Zugriff von entferntem Standort auf Einwahl VPNs des lokalen Netzes möglich?

[Taupunkt]

Hallo,

wie haben unsere Filiale via Standortkopplung mit unserer Zentrale per VPN verbunden.
Die Zentrale ist der Hauptrouter, aber beide Standorte haben jeweils ein eigenes lokales Netz:
Zentrale: 10.2.10.0
Filiale: 10.2.20.0

An der Zentrale gibt es außerdem Einwahl VPNs via IKEv2. Ein Einwahl Client bekommt im VPN Tunnel dann bspw. die IP 10.2.10.42 etc.
Die Einwahl VPNs sind via IPv4 Regeln so eingestellt, dass nur deren Anfragen an das lokale Netz 10.2.10.0 über den Tunnel laufen. Der restliche Datenverkehr geht am Tunnel vorbei.

Soweit funktioniert alles perfekt. Das Problem ist:
Von der Filiale mit bspw. einer IP 10.2.20.100 aus sind die Einwahl Clients der Zentrale bspw. 10.2.10.42 nicht erreichbar. Sie sind nicht mal anpingbar.
An der Firewall liegt es nicht.
Wenn ich allen Datenverkehr der Clients über den Tunnel schicke, geht es. Aber das möchte ich nicht, weil es andere Probleme mit sich bringt.

Habt Ihr einen Tipp für mich?
Danke für Hinweise
Taupunkt

[b.junghans]

Naja, Daten von der Filiale an die Cleints düften schon ankommen nur eben die Antworten nicht, da der Client mit 10.2.20.x nix anfangen kann und die Daten somit nicht zurück an die Zentrale und von dort zur Filiale sendet, sondern über die defaut Route ins Internet und von da keine Antwort kommt.

Du müsstest also an dne Clienten ne Route einrichten die besagt, dass Daten an 10.2.20.x an den Tunnel zur Zentrale geschickt werde.

[Taupunkt]

Danke, so hab' ich's gemacht und es hat geklappt.
Der Eintrag erfolgt unter VPN/ Allgemein/ Netzwerkregeln.
Dort habe ich für den externen Client zwei Regeln erstellt.
1x Zugriff auf das lokale Netz 10.2.10.0 über VPN mit Netzmaske 255.255.255.0
1x Zugriff auf das lokale Netz 10.2.20.0 über VPN mit Netzmaske 255.255.255.0
Die beiden Regeln habe ich in einer Regelliste zusammengefasst.
Und unter VPN/ IKEv2/ Verbindungsliste habe ich auf die IPv4 Regelliste verwiesen beim jeweiligen Einwahl-Eintrag.

Dies nur zur Erklärung, falls jemand anderes mal das Problem hat.

Taupunkt

[Taupunkt]

Seltsamerweise klappt es jetzt doch wieder nicht. Für mich nicht nachvollziehbar und reproduzierbar.

Hat jemand einen Tipps für mich?
Die Einwahl VPNs sind nicht vom externen Standort erreichbar.

Der externe Standort hat ein eigenes lokales Netz mit 10.2.20.0, Netzmaske 255.255.255.0
Das lokale Netz hat 10.2.10.0, Netzmaske 255.255.255.0
Die Einwahl VPNs IKEv2 bekommen eine IP des lokalen Netzes z.B. 10.2.10.52

In VPN/ Allgemein/ IPv4 Regeln habe ich je Einwahl Client (z.B. 10.2.10.52) zwei Regeln definiert:
A) lokale Netzwerke 10.2.10.0/255.255.255.0 und entfernte Netzwerke 0.0.0.0/32
und
B) lokale Netzwerke 10.2.20.0/255.255.255.0 und entfernte Netzwerke 0.0.0.0/32

Die beiden Regeln A und B habe ich in einer Regelliste für den jeweiligen Einwahl Client zusammengefasst.
In IKEv2 Verbindungsliste wird bei jedem Einwahl Client unter VPN Regelerzeugung 'manuell' auf die entsprechende Regelliste verwiesen.

