Wie war des nochmal? Wenn ich zwei Standorte vernüftig verbinden möchte...
Damit diejenigen die sich von extern in das Netz einwählen auch die Server am jeweiligen anderen Standort finden?

Standort 1:
iprange:192.168.0.1-255
subnetz:255.255.255.0
gateway:192.168.0.1

Standort 1: <- Einwahl von extern
iprange:192.168.252.1-255
subnetz: 255.255.255.255
gateway:192.168.252.1-255




Standort 2:
iprange:192.168.100.1-255
subnetz:255.255.255.0
gateway:192.168.0.1

Standort 2: <- Einwahl von extern
iprange:192.168.251.1-255
subnetz: 255.255.255.255
gateway:192.168.251.1-255

Besten Dank im Voraus!

Du must im Router den Gateway einrichten.

erklär mal bitte genauer!

ich habe folgende Netzwerkstruktur:

http://www1.filehost.to/files/2007-01-26_02/110911_wan.png

Das Problem ist nun, dass sie Außendienstmitarbeiter die sich an der Firewall am Standort 1 einwählen nur die Server am Standort 1 erreichen. Am Standort 2 genau das selbe. :mad: Die Standorte sind über einen Tunnel miteinander verbunden.
Es wäre schön wenn es genügt sich an einer Firewall einzuwählen und alle Server erreicht. Geht das?
Ich habe nun gelesen, dass es bei PPTP etwas anders ist als bei IPsec und dass es möglich ist mit "route add" auf den Laptops der Außendienstmitarbeiter das jeweils andere Netz hinzuzufügen. :|
Nur wie sähe in meinem Fall eine solche Routingtabelle aus? ;(
Besten Dank im Voraus!

Baut der Router die VPN Verbindung auf und verteilt er die IP Adressen über DHCP ?

Deine IP-Bereiche sind ganz falsch. Du darfst mit einer 255.255.255.0 Subnet-Mask nur einen Bereich von 1-254 benutzen.
Die 0 ist für das Netz reserviert. Die 255 für Broadcast Nachrichten!

Gateway-Adressen sehen auch sehr seltsam aus. Die Gateway Adresse stellt den Router oder Server dar der deinen Netzwerkanfragen in ein anderes Netz weiter leidet.

http://img261.imageshack.us/img261/4386/110911waniu0.png
Thanks to ImageShack for Free Image Hosting (http://imageshack.us)

/edit
Fällt mir gerade so auf. Die Subnet-Mask von deinen Außendienstmitarbeitern ist auf jeden Fall falsch! Nimm 255.255.255.0.
255.255.255.255 geht "auf jeden Fall" nicht, und ist vollkommen falsch und unzulässig. Bei 255 hat man 11111111. Also keine Stellen für Hosts. Eine Sub-Net Mask die "höchstens" zwei Hosts (Rechner) in einem Netzwerk erlaubt wäre 255.255.255.252 (11111100).

Baut der Router die VPN Verbindung auf und verteilt er die IP Adressen über DHCP ?

DHCP macht jeweils ein Server an Standort 1 und Standort 2.
Die Firewall baut die VPN Verbindung zwischen den beiden Standorten auf und verteilt die IP Adresse an die Außendienstmitarbeiter


Deine IP-Bereiche sind ganz falsch. Du darfst mit einer 255.255.255.0 Subnet-Mask nur einen Bereich von 1-254 benutzen.
Die 0 ist für das Netz reserviert. Die 255 für Broadcast Nachrichten!

Jap, klar! ;)


Gateway-Adressen sehen auch sehr seltsam aus. Die Gateway Adresse stellt den Router oder Server dar der deinen Netzwerkanfragen in ein anderes Netz weiter leidet.

Auch klar. Die sind aber so!


/edit
Fällt mir gerade so auf. Die Subnet-Mask von deinen Außendienstmitarbeitern ist auf jeden Fall falsch! Nimm 255.255.255.0.
255.255.255.255 geht "auf jeden Fall" nicht, und ist vollkommen falsch und unzulässig. Bei 255 hat man 11111111. Also keine Stellen für Hosts. Eine Sub-Net Mask die "höchstens" zwei Hosts (Rechner) in einem Netzwerk erlaubt wäre 255.255.255.252 (11111100).
Die Subnetzmask der Außendienstmitarbeitern sieht genau so aus!
Es bringt mich ehrlich gesagt auch zur Verzweiflung, aber diese Firewalls (Gateprotect (http://www.gateprotect.de/a-serie.html)) vergeben die einfach so. ;(
Was kann ich da drauß machen? :|

Dann müßte bei dir in Firewall1 die Routingtabelle ähnlich aussehen:
http://img252.imageshack.us/img252/2765/fw1jj3.png/

N1 hängt an Schnittstelle eth0
N3 z.B. an pppoe
N4 an VPN (oder VPN0)
N5 an eth1 (oder VPN1)
N6 an eth2 (oder VPN2)
usw

/edit
Das Beispiel von Routingtabelle 2 ist falsch...

