• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Die Bildungsoffensive hier im Forum geht weiter! Jetzt sollen Kreativität und technische Möglichkeiten einen neue Dimension erreichen. Das Thema in diesem Monat lautet - Verkehrte Welt - Hier geht es lang --> Klick

default gateway bei VPN-Verbindungen (Cisco IPSec)

derspacy

Gala
Registriert
19.07.08
Beiträge
50
Hallo,

ich benutze seit 10.6 - jetzt unter 10.7 - den ab Werk enthaltenen VPN Client für Cisco IPSec-Verbindungen zu diversen Fritzboxen.
Standardmäßig wird nach dem Aufbau der Verbindung der default gateway gesetzt:

Code: 
Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            utun0              UCS             9        0   utun0

Das ist beim "Road-Warrior-Szenario" aus ungesicherten WLAN-Netzen auch sinnvoll (wobei der DNS Traffic erstmal nicht über den Tunnel läuft). Allerdings nicht wenn ich nur gesichert auf ein paar lokale Dienste zugreifen will.

Wie kann ich verhindern, dass die Route angelegt wird ?
Bei PPTP-VPN-Verbindungen kann man das über die Checkbox "Send all traffic over VPN connection" einstellen.

Diese fehlt allerdings bei Cisco IPSec-Verbindungen.

Momentan muss ich die Routingtable immer nach den Verbindungsaufbau von Hand anpassen.

Gruß, spacy
 

Anhänge

  • cfVd7.png
    cfVd7.png
    5,2 KB · Aufrufe: 221
also erstmal hat der cisco vpn client nichts mit der konfiguration deiner ipsec-connection zu tun. dein client baut ledigtlich die verbindung auf. am client, konfigurierst du auch nicht, welcher traffic in oder um den tunnel muss. jedenfalls nicht bei cisco. da findet die konfiuration auf dem vpnc, pix oder der asa statt. das nennt sich da split-tunneling. da wird mittels definierter acl und der darüber gelegten policy festgelegt, welcher traffic in den ipsec-tunnel geht und welcher nicht.
 
Hi, danke erstmal für deine Antwort.

Ich verbinde mich hauptsächlich mit Fritzboxen, die ein rudimentäres VPN anbieten, also keine Cisco Hardware.
So habe ich die Fritzbox konfiguriert - vllt. kannst Du da was ableiten im Bezug auf die Art der Verbindung:

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "...";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 10.10.10.251;
                remoteid {
                        key_id = "...";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "...";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
                xauth {
                    valid = yes;
                    username = "...";
                    passwd = "...";
                }
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 10.10.10.251;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip any 10.10.10.251 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Kann ich nicht als Client selbst entscheiden, wie meine Routing Table aussieht - inwiefern wird das über ACLs und Policies beeinflusst?


Gruß, spacy
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2025 Apfeltalk | Made on a Mac
Oben Unten