Abgesehen davon, dass Rechner aus dem entfernten Netz (also 10.2.20.x) die Einwahl Clients (also z.B. 10.2.10.52) nicht 'sehen' oder erreichen können, gibt es auch das Problem, dass die Einwahl Clients auf das lokale Netz (also 10.2.10.x) nicht zugreifen können.
Sobald ich Regel B) lösche, können die Einwahl Clients auf das lokale Netz zugreifen und viceversa.
Aber dann sind die Einwahl Clients für das entfernte Netz weiterhin nicht sichtbar.

Ich bin ratlos...
Hat jemand eine Idee?

[b.junghans]

Sind das Lancom Advanced VPN Clients?
Wenn ja, was hast du unter Split tunneling dort eingetragen? Immernoch dass nur Traffic nach 10.2.10.x/24 durch das VPN geroutet werden soll?
Habe doch direkt am Anfang gesagt du musst ne Route eintragen, dass auch 10.2.20.x/24 durchs VPN geroutet wird, sonst kann es natürlich nicht gehen.
Da ist auch der Grund warum es klappt wenn du sagst dass der gesamte Traffic durchs VPN geroutet werden soll.

Bezüglich dem Probelm mit den Clients und dem Zugriff aus lokale Netz weiß ich jetzt auch nicht wirklich. Hab noch nicht mit den Regeln an dem Punkt des LCOS gearbeitet, habe sie althergebracht immer in der Fireewall definiert.

[Taupunkt]

Danke für Deinen neuen Beitrag.
Es sind keine VPN Clients, aber ich habe die Einwahl-Stellen mit dem Assistenten eingerichtet.

Nach meinem Verständnis hatte ich einen Eintrag gemacht, dass der Traffic sowohl für 10.2.10.x/24 (Regel A) als auch für 10.2.20.x/24 (Regel B) durch das VPN geroutet werden soll. Dafür sind doch die ipv4 Regeln unter VPN/Allgmein/ gedacht. Dort hatte ich die beiden Regeln A und B angelegt.

Das Seltsame ist: beide Regeln funktionieren alleine für sich problemlos.
Wenn ich nur Regel A aktiviere, funktioniert die Verbindung zwischen dem Einwahl Client (z.B. 10.2.10.52) und dem lokalen Netz 10.2.10.x/24.
Wenn ich nur Regel B aktiviere, funktioniert die Verbindung zwischen dem Einwahl Client (z.B. 10.2.10.52) und dem Netz der Filiale 10.2.20.x/24.

Wenn ich aber beide gleichzeitig in der Regelliste für den jeweiligen IKEv2 Eintrag aktiviere, funktioniert KEINE Verbindung mehr.

[b.junghans]

Das sind nur die Regeln für die Netzbeziehungen im Router.

Die Clients (welche Software baut denn da die VPN Verbindung auf?) müssen ja auch noch wissen, dass wenn sie Stationen in 10.2.20.x/24 erreichen wollen, diesen Traffic duch das VPN leiten und nicht am VPN vorbei. DAFÜR musst du eine Route am Client einrichten.
Daher ja die Frage ob du momentan ALLEN Traffic durchs VPN leitest oder wie im Eingangspost nur den Traffic für 10.2.10.x/24

[Taupunkt]

DAFÜR musst du eine Route am Client einrichten.
Daher ja die Frage ob du momentan ALLEN Traffic durchs VPN leitest oder wie im Eingangspost nur den Traffic für 10.2.10.x/24

Die Clients sind die betriebssystemeigenen Mechanismen von iOS und macOS. Bei IKEv2 wird den Clients beim Aushandeln der VPN Verbindung vom VPN servenden Router mitgeteilt, welche Daten über den Tunnel gehen sollen und welche Daten am Tunnel vorbei sollen.

Das passiert über die IPv4 Regeln wie von mir beschrieben. Ein zusätzlicher Routing Eintrag bei den Clients ist nicht vorgesehen und normalerweise nicht möglich.

Du hast mich aber trotzdem auf einen Gedanken gebracht: vielleicht haben iOS und macOS einen Bug und kommen durcheinander, wenn sie vom Router die Info bekommen, Anfragen für zwei lokale Netze durch den Tunnel zu schicken.
Denn eigentlich meine ich, im Lancom Router alle Eintragungen richtig vorgenommen zu haben, und so ganz falsch scheint es ja nicht zu sein, wenn die beiden Regeln für sich betrachtet funktionieren.

