VPN soll nur für eine einzige Verbindung genutzt werden - Rest soll über normales WLAN - wie?

[zxcd]

Hallo zusammen,

ich habe mir einen MyCloud-NAS gekauft und möchte von außerhalb darauf zugreifen. Also habe ich dem NAS eine feste IP innerhalb des Netzwerks zugewiesen, Fritz DynDNS konfiguriert und mich mit die MacOS-internen Netzwerkeinstellungen eine VPN-Verbindung erstellt. Der Zugriff auf die gewünschte IP-Adresse (=> den NAS) klappt wunderbar, aber: Er sendet jetzt sämtliche Daten über dieses Netzwerk, was nicht Ziel des ganzen ist. Abgesehen davon, dass ich somit völlig sinnlos Daten hin und her sende, ist der Upstream im NAS-Netzwerk nicht berauschend, so dass ich meinen gesamten Internetverkehr total beschränken würde.

Ziel soll es also sein, jeden übrigen Datenverkehr über das "normale" WLAN abzuwickeln und ausschließlich die Verbindung zum NAS über den VPN laufen zu lassen. Wie bekomme ich das am besten hin?

Ich danke euch vielmals!

 

[ottomane]

Hier ist es ganz gut erklärt: https://discussions.apple.com/thread/250107991

Adressen musst du natürlich anpassen. Ob das heute noch so geht, kann ich nicht beschwören.

 

[Ijon Tichy]

Du brauchst Split Tunneling, das unterstützt macOS bei IPSec nicht von Haus aus. Mit dem kostenlosen IPSecuritas funktioniert das aber wirklich gut.

 

[zxcd]

Hier ist es ganz gut erklärt: https://discussions.apple.com/thread/250107991

Adressen musst du natürlich anpassen. Ob das heute noch so geht, kann ich nicht beschwören.

Danke dafür. Bevor ich das ausprobiere, habe ich noch 2 Rückfragen:

1) Es gibt ja auch Zeiten, in denen ich mich im selben Netzwerk befinde wie der NAS und daher den VPN gar nicht aktivieren würde (dieser dient für mich ausschließlich zum Zugriff außerhalb meines Heimnetzwerks). Wenn ich diese Anleitung befolgen würde, beziehen sich die Kommandos ausschließlich auf die VPN-Nutzung oder gelten sie für jeglichen Datenverkehr?

2) Sollte diese Anleitung aus irgendeinem Grund nicht funktionieren, wie bekomme ich sie rückgängig gemacht? Dort ist ja nur der "Hinweg" beschrieben.

Vielen Dank!

Du brauchst Split Tunneling, das unterstützt macOS bei IPSec nicht von Haus aus. Mit dem kostenlosen IPSecuritas funktioniert das aber wirklich gut.

Vielen Dank! Ich würde es tendenziell am liebsten mit den macOS-Hausmitteln versuchen, ehe ich anschließend auf Drittsoftware übergehen würde.

 

[ottomane]

1) Es gibt ja auch Zeiten, in denen ich mich im selben Netzwerk befinde wie der NAS und daher den VPN gar nicht aktivieren würde (dieser dient für mich ausschließlich zum Zugriff außerhalb meines Heimnetzwerks). Wenn ich diese Anleitung befolgen würde, beziehen sich die Kommandos ausschließlich auf die VPN-Nutzung oder gelten sie für jeglichen Datenverkehr?

Nur für VPN-Betrieb. Könnte auf Dauer lästig sein, immer umzustellen.

Weg bekommt man das wieder mit zwei ähnlichen Befehlen (delete statt add und anders default setzen). Bin gerade in Eile, sorry.

 

[Ijon Tichy]

Vielen Dank! Ich würde es tendenziell am liebsten mit den macOS-Hausmitteln versuchen, ehe ich anschließend auf Drittsoftware übergehen würde.

Die Drittsoftware nimmt dir halt ab, in das Thema so tief einsteigen zu müssen. Das ist knifflig. Es muss ja nicht nur das Routing immer umgestellt werden, sondern ggf. auch der DNS-Server geändert werden. Außerdem entdeckt IPSecuritas automatisch, ob du schon im lokalen Netz bist oder nicht oder schaltet je nach dem für dich das VPN ein oder aus. Ich verwende es deswegen schon seit vielen Jahren.

