|
| Hvorledes taler to ens IP nr. sammen? Fra : Lars Kristensen |
Dato : 30-11-05 23:50 |
|
Hej NG
Jeg sidder her på et hotelværelse og skal hente filer på mit firmas netværk.
Det plejer jeg normalt aldrig at have problemer med. Men på dette her hotel
som jeg er på nu, er der opstået et underligt problem.
Problembeskrivelse:
Jeg opretter en VPN linie til firmaet via en PPTP forbindelse som altid. Det
lykkes fint.
Derefter forsøger jeg at gå på serveren på firmaet, hvilket mislykkes.
Når jeg i en DOS prompt forsøger at pinge netværket på firmaet, får jeg
fire "time out"
Når jeg i en DOS prompt forsøger at pinge netværket her på hotellet kan jeg
se at IP nummeret er 192.168.1.53
Tilfældigvis bruger vi samme IP. nr. på indersiden af vores Firewall i
firmaet, altså 192.168.1.xx som er ens med det IP nummeret jeg kan pinge her
på hotellet.
Jeg får oplyst at serveren på mit firma ikke kan sende pakkerne pga. det
tilfældige sammenfald af IP nummeret i firmaet og her på hotellet.
Kan det passe? Hvorledes løses problemet?
Bruger Win XP og Win 2003 server på firmaet.
Jeg er ikke så stærk i IT infrastrukturen, så jeg håber at der her i NG er
nogen som kan forklare mig hvorledes jeg kommer ud af problemet.
Mvh. Lars
| |
claus b. p. (01-12-2005)
| Kommentar Fra : claus b. p. |
Dato : 01-12-05 00:47 |
|
"Lars Kristensen" <l.a.kristensen@get2net.dk> wrote in message
news:438e2c95$0$8844$edfadb0f@dread14.news.tele.dk...
> Hej NG
> Jeg sidder her på et hotelværelse og skal hente filer på mit firmas
netværk.
> Det plejer jeg normalt aldrig at have problemer med. Men på dette her
hotel
> som jeg er på nu, er der opstået et underligt problem.
>
> Problembeskrivelse:
> Jeg opretter en VPN linie til firmaet via en PPTP forbindelse som altid.
Det
> lykkes fint.
> Derefter forsøger jeg at gå på serveren på firmaet, hvilket mislykkes.
> Når jeg i en DOS prompt forsøger at pinge netværket på firmaet, får jeg
> fire "time out"
> Når jeg i en DOS prompt forsøger at pinge netværket her på hotellet kan
jeg
> se at IP nummeret er 192.168.1.53
> Tilfældigvis bruger vi samme IP. nr. på indersiden af vores Firewall i
> firmaet, altså 192.168.1.xx som er ens med det IP nummeret jeg kan pinge
her
> på hotellet.
> Jeg får oplyst at serveren på mit firma ikke kan sende pakkerne pga. det
> tilfældige sammenfald af IP nummeret i firmaet og her på hotellet.
>
> Kan det passe? Hvorledes løses problemet?
>
> Bruger Win XP og Win 2003 server på firmaet.
>
> Jeg er ikke så stærk i IT infrastrukturen, så jeg håber at der her i NG er
> nogen som kan forklare mig hvorledes jeg kommer ud af problemet.
>
Den interne adresse i hotellets og firmaets netværk bliver oversat i
routerne mod Internettet ved hjælp af NAT. Dvs. at du ikke ser firmaets
interne IP adresser fra Internettet, men kun den ene IP adresse som routeren
har. Routeren i firmaet skal så være konfigureret til at sende dine pakker
det rigtige sted hen. Fx. til en VPN server. Så når du pinger en IP adresse
i 192.168.1.xx vil du slet ikke komme uden for hotellets router, derfor
timer den ud. (Med mindre hotellet også lige har en node med den adresse).
Når du derimod sender en pakke til en extern IP adresse, vil din lokale
192.168.1.xx adresse blive pakket med af routeren, så afsenderen er kendt,
derfor kommer svaret også tilbage til dig. Faktisk kan man passere flere
routere undervejs, og derfor få en ny IP adresse flere gange, men hver gang
bliver de oprindelige adresser pakket med, så svaret også kan finde tilbage
igen.