[b.junghans]

ich wollte eigentlich was schreiben aber lasse es
Zum letzten Mal: ohne Route weiß der Client nicht, dass er Daten an 10.2.20.x/24 durchs VPN schicken muss und leitet diese an das default gateway, der Router teilt ihm das jedenfalls NICHT mit.
Evtl schckt IOS einfach ALLEs durchs VPN, das weiß ich nicht. Du meintest ja du hättest das eingestellt, dass der Client nur Daten an 10.2.10.x/24 durchs VPN schickt. Wie auch immer du das gemacht hast, auf jedenfall nicht in dem Router in dem sich der Client einwählt....
Und genauso müsstest du dann einstellen, dass der Client auch Anfragen an 10.2.20.x/24 durchs VPN schickt (wie gesagt AM CLIENT, NICHT im Router)

schönes Wochenende...

[Taupunkt]

ich wollte eigentlich was schreiben aber lasse es
Zum letzten Mal: ohne Route weiß der Client nicht, dass er Daten an 10.2.20.x/24 durchs VPN schicken muss und leitet diese an das default gateway, der Router teilt ihm das jedenfalls NICHT mit.
Evtl schckt IOS einfach ALLEs durchs VPN, das weiß ich nicht. Du meintest ja du hättest das eingestellt, dass der Client nur Daten an 10.2.10.x/24 durchs VPN schickt. Wie auch immer du das gemacht hast, auf jedenfall nicht in dem Router in dem sich der Client einwählt....
Und genauso müsstest du dann einstellen, dass der Client auch Anfragen an 10.2.20.x/24 durchs VPN schickt (wie gesagt AM CLIENT, NICHT im Router)

schönes Wochenende...

Kein Grund für Verärgerung - ich hab' Deinen Einwand verstanden und danke Dir für die Hilfe.
Nur weiß ich leider nicht, an welcher Stelle ich im Client den Datenverkehr routen könnte. Vielleicht müsste ich mir einen anderen Client kaufen.
Trotzdem bin ich irritiert, dass es ja eigentlich so klappt, wie es gar nicht klappen würde:
Wenn ich die Regel serverseitig wie beschrieben definierte, macht der Client ja brav das, was er tun soll. Wenn ich im Server definiere, dass alles über den Tunnel gehen soll, schickt der Client alles über den Tunnel.
D.h. irgendwie holt er sich die Info wie beschrieben vom Server und routet und den festgelegten Teil des Verkehrs über Tunnel. Ich kann mir das nicht erklären, weil Du ja schreibst, dass der Server dem Client dies nicht mitteilt. Im Anhang sende ich Dir einen Screenshot über alle Optionen, die man im Client einstellen kann. Wüsste nicht, wo ich dort die Route eintragen kann.

Nochmals danke für Deine Einwürfe und ebenfalls ein schönes Wochenende

VPN Client Configurator.png

[b.junghans]

wie gesagt, Routen und Regeln/Netzbeziehungen sind 2 paar Schuhe
kleiner Tipp: https://www.lancom-systems.de/docs/LCOS ... 46199.html

wahrscheinlich routet iOS einfach ALLES durchs VPN andernfalls könnte es nicht funktionieren.

bleiben die Regeln. diese habe ich wie gesgat nicht an dem Punkt den du genant hast definiert sondern, wie auch in dem Link oben, klassisch in der Firewall.

[Taupunkt]

wahrscheinlich routet iOS einfach ALLES durchs VPN andernfalls könnte es nicht funktionieren.

Vielen Dank für den Link - werde ich sorgfältig studieren - vielleicht hilft er mir auf die Sprünge.
iOS (und auch macOS) routen nur dann alles über den Tunnel, wenn ich es im Server Router so definiere.
Ansonsten routet er nur den im Server hinterlegten Adressbereich über den Tunnel.
Ist verrückt und völlig unglaubwürdig und ich kann's Dir nicht beweisen, aber das ist es, was hier zweifellos passiert.
Aber vielleicht hilft mir der Link unabhängig davon, es richtig zu machen und mein Problem zu lösen...

[Taupunkt]

Hier noch ein paar Foren Beiträge, die mehr oder weniger direkt mit dem Thema zu tun haben...

alles-zum-lancom-advanced-vpn-client-f3 ... 17814.html

IP Routing VPN.png