Wake on LAN über VPN
Wir betreiben ein LAN mit etwa zehn PCs. Wenn ich einen Rechner in den Ruhezustand versetze, kann ich ihn von einem anderen Rechner aus mit Hilfe des Tools „Fusion WOL“ (Fusion Wake on LAN) wieder einschalten. Auch liefert mir dieses Tool die MAC-Adresse des schlafenden und aller anderen Rechner im Netz. Leider funktioniert es nicht, wenn ich mich per VPN in das LAN einwähle (als VPN-Router dient ein Cisco PIX 501). Wenn ich mich hingegen via Remote Desktop auf einem der Rechner im LAN anmelde und von dort aus das Wake on LAN starte, geht es. Habe ich eine Einstellung in der Firewall des Cisco PIX übersehen oder funktioniert Wake on LAN grundsätzlich nicht übers Internet? Oder brauche ich womöglich ein anderes WoL-Werkzeug?
- Björn Hansen
Wir betreiben ein LAN mit etwa zehn PCs. Wenn ich einen Rechner in den Ruhezustand versetze, kann ich ihn von einem anderen Rechner aus mit Hilfe des Tools „Fusion WOL“ (Fusion Wake on LAN) wieder einschalten. Auch liefert mir dieses Tool die MAC-Adresse des schlafenden und aller anderen Rechner im Netz. Leider funktioniert es nicht, wenn ich mich per VPN in das LAN einwähle (als VPN-Router dient ein Cisco PIX 501). Wenn ich mich hingegen via Remote Desktop auf einem der Rechner im LAN anmelde und von dort aus das Wake on LAN starte, geht es. Habe ich eine Einstellung in der Firewall des Cisco PIX übersehen oder funktioniert Wake on LAN grundsätzlich nicht übers Internet? Oder brauche ich womöglich ein anderes WoL-Werkzeug?
Das Wake-on-LAN-Paket ist ein recht spezielles, es enthält nämlich (unter anderem) die MAC-Adresse des einzuschaltenden Rechners im Nutzdatenteil. Der Rechner reagiert darauf natürlich nur, wenn das Paket tatsächlich bei ihm ankommt.
In einem LAN(-Segment) ist das kein Problem, denn der aufweckende Rechner schickt einfach ein Ethernet-Broadcast, das unabhängig von der IP-Protokollebene an alle lokalen Rechner geht. Deshalb funktioniert auch das Aufwecken über den Remote Desktop, weil die Pakete ja dann im LAN des Schläfers erzeugt werden.
Die Pakete direkt durch das VPN zu schicken ist viel schwieriger, weil es dort nur eine Verbindung auf IP-Ebene gibt, also die Ethernet-Pakete nicht unverändert durchgeleitet werden. Vielmehr schaut sich der VPN-Router den IP-Teil jedes Pakets an und packt ihn neu ein (je nach VPN-Technik unterschiedlich). Dabei verwirft er alle Pakete, die nicht ausdrücklich an IP-Adressen im entfernten Netz gehen. Deshalb bleiben die Ethernet-Broadcasts auf der Strecke.
Der Trick ist also, ein IP-Paket zu erzeugen, das den für WoL nötigen Inhalt hat und durch die VPN-Verbindung bis zum Schläfer läuft. Da fällt mir leider keine immer funktionierende Lösung ein, denn Pakete, die an alle Rechner eines Netzes gehen (zum Beispiel IP-Broadcasts), sollte ein Router ausfiltern, sie kommen also meist nicht an.
Eventuell können Sie den aufzuweckenden Rechnern feste Adressen zuteilen und auf dem VPN-Router statische Einträge in der ARP-Tabelle anlegen. Dann könnten Sie die WoL-Pakete einfach an die IP-Adresse des zu weckenden Rechners schicken. (je) (ha)
