ich versuche derzeit, ein ikev2 Split-Tunnel VPN zwischen einem Lancom ISG1000 und dem nativen VPN-Client von macOS Big Sur 11.6.1 aufzubauen.
Dafür habe ich in der Verbindungsliste auf dem Lancom eine Netzwerkregel für einen internen Adressbereich 10.1.0.0/16 angelegt.
Das funktoniert dann auch soweit:
Der Client verbindet sich, es wird eine SA für das o.a. Netz erzeugt und es wird lediglich der Traffic des Subnets durch den Tunnel geschickt.
Nun möchte ich aber feiner granulieren und habe daher die Regeln für die Netze 10.1.1.0/24 sowie 10.1.10.0/24 angelegt.
Wenn ich nun eine Verbindung herstelle, wird lediglich eine SA erzeugt und es kann folglich auch nur ein Netz erreicht werden.
Wie hier bei einem "show vpn" zu sehen, sind beide Regeln eingetragen:
Code: Alles auswählen
show vpn:
Rule #60 ikev2 10.1.1.0/24 ANY ANY <-> 0.0.0.0/32 ANY ANY
Name: VPN_TEST2
Unique Id: IPSEC-0-VPN_TEST2-PR0-L0-R0
Flags: config-server
Rule #61 ikev2 10.1.10.0/24 ANY ANY <-> 0.0.0.0/32 ANY ANY
Name: VPN_TEST2
Unique Id: IPSEC-1-VPN_TEST2-PR0-L0-R0
Flags: config-server
Code: Alles auswählen
show vpn sadb:
SA: Peer VPN_TEST2, Rule IPSEC-1-VPN_TEST2-PR0-L0-R0 CHILD_SA ikev2 responder
Flags 0x0000010100000008 Ready
Routing-tag 0, Com-channel 68
life secs 28800 rekeying_in 25918 secs life_cnt_sec 28798 secs kb 2000000 byte_cnt 0
initiator id: VPN_TEST2@intern, responder id: VPN_TEST2@intern,
src: "quellip" dst: "zielip"
10.1.10.0/24 <-> 10.1.99.99/32
proposal 1 protocol IPSEC_ESP Encryption AES-CBC-256 Integrity AUTH-HMAC-SHA-256 PFS-DH-Group None ESN None
spi[outgoing] 0x1aea9b40
spi[incoming] 0x1467ef4d
https://support.apple.com/de-de/guide/d ... /1/web/1.0
Interessant ist auch, dass ich das ganze auch nochmal mit dem Advanced VPN Client getestet habe, dort tritt das selbe Verhalten auf.
Danke schonmal und LG