AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

Hallo da.eXecutoR

Bin mir nicht sicher, ob ich dein VPN Konzept richtig verstanden habe. Machen die User von ihrem Rechner aus den Tunnel auf? In dem Falle könnte man (unter Windows) bei den erweiterten TCP Optionen die Option "Standardgateway für das Remotenetzwerk verwenden" raus nehmen. Damit geht Internet-Traffic über den lokalen Internet Anschluss raus und es geht nur das per VPN raus, was auch wirklich im anderen Netz ist.

Ist es hingegen so dass du ein Netz hast, welches mit einem anderen Netz verbunden werden soll - dann hast du deinen Router als Default Gateway drin und es obliegt dann der Verantwortung des Routers, die korrekten Routen zu wählen. Vielleicht kannst du da was mit Metriken und/oder statischen Routen probieren... (192.168.20.0/24 = über den VPN Tunnel, 0.0.0.0 übers Internet WAN Interface, oder so).

Gruss
Greg

AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

Salü

Es ist so wie im ersten Szenario beschrieben, die Clients öffnen den Tunnel via WinXP Client. Den Hacken rausnehmen bringt zwar den Verkehr vom Internet über den lokalen Gateway, das Problem ist aber dass ich dann vom VPN Tunnel keinen Gateway und die Subnet Maske 255.255.255.255 erhalte. Somit ist zwar der Aufbau vom Tunnel möglich, aber ich kann das Remote Netzwerk nicht mehr erreichen.

Das mit dem Hacken bei Standartgateway hab ich in div. Foren gefunden, bei mir aber nicht zum richtigen Resultat geführt. Bei anderen Teilweise ebenfalls nicht. Denke dass es hier wohl abhängig ist davon ob man eine reine IPSec oder eine L2TP Verbindung aufbaut.

Sollte ich und der Supporter von Studerus falsch liegen, so gib mir bitte mal einen Tipp.

Gruss

AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

Ok, ich kenne die USG200 nicht und kann daher nicht sagen, ob irgend eine Abhängigkeit darin zwischen IPSec und dem Routing besteht. Grundsätzlich spielt es aber keine Rolle, ob das VPN per LT2P, PPTP oder IpSec oder aufgebaut wird - das eigentliche Routing ist grundsätzlich eine davon unabhängige Aufgabe (bitte korrigiert mich, wenn ich mich hier täusche).

Wenn du keinen Gateway und die Subnetzmaske 255.255.255.255 hast, so spielt der WinXP Client selber Gateway und entscheidet, was wo hin geht - im falle des Hakens eben VPN Traffic über den Tunnel und alles andere über den 'normalen' Gateway.

Aber wirklich weiter helfen kann ich hier glaub nicht mehr. Vllt. ein Traceroute ins VPN und ins Internet machen zum schauen,. ob das Routing grundsätzlich tun würde, oder ob der Fehler woanders liegt?

AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

hi


hmm.. verwendest du denn die USG als VPN Server Endpunkt ? oder setzt du RRAS ein ?
hast du im VPN Netz weitere Subnetze ?



Bitte um mehr infos.

p.s. hmm.. ipsec ohne l2tp ?? wusste nicht das das geht.. ..

Gruss

Darki

AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

Vielleicht habe ich es überlesen, aber was für einen Client setzt Du ein? XP? Vista? Weil ich habe so im Hinterkopf, dass bei Vista irgendwo der Wurm drin ist mit VPN und Routing und so.

AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

Vielen Dank erstmal für die vielen Antworten.

Es handelt sich um L2TP over IPSec (L2TP ohne IPSec gibt es soweit ich weiss nicht)

Das Problem liegt aber glaube ich am L2TP Client vom Windows. Um das nochmals klar auszulegen, es handelt sich um den L2TP XP sowie Vista Client.

Gerne werde ich mal ein Tracert machen um mehr Informationen liefern zu können.

Ich dachte meine Frage lässt sich leichter beantworten aber VPN scheint doch ein ziemlich spezifisches "Ding" zu sein und der Wissensstand um dessen weit gestreut.

Die USG200 ist der VPN Endpunkt.

Netze sehen wie folgt aus:

Firmennetzwerk: 172.16.0.1 - 254
VPN Client Netzwerk: 192.168.201.1 - 50

Ich hab im Anhang mal einen Screenshot mitgegeben wie es aussieht wenn ich die Verbindung ganz normal herstellt.

Werde nachher mal noch testen wie die Konfiguration aussieht wenn ich den Hacken bei Standartgateway entferne.

Gruss

da.eXecutoR

AW: Kein splitten von VPN/Internet möglicht mit dem L2TP VPN Protokoll?

Moin

Also ich hab das ganze nun nochmal getestet.

Im Anhang findet ihr die Resultate:

vpn_osg - WinXP Client, Verbindung ohne Hacken Standardgateway für Rem...

vpn_normal - WinXP Client, normale Verbindung

vpn_normal_tracert - WinXP Client, normale Verbindung, tracert auf einen Host im Ziel netzwerk

komisch finde ich hier dass er mir hier das WAN Interface der USG200 angibt anstelle der LAN Adresse ( 172.16.0.200 )

Interessant ist auch dass beim Test vom Post vorher den ich von zu Hause aus gemacht habe via Vista der Gateway mit 0.0.0.0 angegeben war?

Scheinbar doch ein Unterschied zwischen XP und Vista Client.

Gruss & schönes Weekend

da.eXecutoR