/Claus
| |
///M (01-12-2005)
| Kommentar Fra : ///M |
Dato : 01-12-05 01:20 |
|
Lars Kristensen wrote:
> Tilfældigvis bruger vi samme IP. nr. på indersiden af vores Firewall i
> firmaet, altså 192.168.1.xx som er ens med det IP nummeret jeg kan
> pinge her på hotellet.
> Jeg får oplyst at serveren på mit firma ikke kan sende pakkerne pga.
> det tilfældige sammenfald af IP nummeret i firmaet og her på hotellet.
Claus har givet dig en fin teknisk forklaring - så den undlader jeg, men jeg
har tilgengæld et løsningsforslag: Routing order
Opret din VPN-forbindelse.
Hvis du skriver "route print" i en dos-prompt får du de ruter som pakkerne
flyver afsted via. Løsningen for dig bliver at sørge for at din vpn-rute har
lavere "Metric" værdi (=højere prioritet) end din LAN-rute. De har muligvis
samme gateway, men forskellig interface.
Du kan ændre metric værdien for din lan forbindelse via GUI eller via "route
print" kommandoer. Via GUI vælger du properties på din LAN-forbindelse,
properties på TCP/IP, Advanced og nederst har du så mulighed for at sætte
metric op til noget højere end din vpn-rute's.
--
///M
| |
Anon (01-12-2005)
| Kommentar Fra : Anon |
Dato : 01-12-05 09:46 |
|
Lars Kristensen wrote:
> [...]
Så fik vi forklaring og løsning. Jeg vil tilføje en fælde, nemlig at du
kan risikere at få tildelt en adresse på hotellet, som også bliver brugt
i firmaet og som du skal snakke med. I dette tilfælde kan du ikke bruge
Lars' løsning, men du vil derimod være lidt på herrens mark. Men
løsningen vil dog virke for det meste. En alternativ løsning vil derfor
være at flytte dine interne adresser til et mindre brugt privat subnet.
Men det giver absolut ingen garanti for at du ikke vil løbe ind i samme
problem igen - muligvis en lavere risiko. Den skudsikre løsning er
selvf. at skifte til nogle "globale" adresser - men det er ofte ikke
realiserbart.
Velkommen til NAT's lyksaligheder. :)
Anon
| |
Lasse Hedegaard (01-12-2005)
| Kommentar Fra : Lasse Hedegaard |
Dato : 01-12-05 12:53 |
|
On Thu, 01 Dec 2005 09:45:54 +0100, Anon <invalid@invalid.invalid>
wrote:
>Jeg vil tilføje en fælde, nemlig at du
>kan risikere at få tildelt en adresse på hotellet, som også bliver brugt
>i firmaet og som du skal snakke med.
Dvs. det samme IP-nummer må ikke optræde to gange i en route? Dette
selvom, at det jo skal bruges i hver sin ende? Det lyder lidt
underligt i mine ører, kan systemerne ikke aflæse, hvor hvert
IP-nummer skal bruges (altså i hvilken ende)?
Jeg vidste faktisk ikke, at man på det offentlige net kan se hvilke
IP-numre, der bruges bag NAT (det er sådan jeg forstår det der
skrives). Så kan man vel finde ud af, hvilken lokal IP-adresse en
webserver har fået tildelt, og derefter prøve at finde ud af, hvilke
porte, der ellers er åbnet til denne IP?
Er det (virkelig) korrekt forstået?
Venligst,
Lasse Hedegaard
--
http://www.simlock.dk/ - låsesmeden til din simlock!
Alle udgaver af Sony Ericsson Z800i låses op
- og nej, din telefon skal ikke skilles ad...
| |
Anon (01-12-2005)
| Kommentar Fra : Anon |
Dato : 01-12-05 14:03 |
|
Lasse Hedegaard wrote:
> Dvs. det samme IP-nummer må ikke optræde to gange i en route? Dette
> selvom, at det jo skal bruges i hver sin ende? Det lyder lidt
> underligt i mine ører, kan systemerne ikke aflæse, hvor hvert
> IP-nummer skal bruges (altså i hvilken ende)?