Wow! Danke für die Mühe mit der Zeichnung und die ausführliche Erklärung! :redface:
Wenn ich die Firewall recht verstehe bekommt jeder Außendienstmitarbeitern immer so eine komische IP
192.168.251.x
255.255.255.255
192.168.251.x

bzw.
192.168.252.x
255.255.255.255
192.168.252.x

usw
Das Problem ist, dass es nicht einfach nur zwei drei Leute im Außendienst sind, sondern ein paar mehr...
Wie ich gelesen habe muss ich wegen PPTP die Routingtabelle bei denen direkt auf dem Laptop anlegen und nicht auf der Firewall/Router.
Was trage ich auf so einem Laptop ein?

Die Anfragen müssen ja alle über den Router/Firewall. Wenn die Routing-Table des Routers richtig ausgefüllt ist dürfte es eigentlich keine Probleme geben.

Über ROUTE ADD kann man ja auf XP Rechnern neue Routen einfügen.

ROUTE ADD "Zielnetz" MASK "Ziel-Subnet-Mask" "Gateway der PPTP Verbindung" METRIC "Priorität der Verbindung" IF "Schnittstelle"

z.B. du willst von N5 zu N2:
ROUTE ADD 192.168.100.0 MASK 255.255.255.0 192.168.251.1 METRIC 3 IF 2

und von N5 zu N1:
ROUTE ADD 192.168.0.0 MASK 255.255.255.0 192.168.251.1 METRIC 3 IF 2

/edit
Bei einer Point To Point Verbindung ist anscheinend die Subnet-Mask 255.255.255.255 erlaubt. Sonst aber nicht.

:| irgendwie macht sich da ein wenig Ernüchterung bei mir breit.
Eine Routingtabelle am Client selbst macht ja absolut kein Sinn.
Ich habe gerade eine angelegt wie von dir beschrieben.
Dann habe ich versucht einen Rechner im anderen Netz anzupingen, ... naja ne Antwort kam halt nicht zurück und ist ja auch wenig verwunderlich, oder?

:| irgendwie macht sich da ein wenig Ernüchterung bei mir breit.
Eine Routingtabelle am Client selbst macht ja absolut kein Sinn.
Ich habe gerade eine angelegt wie von dir beschrieben.
Dann habe ich versucht einen Rechner im anderen Netz anzupingen, ... naja ne Antwort kam halt nicht zurück und ist ja auch wenig verwunderlich, oder?


Doch, doch :)
Jeder Rechner hat eine Routingtabelle. Schreib doch mal ROUTE PRINT in die CMD. Dann bekommst du alle Routen deines Rechners aufgelistet.
Aber!...

1. Deine Firewall muß auch eine gültige routing-table haben
2. Du brauchst eine statische Route auf den Rechnern der Aussendientmitarbeiter weil sie sonst nicht wissen an welches Gateway sie die Netzwerkanfragen schicken sollen. (Dann nimmt sich der Rechner die default Route(oder war es Gateway). Wenn man Pech hat ist das das Internet.
3. Die Sendeseite muß die Route zur Empfangsseite kennen
4. Die Empfangsseite muß für eine Antwort die Route zum Sender kennen (sonst kommt nie eine Antwort an)
Router 2 muß also wissen das Router 1 das Netzwerk von einem Aussendienstmitarbeiter kennt

Für 3. und 4.:
Default Route von Internet auf die VPN umstellen oder alle Verbindungen (Netzwerke) der Aussendienstmitarbeiter in die Routingtabelle eintragen.
Wenn man

Mit dynamischen Routing kann man das Problem des Eintragens der statischen Routen vermeiden.

-Firewall 1 holt sich über RIP die Daten der Routing-Tabelle von Firewall 2
-Firewall 2 holt sich über RIP die Daten der Routing-Tabelle von Firewall 1
-Der Rechner des Aussendienstmitarbeiter holt sich über RIP die Informationen der Routing-Tabelle von z.B. Firewall 1

Alle drei Geräte kennen nun die Routen zu allen Netzen des Gesamtfirmennetzes!


Was braucht man?:
-Dynamisches Routing (RIP v1 oder v2) muß in beiden Firewalls für die Netzwerkschnittstellen aktiviert sein die mit dem Firmennetzwerk verbunden sind (also alles ausser N3). An Netzwerkschnittstellen die zum Internet führen sollten kein RIP aktiviert sein (Im Inet soll ja niemand die Netzwerke des Firmennetzes kennen).
-Unter Windows XP muß man unter "Software/Windows Komponenten installieren/Netzwerk" die RIP-Überwachung nachinstallieren.


Über RIP tauschen Router also Routen zu Netzwerken aus.


/edit
Noch was zum lesen:
http://www.tutorials.de/forum/netzwerke/199216-rip-unter-windows-xp-professional.html
http://de.wikipedia.org/wiki/Routing_Information_Protocol

Sorry, dass ich mich so lange nicht gemeldet habe.
Ich hab mir die Sache jetzt doch mal mit IPsec angeschaut.
Des scheint doch ein wenig praktikabler zu sein. ;)

http://www1.filehost.to/files/2007-02-08_02/115529_wan.png

Wie sähen für dieses Beispiel die Routingeinträge aus? :|