[12 Monterey] VPN-Zugriff auf Netzwerk mit Mac nicht möglich

Kref

Querina
Registriert
08.03.18
Beiträge
187
Hallo zusammen.

Sorry, wenn ich das hier in die Betriebssystemgruppe stelle, aber da es hier wahrscheinlich ein Problem mit den Systemeinstellungen meines MacBook Pro ist, dachte ich, hier passt es wahrscheinlich am besten.

Und falls die Lösung wirklich einfach ist stelle ich die Frage mal gleich eingangs, und liefere die Detailerklärungen darunter, damit ihr euch nicht alle durch einen eher langen Text quälen müsst.

Kurzbeschreibung:

Mein iPhone kommt von außerhalb meines Netzwerkes problemlos über mein VPN-Netzwerk 192.168.100.xxx auf die Teilnehmer meines Hauptnetzwerkes 192.168.1.xxx, daher bin ich sicher, dass das VPN-Netzwerk korrekt konfiguriert ist.

Mein Macbook hingegen findet über das VPN-Netzwerk keine Teilnehmer des Hauptnetzwerkes. Woran kann das liegen? Was muss ich ändern?





Und hier die detaillierte Problembeschreibung:

Ich nutze daheim ein Unifi-Netzwerksystem von Ubiquiti (USG, CloudKey 2, ein PPoE-Router und ein paar Accesspoints).

Darin habe ich ein Netzwerk genannt "Haupt-LAN" mit dem IP-Bereich 192.168.1.xxx und ein L2TP-VPN-Netzwerk genannt mit dem IP-Bereich 192.168.100.xxx.

Zwischen den beiden Netzwerken sind keine Firewall-Regeln eingerichtet, so dass man über den VPN-Zugang vollständigen Zugriff auf das gesamte Hauptnetzwerk hat.



Dann hab ich das VPN in den Netzwerkeinstellungen des Computers angelegt, den Rechner in das WLAN meines Nachbarn gehängt und das VPN gestartet, siehe Screenshot.

Bildschirmfoto 2022-10-01 um 13.43.31.png

Die Verbindung wird problemlos hergestellt.

Aber ich erreiche nichts im Haupt-Lan, also im IP-Bereich 192.168.1.xxx. Kein Zugriff auf das NAS oder sonstige Geräte.

Ich hab den Rechner wieder in mein WLAN gebracht und den VPN beendet, weil ich von einem Fehler im Unift-System ausging. Den VPN-Zugriff hab ich dann auf dem iPhone angelegt und das WLAN ausgeschaltet, so dass das iPhone nur über mobile Daten ins Netz kommt, habe den VPN gestartet und wollte nun am Macbook in der Unifi den Fehler suchen und am iPhone testen.

Dabei stellte ich dann aber fest, dass das iPhone über den VPN das Haupt-LAN (alle Geräte darin) aneignen und bzw. deren Webserver aufrufen kann, als wäre es direkt im WLAN des Haupt-LANs.

Ich hab das dann noch mal getestet, VPN aus, NAS kann nicht erreicht werden. VPN ein, NAS wird erreicht.

Das heißt für mich: Das VPN funktioniert exakt wie es soll vom iPhone aus und muss also in Ordnung sein. Der Fehler muss im MacBook liegen.

Aber hier verlassen mich dann die Kenntnisse der MacOS-Netzwerkeinstellungen, in denen ich den Fehler nun vermuten muss.

_______________

Nachtrag: Ich muss zur Erläuterung noch hinzufügen, dass auch das iPhone Geräte im Hauptnetz nur über die IP findet, nicht aber über den Hostname. Ich hab beispielsweise einen 3D-Drucker laufen mit einem Druckserver (Raspberry Pi mit Octoprint), der im Webbrowser eigentlich erreichbar ist über octopi.local/ über VPN auf dem iPhone aber nur über die IP direkt. Ich vermute allerdings, dass das dann doch wieder ein Problem des Netzwerksystems ist.
 
Zuletzt bearbeitet:

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.414
Hallo zusammen.

Sorry, wenn ich das hier in die Betriebssystemgruppe stelle, aber da es hier wahrscheinlich ein Problem mit den Systemeinstellungen meines MacBook Pro ist, dachte ich, hier passt es wahrscheinlich am besten.

