# VPN Remoedesktop



## maccap (12 Juni 2008)

Hallo,

habe folgende Problemstellung. Im Büro habe ich einen Server, den ich über remote desktop erreichen kann. Nun muss ich aber von diesem Server aus VPN-Verbindungen zu anderen Servern aufbauen. Dabei wird anscheinend mein Standard-Gateway so verändert, dass ich nicht mehr von außen auf Server drauf komme. Wenn ich lokal auf dem Server bin laufen auch mein Internet nicht mehr, da alle anfragen direkt auf die vpn-Verbindung geroutet werden. 
Kann man eine statische Route einrichten, sodass mein standard-gateway erhalten bleibt und die vpn-verbindung trotzdem funzt?

Gruß maccap


----------



## afk (12 Juni 2008)

maccap schrieb:


> Kann man eine statische Route einrichten, sodass mein standard-gateway erhalten bleibt und die vpn-verbindung trotzdem funzt?


Um was für ein VPN handelt es dich denn ?


Gruß Axel


----------



## HeizDuese (12 Juni 2008)

maccap schrieb:


> ...
> Kann man eine statische Route einrichten, sodass mein standard-gateway erhalten bleibt und die vpn-verbindung trotzdem funzt?
> 
> Gruß maccap



Gib mal in der Konsole (Start->Ausführen -> cmd) *route /?* ein.
Ich denke, die Hilfbeschreibung reicht aus.


----------



## maccap (12 Juni 2008)

Es handelt ich um eine Windows PPTP Verbindung, sowie um eine Verbindung mittels Nortel VPN-Client. 
Wie kann ich mittels des route add befehls die verbindung zu meinem router als standard gateway festlegen?


----------



## maccap (2 Juli 2008)

keine Ideen?


----------



## afk (2 Juli 2008)

Zu dem Nortel-Client kann ich nichts sagen, aber der PPTP-Client verbiegt AFAIK immer das Default-Gateway, und dadurch wird der Server vom Internet abgeklemmt. Trotzdem sollte der Server vom LAN aus noch erreichbar sein, da LAN-Verbindungen im gleichen Netz-Segment nicht über das Default-Gateway laufen, der Remote Desktop sollte also von einem anderen PC im LAN aus noch funktionieren. 

Oder soll der Server über ein 2. VPN erreichbar sein ?


Gruß Axel


----------



## maccap (2 Juli 2008)

> Trotzdem sollte der Server vom LAN aus noch erreichbar sein, da LAN-Verbindungen im gleichen Netz-Segment nicht über das Default-Gateway laufen, der Remote Desktop sollte also von einem anderen PC im LAN aus noch funktionieren.



Nein ,dass ist leider nicht so. Der Nortel Client biegt generell alles um, auch die routen zu anderen Teilnehmern im gleichen Netzwerk. Hab zZ leider keinen screenshot von meinen Routeneinträgen, die dann entstehen.


----------



## afk (2 Juli 2008)

maccap schrieb:


> Nein ,dass ist leider nicht so. Der Nortel Client biegt generell alles um, auch die routen zu anderen Teilnehmern im gleichen Netzwerk. Hab zZ leider keinen screenshot von meinen Routeneinträgen, die dann entstehen.


Den Nortel-Client kenne ich wie gesagt nicht, aber das Verbiegen von lokalen Routen ist schon heftig. So ein ähnliches Verhalten kenne ich vom Checkpoint-Client, der macht auch abgesehen vom VPN den komplette Netzverkehr dicht, sobald man per VPN online geht. Bleiben beim Nortel denn die persistenten Routen stehen, oder werden die auch verbogen ?


Gruß Axel


----------



## maccap (2 Juli 2008)

die persistenten Routen werden zwar nicht verbogen, jedoch kommen unter den nicht persistenten neue dazu, die sich it den persistenten überschneiden und dreimal darfst du raten, welche Vorrang hat.


----------



## afk (2 Juli 2008)

Demnach sieht der Server aber nicht nur das Internet nicht mehr, sondern gar nichts mehr außer dem anderen Ende des VPN-Tunnels, richtig ? 

