Separater IP-Adressbereich für VPN IKEv2

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Separater IP-Adressbereich für VPN IKEv2

Beitrag von Burak »

Hallo,

ich muss leider schon wieder eine Frage stellen, dies mal zu dem Thema VPN.

Der IP-Pool für die IKEv2 Clients liegt im selben IP-Netzwerk, wie das Standardnetz 192.168.100.0/24.
Diesen Pool würde ich gerne ändern auf 192.168.60.0/24.
Die Clients haben in der LANCOM VPN Software Split-Tunneling aktiv und ein Eintrag auf 192.168.100.0/24 ist eingestellt.
Im LANCOM Router kann man ja ganz einfach unter IKEv2 -> IPv4-Adressen einen weiteren Pool hinzufügen und im Verbindungsprofil dann hinterlegen.
Der Client bekommt auch eine IP-Adresse aus diesem Bereich, allerdings passiert nicht mehr. Ein Zugriff ist nicht möglich.
Ich habe auch probiert ein weiteres IP-Netzwerk für diesen Bereich zu erstellen und dem Router somit eine weitere IP-Adresse zu geben, doch leider bringt das auch nichts. Ein ping auf 192.168.60.254 oder 192.168.100.254 ist ohne Erfolg.
Das Standardnetz 192.168.100.0/24 ist im VLAN 10 und Schnittstellen-Tag 0. Das VPN-Netz habe ich sowohl im VLAN10 als auch in einem neuen VLAN60 eingestellt, beides bringt aber nichts.

Das hört sich natürlich alles nach Tüftelei an, leider weiß ich nicht, wo ich mich informieren muss um das genauer zu verstehen.
Ich habe auch in der Suche geschaut, da gab es zwei Themen dazu, aber da stand nur drin, dass die Personen einen IP Pool angelegt haben und es hat bei denen funktioniert. Kann mir einer erklären, an welchen Stellen man was einstellen muss, so dass ein unabhängiger Pool funktioniert?

Vielen Dank!

VG
Burak
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Separater IP-Adressbereich für VPN IKEv2

Beitrag von backslash »

Hi Burak

das klingt für mich danach, daß auf den Rechnern, auf die die VPN-Clients zugreifen sollen, eine Firewall läuft, die Zugriffe aus anderen Netzen ablehnt - oder aber das LANCOM ist dort nicht das Default-Gateway...

Gruß
Backslash
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Re: Separater IP-Adressbereich für VPN IKEv2

Beitrag von Burak »

Hallo,

wenn der .100er Pool eingestellt ist, funktioniert ja alles. Was mich hier aber auch schon gewundert hat, ein Default Gateway wird vom Client gar nicht hinterlegt. Also, selbst bei der funktionierenden Konfiguration hat der Netzwerkadapter kein Gateway eingetragen. Das hat mich schon skeptisch gemacht. Es gibt ja auch keine Option im LANCOM Router um zu sagen, welches Gateway an den Client gepusht werden soll. Vermutlich kriegt der das dann selber raus beim Verbindungsaufbau?
ftm
Beiträge: 8
Registriert: 24 Mär 2021, 07:54

Re: Separater IP-Adressbereich für VPN IKEv2

Beitrag von ftm »

Welcher Client bzw. welche Client Software wird verwendet? Windows 10 build-in? Da hab ich bei Split-Tunneling auch schon festgestellt, dass man die Route manuell mit "route add" hinzufügen muss, da sonst kein Traffic in den Tunnel geht.

Edit: Kannst ja mit "route print" kontrollieren, ob überhaupt ne Route zum VPN-Gateway eingetragen ist
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Separater IP-Adressbereich für VPN IKEv2

Beitrag von backslash »

Hi burak,

bei den Gateway meinte ich NICHT die VPN-Clients, sondern die PCs in deinem LAN, AUF die die VPN-Clients ZUGREIFEN

Gruß
Backslash
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Re: Separater IP-Adressbereich für VPN IKEv2

Beitrag von Burak »

Hallo,

der LANCOM Advanced VPN Client wird hier verwendet.
Bei den Clients / Servern die angepingt werden oder wo man zugreifen will ist ein L3-Switch eingestellt und der Routet dann alles weitere auf den LANCOM Router. D.h. das 192.168.60.0/24 Netz wird spätestens beim LANCOM gefunden, wenn ich dieses auch als Netz bei den IP-Netzwerken hinzufüge. Aber unabhängig davon, müsste der VPN Client ja auch auf den LANCOM Router antworten, d.h. 192.168.60.254 (Router Adresse) oder 192.168.100.254. Das tut er ja aber schon nicht.

Ist das unüblich, dass man ein anderes Subnetz für die VPN Zugänge nimmt? Ein Knowledge-Beitrag bei LANCOM wäre dafür eigentlich ganz gut. Hilft mir hier ansonsten der LANCOM Support auch weiter, wenn ich ein Ticket erstelle?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Separater IP-Adressbereich für VPN IKEv2

Beitrag von backslash »

Hi Burak
Bei den Clients / Servern die angepingt werden oder wo man zugreifen will ist ein L3-Switch eingestellt
und da haben wir dann auch schon ein mögliches Problem... Vermutlich ist der L3-Switch bei den Servern als Gateway eingetgragen und der kennt dann offennbar die Route zum 192.168.60.0/24 Netz nicht...

Wenn der Switch die Route kennt (das kannst du testen, indem du ein traceroute vom Server zum client machst), dann liegt das Problem an den Servern. Stichwort "Desktop-Firewall"..
So erlauben z.B. übliche NAS-Boxen in ihrer Default-Konfiguration nur den Zugriff aus dem direkten lokalen Netz. Hier mußt du dann hinehen und den Zugriff auch aus dem 192.168.60.0/24 Netz erlauben...


Gruß
Backslash
Antworten