nicht kompletten Verkehr durch den Tunnel /lokales Gateway

[Hexor]

Hallo zusammen,

leider habe ich in diesem Forum nach intensiver Suche noch keine Antwort auf mein Problem gefunden:

Bei einem Kunden habe ich einen LANCOM1821+ eingerichtet und möchte nun das Notebook eines Außendienstmitarbeiters über den NCP-VPN-Client an das lokale Netzwerk hinter dem Router anbinden.

Die Tunnel steht soweit. Mal abgesehen von der Sicherheitsfrage ist es nun erwünscht, dass nicht sämtlicher Datenverkehr durch den VPN-Tunnel geroutet wird. Wenn sich der Außendienstmitarbeiter über seine (variablen!!!) W-Lan Access Points einwählt, so soll er weiterhin über diese lokal surfen können.

Wie lässt sich das technich bewerkstelligen? Im Client ist der "IKE Config Mode" eingestellt. Es wird dem Client ein Gateway zugewiesen, dessen Adresse +1 seiner eigenen IP-adresse ist.

Bei Cisco kann ich mich an das Schlagwort "Split-Tunneling" erinnern.

Danke für die Antworten!!

[maiki]

Hallo Hexor,

du musst im VPN Client unter Konfiguration -> Profil-Einstellungen -> dein Profil -> VPN-Netzte die IP-Netze eintragen, welch über den Tunnel erreicht werden sollen. Dann müsste es wie gewünscht funktionieren.

Grüße Maik

[Hexor]

Hallo Maik,

danke für die schnelle Antwort.

Das habe ich auch schon der Anleitung des VPN-Clients entnommen.

"Wenn Tunneling genutzt wird und hier keine Einträge
erfolgen, so wird die Verbindung immer zum Tunnel-Endpunkt des VPN
Gateways aufgebaut. Soll alternativ ein Tunneling zur Zentrale erfolgen, so
müssen hier die IP-Netze eingetragen werden, die vom Client erreicht werden
sollen."

Mit der Formulierung konnte ich mich leider nicht anfreunden.
Heißt das, dass wenn dort etwas eingetragen wird, durch den VPN-Tunnel nur noch zu diesen Netzen übertragen wird. (Das Problem also von hinten angehen).

Das würde bei meiner Konfiguration heißen, dass ich am Client dort einmal das Netz des LANs hinter dem Router eintragen muss, oder? Nur das soll ja von außerhalb erreicht werden. Alles weitere wird dann über die lokal verfügbaren Gateways geroutet?

[maiki]

Hallo Hexor,

genau so ist das.
Trage die IP-Netze (welche über den VPN-Tunnel erreicht werden können/sollen) wie von mir in meiner ersten Antwort beschrieben ein und wird funktionieren.

Grüße

Maik

[Hexor]

Vielen Dank!

Funktioniert,

mit Freundlichen Grüßen,

Peer

[ZEUS]

Hallo Hexor, hallo maiki,

habe hier die gleiche Frage zwischen zwei Routern:

Es soll eine Standortkopplung zwischen 2x 1722 erfolgen (es werden ein paar kleinere Dateien übertragen).

Internetverkehr (Surfen, Email, Programmupdates Windows/Office, usw) soll allerdings lokal am eigenen Router rausgehen.
Also nicht durch den Tunnel und über den entfernten Router laufen.

Schönes Wochenende.
ZEUS/Patrick

[LoUiS]

Hi,

bei einer LAN-LAN Kopplung zwischen zwei LANCOM, die mit dem VPN Assistenten erstellt wurde, werden nur Daten an das entfernte Netz durch den Tunnel geschickt. Alles andere geht ueber die Default Route (oder ueber andere Routen, die in der Routing Tabelle definiert sind) des LANCOM raus.


Ciao
LoUiS

[ZEUS]

Hi Louis,

danke dir. Das steht dazu im Handbuch: "Die Internet-Verbindung, über die eine VPN-Verbindung aufgebaut wurde, kann weiterhin parallel für herkömmliche Internet-Anwendungen (Web, Mail etc.) verwendet werden."
Im Addendum "Im letzten Schritt legen Sie fest, wie die verbundenen Netzwerke untereinander kommunizieren können" und dann "Nur das INTRANET der Zentrale wird für die Außenstellen verfügbar gemacht werden". Das ist genau das was ich benötige oder?
Intranet (z.B. auch für Virenschutz) soll erreichbar sein. Internet/Email/Updates lokal.

Das coole an den LANCOMs: Egal ob die IP statisch, dynamisch oder eine Mischung ist - eine Verbindung irgendwie immer zustande.

An beiden Standorten ist ISDN und ADSL vorhanden. Einmal Arcor in der Zentrale (ich glaube dynamische IP - muss noch geklärt werden) und T-Systems in der Filiale (dynamisch/statisch wählbar).
Die vier unterschiedlichen Arten zum Verbindungsaufbau hab ich mir angesehen. Am Besten ist es natürlich 2x statisch zu realisieren.

Was mir noch nicht ganz einleuchtet:
Im Addendum zum LCOS Handbuch steht auf Seite 81, dass man den Filialrouter auf den Zentralrouter im LANconfig zieht und dann der 1-Click-VPN automatisch gestartet wird.
Kann ich die Router hier "trocken" vorkonfigurieren (sollten dann ja zwei unterschiedliche IPs haben: 192.168.5.1 und 192.168.6.1).
Oder ist es besser beide Router grundlegend zu konfigurieren und an beide Standorte zu bringen. Jeweils auf beide Router per ISDN einwählen damit sie im LANconfig sichtbar sind. Dann 1-Click-VPN starten.

Da fehlts noch bei mir....