Sowas wird dann immer von den VPN-Herstellern als die besonders sichere Lösung angepriesen, weil sich über das VPN keine Viren und Würmer ins LAN verbreiten können. Stimmt soweit ja auch, allerdings nur, solange man die VPN-Verbindung nicht trennt. Danach kann sich alles, was sich bis dahin auf dem PC vom VPN-Client eingenistet hat, hemmungslos im LAN verbreiten ... 

Zurück zum Thema: Wenn der VPN-Client das Routing soweit verbiegt, daß Du nur noch den VPN-Tunnel siehst, dann wird's blöd. Falls möglich, kannst Du ja mal die Routing-Tabellen bei verbundenem und getrenntem VPN posten, AFAIK haben die genauer spezifizierten Routen Vorrang vor den weniger genauen, vielleicht läßt sich ja so noch was machen. Die IP-Adresse der LAN-Karte vom Server und von dem PC, mit dem du auf den Remoten Desktop willst, wären dabei auch noch wichtig. 


Gruß Axel


----------



## maccap (2 Juli 2008)

Okay. Ich poste die routing-tabellen morgen. 
Danke und bis dann.


----------



## maccap (3 Juli 2008)

Hier ohne VPN:

C:\Dokumente und Einstellungen\aifflaender>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0a eb 2f 70 bd ...... Gigabit Ethernet Adapter - Paketplaner-Miniport
0x3 ...00 13 d4 d2 5e 6e ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Con
troller - Paketplaner-Miniport
0x4 ...44 45 53 54 42 00 ...... Nortel IPSECSHM Adapter - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.2     192.168.0.2       20
      192.168.0.2  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255      192.168.0.2     192.168.0.2       20
        224.0.0.0        240.0.0.0      192.168.0.2     192.168.0.2       20
  255.255.255.255  255.255.255.255      192.168.0.2     192.168.0.2       1
  255.255.255.255  255.255.255.255      192.168.0.2               2       1
  255.255.255.255  255.255.255.255      192.168.0.2               4       1
Standardgateway:       192.168.0.1
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Anzahl
     172.16.0.229  255.255.255.255       172.20.0.1       1
       10.10.10.0    255.255.255.0       10.10.10.2       1
       10.10.10.3  255.255.255.255       10.10.10.2       1
       10.10.10.1  255.255.255.255       10.10.10.2       1
C:\Dokumente und Einstellungen\aifflaender>


Hier mit VPN:

C:\Dokumente und Einstellungen\aifflaender>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0a eb 2f 70 bd ...... Gigabit Ethernet Adapter - Paketplaner-Miniport
0x3 ...00 13 d4 d2 5e 6e ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Con
troller - Paketplaner-Miniport
0x4 ...44 45 53 54 42 00 ...... Nortel IPSECSHM Adapter - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.2       21
          0.0.0.0          0.0.0.0  192.168.254.214  192.168.254.214      1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.2     192.168.0.2       20
      192.168.0.0    255.255.255.0  192.168.254.214  192.168.254.214      1
      192.168.0.2  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255      192.168.0.2     192.168.0.2       20
    192.168.254.0    255.255.255.0  192.168.254.214  192.168.254.214      30
  192.168.254.214  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.254.255  255.255.255.255  192.168.254.214  192.168.254.214      30
    217.91.44.148  255.255.255.255      192.168.0.1     192.168.0.2       1
        224.0.0.0        240.0.0.0      192.168.0.2     192.168.0.2       20
        224.0.0.0        240.0.0.0  192.168.254.214  192.168.254.214      1
  255.255.255.255  255.255.255.255      192.168.0.2     192.168.0.2       1
  255.255.255.255  255.255.255.255      192.168.0.2               2       1
  255.255.255.255  255.255.255.255  192.168.254.214  192.168.254.214      1
Standardgateway:   192.168.254.214
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Anzahl
     172.16.0.229  255.255.255.255       172.20.0.1       1
       10.10.10.0    255.255.255.0       10.10.10.2       1
       10.10.10.3  255.255.255.255       10.10.10.2       1
       10.10.10.1  255.255.255.255       10.10.10.2       1
C:\Dokumente und Einstellungen\aifflaender>


----------



## afk (3 Juli 2008)

Die LAN-Karte im Server hat die IP 192.168.0.2, richtig ?