Und falls die Lösung wirklich einfach ist stelle ich die Frage mal gleich eingangs, und liefere die Detailerklärungen darunter, damit ihr euch nicht alle durch einen eher langen Text quälen müsst.

Kurzbeschreibung:

Mein iPhone kommt von außerhalb meines Netzwerkes problemlos über mein VPN-Netzwerk 192.168.100.xxx auf die Teilnehmer meines Hauptnetzwerkes 192.168.1.xxx, daher bin ich sicher, dass das VPN-Netzwerk korrekt konfiguriert ist.

Mein Macbook hingegen findet über das VPN-Netzwerk keine Teilnehmer des Hauptnetzwerkes. Woran kann das liegen? Was muss ich ändern?
das hängt von den Einstellungen ab, die Du hier nicht nicht nennst




Und hier die detaillierte Problembeschreibung:

Ich nutze daheim ein Unifi-Netzwerksystem von Ubiquiti (USG, CloudKey 2, ein PPoE-Router und ein paar Accesspoints).

Darin habe ich ein Netzwerk genannt "Haupt-LAN" mit dem IP-Bereich 192.168.1.xxx und ein L2TP-VPN-Netzwerk genannt mit dem IP-Bereich 192.168.100.xxx.

Zwischen den beiden Netzwerken sind keine Firewall-Regeln eingerichtet, so dass man über den VPN-Zugang vollständigen Zugriff auf das gesamte Hauptnetzwerk hat.
das ist Blödsinn. Die Firewall-Regeln sind erst an zweiter Stelle für Zugriff auf geroutete Subnetze relevant. Allerdings lässt Dein Text völlig vermissen, ob es denn wirklich separate Subnetze sind (was ich aber mal vermute). Relevant ist die Bitmask. Verzeih mir, wenn ich jetzt nicht bis Adam und Eva aushole; hier nur die Aufforderung, Dein Netzwerk musst Du schon richtig und gescheit konfigurieren.
Wenn Deine Subnetze /24 groß sind und wie geschildert unterschiedlich, dann *musst* Du routen.
Was ist Dein Router?
Hinweis2: Ich kenne eigentlich keine Lösung mehr, die *nur* routet. Ein Paketfilter ist eigentlich immer mit bei. Das bedeutet im Umkehrzug, die Annahme ist falsch und könnte also auch falsch eingerichtet sein. Du NATtest bestimmt auch?

Das einfachste ist, *ein* Netz zu verwenden (das aber nicht dasselbe sein darf wie das des Clients, der von der anderen Seite die Verbindung startet).

Dann hab ich das VPN in den Netzwerkeinstellungen des Computers angelegt, den Rechner in das WLAN meines Nachbarn gehängt und das VPN gestartet, siehe Screenshot.

Anhang anzeigen 187686

Die Verbindung wird problemlos hergestellt.

Aber ich erreiche nichts im Haupt-Lan, also im IP-Bereich 192.168.1.xxx. Kein Zugriff auf das NAS oder sonstige Geräte.

Ich hab den Rechner wieder in mein WLAN gebracht und den VPN beendet, weil ich von einem Fehler im Unift-System ausging. Den VPN-Zugriff hab ich dann auf dem iPhone angelegt und das WLAN ausgeschaltet, so dass das iPhone nur über mobile Daten ins Netz kommt, habe den VPN gestartet und wollte nun am Macbook in der Unifi den Fehler suchen und am iPhone testen.

Dabei stellte ich dann aber fest, dass das iPhone über den VPN das Haupt-LAN (alle Geräte darin) aneignen und bzw. deren Webserver aufrufen kann, als wäre es direkt im WLAN des Haupt-LANs.

Ich hab das dann noch mal getestet, VPN aus, NAS kann nicht erreicht werden. VPN ein, NAS wird erreicht.

Das heißt für mich: Das VPN funktioniert exakt wie es soll vom iPhone aus und muss also in Ordnung sein. Der Fehler muss im MacBook liegen.

Aber hier verlassen mich dann die Kenntnisse der MacOS-Netzwerkeinstellungen, in denen ich den Fehler nun vermuten muss.

