Split-Tunneling - mehrere Subnetze/SAs

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
flens
Beiträge: 3
Registriert: 09 Dez 2021, 15:10

Split-Tunneling - mehrere Subnetze/SAs

Beitrag von flens »

Moin,

ich versuche derzeit, ein ikev2 Split-Tunnel VPN zwischen einem Lancom ISG1000 und dem nativen VPN-Client von macOS Big Sur 11.6.1 aufzubauen.

Dafür habe ich in der Verbindungsliste auf dem Lancom eine Netzwerkregel für einen internen Adressbereich 10.1.0.0/16 angelegt.
Das funktoniert dann auch soweit:
Der Client verbindet sich, es wird eine SA für das o.a. Netz erzeugt und es wird lediglich der Traffic des Subnets durch den Tunnel geschickt.

Nun möchte ich aber feiner granulieren und habe daher die Regeln für die Netze 10.1.1.0/24 sowie 10.1.10.0/24 angelegt.
Wenn ich nun eine Verbindung herstelle, wird lediglich eine SA erzeugt und es kann folglich auch nur ein Netz erreicht werden.

Wie hier bei einem "show vpn" zu sehen, sind beide Regeln eingetragen:

Code: Alles auswählen

  
  show vpn:
  
  Rule #60         ikev2        10.1.1.0/24 ANY ANY <-> 0.0.0.0/32 ANY ANY
    Name:                       VPN_TEST2
    Unique Id:                  IPSEC-0-VPN_TEST2-PR0-L0-R0
    Flags:                      config-server

  Rule #61         ikev2        10.1.10.0/24 ANY ANY <-> 0.0.0.0/32 ANY ANY
    Name:                       VPN_TEST2
    Unique Id:                  IPSEC-1-VPN_TEST2-PR0-L0-R0
    Flags:                      config-server
Wie hier bei einem "show vpn sadb" zu sehen, wird allerdings nur eine SA erzeugt.

Code: Alles auswählen

  show vpn sadb:

  SA: Peer VPN_TEST2, Rule IPSEC-1-VPN_TEST2-PR0-L0-R0 CHILD_SA ikev2 responder
  Flags 0x0000010100000008   Ready
   Routing-tag 0, Com-channel 68
   life secs 28800 rekeying_in 25918 secs life_cnt_sec 28798 secs kb 2000000 byte_cnt 0
   initiator id: VPN_TEST2@intern, responder id: VPN_TEST2@intern,
   src: "quellip" dst: "zielip"
   10.1.10.0/24 <-> 10.1.99.99/32
   proposal 1 protocol IPSEC_ESP Encryption AES-CBC-256   Integrity AUTH-HMAC-SHA-256   PFS-DH-Group None   ESN None
     spi[outgoing]   0x1aea9b40
     spi[incoming]   0x1467ef4d  
     
Meine Frage ist nun, ob ich hier was auf dem Lancom vergessen oder falsch gemacht habe oder liegt es am nativen Mac-Client, der dieses Szenario in der Art überhaupt nicht unterstützt? Habe zu Letzterem kaum Informationen gefunden, außer das Split-Tunneling über ikev2 von macOS grundsätzlich unterstützt wird (in folgendem Link beschrieben):
https://support.apple.com/de-de/guide/d ... /1/web/1.0

Interessant ist auch, dass ich das ganze auch nochmal mit dem Advanced VPN Client getestet habe, dort tritt das selbe Verhalten auf.

Danke schonmal und LG
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Split-Tunneling - mehrere Subnetze/SAs

Beitrag von backslash »

Hi flens,

das kann so schon korrekt sein... viele Cliests bauen SAs nur bei Bedarf auf, also erst wenn passender Traffic läuft.
Teste daher, ob die zweite SA aufgebaut wird, wenn du Traffic vom Client in das betreffende Netz (10.1.1.0/24) schickst - z.B. einfache ein ping 10.1.1.1...

In dem Fall stellt sich dann auch die Frage, ob der MAC-Client auch damit umgehen kann, wenn das LANCOM eien SA aufbauen will, falls der Traffic zurest vom zweiten Netz Richtung Client laufen soll - auch da haben einige Clients leider immer wieder Probleme. Wenn der MAC-Client das nicht vernünfigt händeln kann bleibt dir leider nichts anderes übrig, als ihm wieder das übergreifende Netz anzubieten und unerwünschten Traffic über Firewallregeln auszufiltern

Ein LANCOM baut i.Ü. nur dann alle SAs auf einmal auf, wenn es selber auch Initiator der VPN-Verbindung ist. Ist es hingegen Responder werden die SAs nach Bedarf aufgebaut - so wie es ursprünglich in den RFCs auch vorgesehen ist.

Gruß
Backslash
flens
Beiträge: 3
Registriert: 09 Dez 2021, 15:10

Re: Split-Tunneling - mehrere Subnetze/SAs

Beitrag von flens »

Hey,

ich habe zusätzlich auch versucht, das Szenario mit dem Lancom Advanced VPN Client abzubilden (dort sollte dies ja eigentlich funktionieren?)

Auch in dem Fall habe ich das gleiche Verhalten:
Es wird nur eine SA erzeugt, wenn ich versuche das zweite Netz anzupingen, funktioniert dies ebenfalls nicht.
Ich hatte im Client auch versucht, in den Profileinstellungen die beiden Netze in der Remote Network Tabelle einzutragen.
Ebenfalls ohne Erfolg.
nn84
Beiträge: 1
Registriert: 25 Dez 2021, 19:11

Re: Split-Tunneling - mehrere Subnetze/SAs

Beitrag von nn84 »

Hallo flens,

zunächst wünsche ich frohe Weihnachten in die Runde. :-)

Ich beschäftige mich gerade mit dem selben Phänomen, mein MacBook mittels MacOS Boardmitteln über ikev2 VPN mit den Lancom zu verbinden.
Bin hier auf deinen Beitrag gestoßen, da ich wie gesagt die gleichen Probleme habe.

Verbindung wird zum LANCOM aufgebaut und das externe Netz 10.22.75.0/24, welches auch in den Netzwerk-Regeln eingetragen wurde, kann ohne
Probleme erreicht werden. Nun soll zusätzlich noch das Netz 192.168.11.0/24 erreichbar sein. Wird diese IP unter den Netzwerk-Regeln ergänzt, so ist nur noch das 192.168.11.0/24 Netz erreichbar. Das 10.22.75.0/24 Netz kann nicht mehr erreicht bzw. angepingt werden.

Eigentlich genauso wie du es bereits geschrieben hast.

Meine Frage ist nun, ob du eine Lösung für dein Problem gefunden hast.

Ich würde mich sehr freuen, eine kurze Rückinfo von dir zu erhalten.

Vielen Dank und viele Grüße.
Antworten