
Innerhalb eines VPN wird eigentlich ein Subnet verwendet. Das Problem die Vergabe der IP-Adresse. Das ist aber genau wie ohne VPN, auch dort muss sichergestellt sein, dass die gleiche IP nur einmal im Netz vergeben ist.
Die Vergabe wird entweder manuell oder per DHCP gemacht. Gibt es zwei DHCP in einen Netz oder VPN, dann kann man das sicherstellen dass man die Subnetzte noch etwas verkleinert, so das jeder DHCP seinen Bereich hat. Hat dsa VPN die Maske /24, dann vergibt man jedem DHCP zb. die Maske /26 und zwei unterschiedliche Bereiche.
Aber wozu das Subnetz, wenn ich doch sowieso aufs "Hauptnetz" zugreifen muss. Soll ich die dann routen und Portfreigaben vom entsprechenden Subnetz einrichten?
Perfekt, danke! Es gibt kein echtes Szenario (zumindest noch nicht) Die Frage ist mir eingefallen, weil ich momentan dabei bin, bei mir zu Hause einen VPN Server aufzubauen. Und dabei habe ich mir halt diese Frage gestellt, weil ich dann z. B. bei Freunden nach Hause zugreifen will. Und da die meisten Leute die ich kennen ein 192.168.1.0/24 Netz verwenden, habe ich mir halt die Frage gestellt, ob es dann Sinn macht, meine Netzadresse zu ändern (habe momentan auch ein 192.168.0.1/24 Netz).
--> Macht es also definitiv, da es ansonsten zu Problemen kommen kann.
Danke dir :)