Welche IP hat der PC, mit dem Du auf den Remote Desktop willst ?


Gruß Axel


----------



## maccap (3 Juli 2008)

Richtig.
Die Adresse vom anderen Rechner wäre die 10.10.10.3


----------



## afk (3 Juli 2008)

maccap schrieb:


> Die Adresse vom anderen Rechner wäre die 10.10.10.3


Dann liegt der ja gar nicht im LAN. 
[edit]Hab mir deinen ersten Post noch mal genau angeschaut, mit ein wenig Phantasie kann man da rauslesen, daß Du von Zuhause aus auf den Büro-PC zugreifst.[/edit]

Damit ist dann aber alles klar. Der muß über den 10.10.10.2 geroutet werden, und der 10.10.10.2 wird ohne VPN nur über das Default-Gateway gefunden, das bei aktiviertem VPN aber verbogen wird. 

Leg mal eine zusätzliche feste Route auf den 10.10.10.2 über über das Gateway 192.168.0.1 an, dann müßte es eigentlich funktionieren.


Gruß Axel


----------



## maccap (3 Juli 2008)

Moment, die 10er Adresse habe ich nur für testzwecke eingerichtet. Dafür habe ich einen 2. Rechner genommen und per crosslink-kabel an die 2. NW-Karte meines Servers angeschlossen. Die 1. NW-Karte hängt mit auf dem Router im 192.168.0er Netz.
Hintergedanke war, wenn ich nicht direkt von außen auf den Server komme, dann gehe ich den umweg über den 2. Rechner.


----------



## afk (3 Juli 2008)

maccap schrieb:


> Hintergedanke war, wenn ich nicht direkt von außen auf den Server komme, dann gehe ich den umweg über den 2. Rechner.


Jetzt bin ich erst recht verwirrt ... 

Hat die 2. Netzwerk-Karte dann die Adresse 10.10.10.2 ?
Warum tauchen die Routen für 10.10.10.x nur bei den festen Routen auf ?


Gruß Axel


----------



## maccap (3 Juli 2008)

wahrscheinlich weil während des screenshots der 2. Rechner aus war und deswegen keine Verbindung bestand.


----------



## afk (3 Juli 2008)

maccap schrieb:


> wahrscheinlich weil während des screenshots der 2. Rechner aus war und deswegen keine Verbindung bestand.


Den Routing-Tabellen ist das egal, da zählt nur die IP-Adresse der lokalen Netzwerk-Karte.

Am Besten noch mal Schritt für Schritt, ausgehend vom Ursprungszustand (ohne 2. LAN-Karte):
Die IP der Netzwerk-Karte im Server ist 192.168.0.2, im LAN werden demnach die Adressen 192.168.0.x verwendet, Default-Gateway ist 192.168.0.1, und für das VPN werden die Adressen 192.168.254.x verwendet. Soweit ist alles klar.

Welche Adresse hat dann der PC, mit dem Du auf den Remote Desktop willst ? Steht der im LAN, oder steht der bei Dir Zuhause ?


Gruß Axel


----------



## maccap (3 Juli 2008)

Alles soweit richtig. Der PC steht zuhause, dh ich gehe per dyndns auf meinen Router (intern: 192.168.0.1) und werde dann per portforwarding auf den Server, dh die 192.168.0.2 weitergeleitet.

Da ich aber vom server bei aktivem vpn nicht die 192.168.0.1 erreichen kann, bricht mein remote-desktop ab. Daher habe ich gedacht, gehe ich den Umweg über einen 2. Rechner. Dh ich mache das portforwarding für den remote desktop auf die 192.168.0.3 und gehe von da aus über die 10.10.10.3 auf die 10.10.10.2 auf den server.


----------



## afk (3 Juli 2008)

maccap schrieb:


> Alles soweit richtig. Der PC steht zuhause, dh ich gehe per dyndns auf meinen Router (intern: 192.168.0.1) und werde dann per portforwarding auf den Server, dh die 192.168.0.2 weitergeleitet.