_______________

Wie gesagt, es muss geroutet werden. Ich erinnere mich dunkel, dass die Bitmask des VPN-Subnetzes in macOS ab Mountain Lion falsch gesetzt wurde, dementsprechend könnte ein nicht funktionierendes Routing daran liegen. Aber wie gesagt, es ist viel zu kompliziert.

Nachtrag: Ich muss zur Erläuterung noch hinzufügen, dass auch das iPhone Geräte im Hauptnetz nur über die IP findet, nicht aber über den Hostname. Ich hab beispielsweise einen 3D-Drucker laufen mit einem Druckserver (Raspberry Pi mit Octoprint), der im Webbrowser eigentlich erreichbar ist über octopi.local/ über VPN auf dem iPhone aber nur über die IP direkt. Ich vermute allerdings, dass das dann doch wieder ein Problem des Netzwerksystems ist.

hier machst Du noch das Parallel-Problem „Routing von Bonjour in WAN“ auf. Das kann man zwar in Grenzen konfigurieren, aber angesichts des Wissenstands und des vermutlichen Einsatzzwecks würde ich ganz stark davon abraten.

Wie gesagt:
-benutze *ein* Netz
-benutze irgendwie 192.168.155.0/24 oder was anderes, was nicht so populär wie 192.168.0.0/24, 192.168.1.0/24 oder 192.168.178.0/24 ist

Dann sollte es eigentlich klappen. Auch Unifi-Anwender können das dann hinbekommen.
 
Zuletzt bearbeitet:

Kref

Querina
Registriert
08.03.18
Beiträge
187
das hängt von den Einstellungen ab, die Du hier nicht nicht nennst





das ist Blödsinn. Die Firewall-Regeln sind erst an zweiter Stelle für Zugriff auf geroutete Subnetze relevant. Allerdings lässt Dein Text völlig vermissen, ob es denn wirklich separate Subnetze sind (was ich aber mal vermute). Relevant ist die Bitmask. Verzeih mir, wenn ich jetzt nicht bis Adam und Eva aushole; hier nur die Aufforderung, Dein Netzwerk musst Du schon richtig und gescheit konfigurieren.
Wenn Deine Subnetze /24 groß sind und wie geschildert unterschiedlich, dann *musst* Du routen.
Was ist Dein Router?
Hinweis2: Ich kenne eigentlich keine Lösung mehr, die *nur* routet. Ein Paketfilter ist eigentlich immer mit bei. Das bedeutet im Umkehrzug, die Annahme ist falsch und könnte also auch falsch eingerichtet sein. Du NATtest bestimmt auch?

Das einfachste ist, *ein* Netz zu verwenden (das aber nicht dasselbe sein darf wie das des Clients, der von der anderen Seite die Verbindung startet).



Wie gesagt, es muss geroutet werden. Ich erinnere mich dunkel, dass die Bitmask des VPN-Subnetzes in macOS ab Mountain Lion falsch gesetzt wurde, dementsprechend könnte ein nicht funktionierendes Routing daran liegen. Aber wie gesagt, es ist viel zu kompliziert.



hier machst Du noch das Parallel-Problem „Routing von Bonjour in WAN“ auf. Das kann man zwar in Grenzen konfigurieren, aber angesichts des Wissenstands und des vermutlichen Einsatzzwecks würde ich ganz stark davon abraten.

Wie gesagt:
-benutze *ein* Netz
-benutze irgendwie 192.168.155.0/24 oder was anderes, was nicht so populär wie 192.168.0.0/24, 192.168.1.0/24 oder 192.168.178.0/24 ist

Dann sollte es eigentlich klappen. Auch Unifi-Anwender können das dann hinbekommen.

Hallo und Danke erstmal für die Mühe. Als nicht besonders erfahrener Netzwerker bitte ich schonmal um Entschuldigung, sollte ich wieder was durcheinanderwerfen. Ich versuche mich gerade in das nicht unbedingt unkomplexe Thema einzuarbeiten, aber das ist nichts, was einfach mal so geht.

Bei Unifi ist es grundsätzlich so, dass verschiedene Netzwerke, auf "Corporate" gestellt, sich sehen und voll miteinander kommunizieren. Das gleiche gilt für VPN-Netzwerke, die wie ein Corporate-Netzwerk berechtigt sind. Da ist ein Routing tatsächlich nicht nötig, es ist im System standardmäßig alles offen eingestellt und muss in der Firewall geschlossen werden, wenn das nicht erwünscht ist.