Samme IP-adresse må gerne optræde to gange - metric værdien bestemmer
hvordan de prioriteres (omend jeg ikke ved hvordan - og om det
fungerer i praksis. Men det skriver M at det gør). Men hvis
adressen også er adressen på lokal-maskinen, vil jeg gætte på
at det går galt. Bemærk at jeg skrive gætte, hvilket skyldes at
du muligvis har ret i at der er en teoretisk chance for at det
kan bringes til at virke. Men er det en løsning, man har lyst
til at lave? Maskinen er på to samme men adskilte
subnet - og så prøver man at route trafik til maskinens egen
adresse til det ene subnet. Lyder det fornuftigt?
> Jeg vidste faktisk ikke, at man på det offentlige net kan se hvilke
> IP-numre, der bruges bag NAT (det er sådan jeg forstår det der
> skrives). Så kan man vel finde ud af, hvilken lokal IP-adresse en
> webserver har fået tildelt, og derefter prøve at finde ud af, hvilke
> porte, der ellers er åbnet til denne IP?
Det kan man som udgangspunkt heller ikke (omend nogle højere protokoller
indeholder disse, unødvendige, informationer). Problemet er at maskinen
får en adresse i et "privat" subnet, laver en tunnel til en offentlig
adresse og får derefter tildelt en ny adresse (endda muligvis den samme
som før) i det samme "private" subnet som før - dog i et nyt logisk net.
Og hvis jeg har forstået dit scenarie korrekt, så kan man ikke "bare"
finde ud af hvilke porte der svares på. Der skal (oftests) defineres
eksplicitte NATs/PATs før du får adgang til de givne porte.
Anon
| |
Lars Kristensen (02-12-2005)
| Kommentar Fra : Lars Kristensen |
Dato : 02-12-05 01:10 |
|
Hej Claus og ///M
Tak for svaret.
Jeg er nu overbevist om, at jeg ikke selv kan løse dette problem.
Mvh Lars
| |
Asbjorn Hojmark (01-12-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-12-05 13:34 |
|
On Wed, 30 Nov 2005 23:49:53 +0100, "Lars Kristensen"
<l.a.kristensen@get2net.dk> wrote:
> Jeg får oplyst at serveren på mit firma ikke kan sende pakkerne pga. det
> tilfældige sammenfald af IP nummeret i firmaet og her på hotellet.
>
> Kan det passe? Hvorledes løses problemet?
Det afhænger af VPN-klienten og af setup'et. Med et ordentligt VPN-
system debhøver det ikke btyde noget, at der er sammenfaldende
adresser.
Hvis man kører med "split-tunnel", kan klienten både snakke med det
lokale net og det fjerne net (firmanettet). Det virker ikke, hvis der
er overlappende IP-adresser.
Hvis man kører uden split-tunnel, ved VPN-klienten, at *alting* skal i
tunnelen, og i det setup betyder det ikke noget med overlappende IP-
adresser.
Ulempen ved at køre uden split-tunnel er selvfølgelig, at al trafik
sendes til firmaet, også Internet-trafik, der ligeså godt kunne være
sendt udover klientens egen forbindelse. Derved kunne man spare noget
båndbredde ud af firmaets forbindelse. Det kan dog selvfølgelig også
opfattes som en sikkerhedsmæssig fordel, at al trafik sendes den vej.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Anon (01-12-2005)
| Kommentar Fra : Anon |
Dato : 01-12-05 14:21 |
|
Asbjorn Hojmark wrote:
> Hvis man kører uden split-tunnel, ved VPN-klienten, at *alting* skal i
> tunnelen, og i det setup betyder det ikke noget med overlappende IP-
> adresser.
Og hvis man forsøger at kommunikere med en adresse som er identisk med
den adresse, som klienten har fået tildelt i sit lokale net - hva' så?
Anon
| |
Asbjorn Hojmark (01-12-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-12-05 15:26 |
|
On Thu, 01 Dec 2005 14:21:27 +0100, Anon <invalid@invalid.invalid>
wrote:
> Og hvis man forsøger at kommunikere med en adresse som er identisk med
> den adresse, som klienten har fået tildelt i sit lokale net - hva' så?
Ja hva' så? Mener du, der skulle være noget i vejen for, VPN-klienten
kan samle pakken op, kryptere og encapsulere den og sende den til VPN-
koncentratoren?
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
|
|