Dann ist wieder alles klar. Beim Port-Forwarding wird Deine heimische Internet-Adresse als Antwort-Adresse an den Server weitergereicht. Dadurch greift das Routing für das LAN nicht, und der Server schickt die Antwort zum Weiterleiten an das Default-Gateway. Solange Du den VPN nicht aktiviert hast, ist das der Router, der auch das Port-Forwarding macht, und der kann die Pakete an Deinen Heim-PC weiterleiten. Sobald das VPN aktiv ist, werden die Antworten ins VPN geroutet, und nichts geht mehr. 

Für den unwahrscheinlichen Fall, daß Du zuhause eine feste IP fürs Internet hast, kannst Du an Deinem Server diese IP über das Gateway 192.168.0.1 routen. 

Wahrscheinlich bekommst Du deine IP aber dynamisch vom Provider zugewiesen, da hilft dann nur noch, per 2. VPN von Deinem Heim-PC eine Verbindung zum Firmennetz herzustellen. Die IP-Adresse, die dein Heim-PC von diesem VPN zugewiesen bekommt, ist dann die, die Dein Server als Absender-Adresse zu sehen bekommt. Für die muß dann das Routing an deinem Server entsprechend eingestellt werden, dann geht's auch.


Gruß Axel


----------



## maccap (3 Juli 2008)

Leider nicht so einfach. Wenn ich am Server sitze und den VPN-Kanal aufgebaut habe, dann bin ich nicht mehr in der Lage meinen Router 192.168.0.1 zu pingen, da ALLES!!! über den VPN-Tunnel geht. ALLES!!!, dh auch die pings an die 10.10.10.3 gehen über den verdammten Tunnel.
Der Schritt mit dem Remote-Desktop ist noch garnicht drin. Das kriege ich in den Griff, wenn ich irgendwie nen Weg an dem Tunnel vorbei finde, zb zum 10er netz.

Gruß Mario


----------



## afk (3 Juli 2008)

Hast Du denn schon mal versucht, eine Route auf 192.168.0.1 mit dem Gateway 192.168.0.2 und der Metrik 1 einzurichten, und dann einen Ping auf 192.168.0.1 laufen zu lassen ?


Gruß Axel


----------



## maccap (4 Juli 2008)

Funzt leider auch nicht, da der client den Eintrag selber hinzufügt, wenn mann sich einwählt. Anscheinend hat der zeitlich letzte Eintrag Priorität.
Hier nochmal die Liste:

C:\Dokumente und Einstellungen\aifflaender>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0a eb 2f 70 bd ...... Gigabit Ethernet Adapter - Paketplaner-Miniport
0x3 ...00 13 d4 d2 5e 6e ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Con
troller - Paketplaner-Miniport
0x4 ...44 45 53 54 42 00 ...... Nortel IPSECSHM Adapter - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.2       21
          0.0.0.0          0.0.0.0  192.168.254.214  192.168.254.214      1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.2     192.168.0.2       20
      192.168.0.0    255.255.255.0  192.168.254.214  192.168.254.214      1
      192.168.0.1  255.255.255.255      192.168.0.2     192.168.0.2       2
      192.168.0.1  255.255.255.255  192.168.254.214  192.168.254.214      1
      192.168.0.2  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255      192.168.0.2     192.168.0.2       20
    192.168.254.0    255.255.255.0  192.168.254.214  192.168.254.214      30
  192.168.254.214  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.254.255  255.255.255.255  192.168.254.214  192.168.254.214      30
    217.91.44.148  255.255.255.255      192.168.0.1     192.168.0.2       1
        224.0.0.0        240.0.0.0      192.168.0.2     192.168.0.2       20
        224.0.0.0        240.0.0.0  192.168.254.214  192.168.254.214      1
  255.255.255.255  255.255.255.255      192.168.0.2     192.168.0.2       1
  255.255.255.255  255.255.255.255      192.168.0.2               2       1
  255.255.255.255  255.255.255.255  192.168.254.214  192.168.254.214      1
Standardgateway:   192.168.254.214
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Anzahl
     172.16.0.229  255.255.255.255       172.20.0.1       1
       10.10.10.0    255.255.255.0       10.10.10.2       1
       10.10.10.3  255.255.255.255       10.10.10.2       1
       10.10.10.1  255.255.255.255       10.10.10.2       1
      192.168.0.1  255.255.255.255      192.168.0.2       1


Gruß Mario


----------