Ich war mir eigentlich sicher, dass ich kein Netzwerkproblem habe sondern eines mit dem Macbook, weil ich folgendes Verhalten beobachte:

Mein Macbook, mein iPhone 11 und mein iPad Air sind mittlerweile im WLAN des Nachbarn und sehen darin natürlich keines meiner Geräte. Dann starte ich auf allen Geräten den VPN-Tunnel in mein Netzwerk. Sie bekommen darin folgende IPs (iPhone 192.168.100.6, Mac .100.7, iPad .100.8)

Ich kann von jedem der drei Geräte die jeweils anderen beiden problemlos anpingen (am Mac im Terminal, auf den anderen Geräten über die App Ping).

Ich kann außerdem von iPad und iPhone Geräte im Netzwerk x.x.1.x anpingen und auf sie zugriff nehmen, kann also z.B. auf die Webserver meines Druck-Servers oder meiner Synology oder auf deren Datenordner zugreifen.

Alleine das Macbook, das wie gesagt iPhone und iPad auf ihren aktuellen IPs anpingen kann, kommt nicht raus aus dem x.x.100.x-VPN-Netzwerk, wenn ich dort z.B. die Synology anpinge, bekomme ich ein timeout.



Wenn kein Gerät aus dem VPN ins HauptNetzwerk käme, würde ich deine Kritik, ich müsste mein Netzwerk ordentlich konfigurieren verstehen; dann wäre ich sicher, dass der Fehler dort läge. Wenn aber zwei von drei Geräten genau den Zugriff haben, den ich haben möchte und lediglich das dritte Gerät Probleme verursacht, vermute ich natürlich zuerst mal ein Problem mit diesem dritten Gerät.

Oder anders herum: Wenn ich ein Problem mit dem Netzwerk hätte, dürften doch eigentlich auch iPhone und iPad nicht durchkommen, oder?
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.414
blöde Frage: bei Deinem Test mit dem Macbook, war das auch im Nachbar-WLAN eingebucht oder hast Du es von seiner Position aus getestet?
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.414
wenn Du mit dem Macbook im Nachbar-WLAN bist (ich will hoffen, die Verbindung ist dann gut), würdest Du bitte das Terminal öffnen und den Befehl netstat -rn eingeben und hier posten?
Danach bitte mit dem VPN verbinden und genau denselben netstat -rn Befehl bitte.
 

Kref

Querina
Registriert
08.03.18
Beiträge
187
Klar doch.
 

Anhänge

  • Fremd-WLAN mit VPN.txt
    7,7 KB · Aufrufe: 10
  • Fremd-WLAN ohne VPN.txt
    6,8 KB · Aufrufe: 5

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.414
was ist 10.255.255.0 für ein Subnet und wieso soll es durch 192.168.100.6 erreichbar sein?
192.168.1.1 sehe ich als via #link17 erreichbar (das dürfte Dein lokaler Router sein?) - aber nicht 192.168.1.0/24. Diese Route fehlt, danach dürfte es funktionieren.
 
Zuletzt bearbeitet:

Kref

Querina
Registriert
08.03.18
Beiträge
187
OK, dann muss ich also doch wohl doch noch eine Route im Netzwerk öffnen, oder?

Das Subnet 10.255.255.0 sagt mir nun auch nix.
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.540
Nicht wirklich, eher umgekehrt. Auf dem MacBook Pro scheint im Moment etwas eingerichtet zu sein, dass zusätzliche Routen anlegt, und zwar die falschen.

Kann es sein, dass versehentlich die Funktion Internet-Sharing eingeschaltet ist?
 
  • Like
Reaktionen: Wuchtbrumme

Kref

Querina
Registriert
08.03.18
Beiträge
187
Nicht wirklich, eher umgekehrt. Auf dem MacBook Pro scheint im Moment etwas eingerichtet zu sein, dass zusätzliche Routen anlegt, und zwar die falschen.

Kann es sein, dass versehentlich die Funktion Internet-Sharing eingeschaltet ist?
Du meinst die Internetfreigabe? Die ist aus.