 

[Marcel Bresink]

Du brauchst Split Tunneling, das unterstützt macOS bei IPSec nicht von Haus aus.

Das kann man so nicht sagen. Hier geht es lediglich um die Routing-Einstellung, ob die ganze Default Route oder nur die Route ins Zielnetz auf das VPN gelegt wird.

Normalerweise ist es Aufgabe des VPN-Servers, dem einwählenden System mitzuteilen, wie es das wünscht.

 

[zxcd]

Nur für VPN-Betrieb. Könnte auf Dauer lästig sein, immer umzustellen

Moment....gelten die Einstellungen nicht dauerhaft, sondern müssen jedes Mal neu eingestellt werden?

Es wird so sein, dass ich 6 Tage in der Woche im Heimnetzwerk bin und den VPN nicht benötige, den einen restlichen Tag dann aber außerhalb des Heim-Netzwerks. Wann/wie oft muss ich die beiden Terminal-Lines denn tätigen?

 

[ottomane]

So lange du nicht bootest oder das Netzwerk änderst, bleiben sie, vermute ich.

Ich würde mir das ab/abschalten in ein Skript und dieses zum Anklichen irgendwohin legen.

 

[Ijon Tichy]

Das kann man so nicht sagen. Hier geht es lediglich um die Routing-Einstellung, ob die ganze Default Route oder nur die Route ins Zielnetz auf das VPN gelegt wird.

Normalerweise ist es Aufgabe des VPN-Servers, dem einwählenden System mitzuteilen, wie es das wünscht.

Genau das ist doch Split Tunneling: Die eine Route direkt übers lokale, die andere übers VPN-Gateway.

Das kann über den VPN-Server mitgeteilt werden, aber das Fritz-VPN konfiguriert meines Wissens nie Split Tunneling. Der Client kann das aber auch selbst so entscheiden.

 

[Ijon Tichy]

Moment....gelten die Einstellungen nicht dauerhaft, sondern müssen jedes Mal neu eingestellt werden?

Das VPN-Gateway hat ja von außen gesehen die WAN-IP, über die der Traffic ins Remote-Netz geroutet wird. Vor Ort funktioniert das zumindest nach meiner Erfahrung nicht, weil das lokale und Remote-Netz nun denselben Adressraum verwenden.

Aus demselben Grund ist es auch ratsam, ein anderes als das Standard-Subnetz zu konfigurieren, wenn man VPN verwenden will. Sonst funktioniert das Routing nicht, wenn man es aus dem WLAN ein anderen Fritzbox verwenden will, die auch da Standard-Subnetz hat.

 

[Marcel Bresink]

Genau das ist doch Split Tunneling: Die eine Route direkt übers lokale, die andere übers VPN-Gateway.

Ja, aber Du hast behauptet, das macOS das nicht kann.

Das kann über den VPN-Server mitgeteilt werden, aber das Fritz-VPN konfiguriert meines Wissens nie Split Tunneling.

Der TE hat bisher nicht verraten, über welchen VPN-Server er das ganze überhaupt konfiguriert hat.

 

[ottomane]

Hat die MyCloud nicht ohnehin einen Fernzugriff integriert?

Ich verstehe es so, dass er dir FritzBox als Server nutzt.

 

[Ijon Tichy]

Ja, aber Du hast behauptet, das macOS das nicht kann.

Da hab ich mich vielleicht unklar ausgedrückt. Ich wollte damit nur sagen, dass man das bei IPSec mit Bordmitteln nicht einstellen kann. Also client-seitig.

Der TE hat bisher nicht verraten, über welchen VPN-Server er das ganze überhaupt konfiguriert hat.

Ok, da er vom Fritz DynDNS habe ich automatisch angenommen, dass er das VPN der Fritzbox verwendet und auch die ganze Zeit davon gefaselt. Aber du hast recht, es ist eigentlich gar nicht klar, von welcher Art VPN wir hier reden.

P.S.: Allerdings hat er meinen Hinweisen speziell zu zu IPSec auch nicht widersprochen.

 

[zxcd]

Hi zusammen,

vielen Dank erstmal für all eure Antworten!

Die MyCloud befindet sich im Heimnetzwerk von Standort 1. Befinde ich mich dort, greife ich ohne VPN direkt aus dem Heimnetzwerk darauf zu.
Befinde ich mich an Standort 2, greife ich mit Hilfe des in den MacOS-Netzwerkeinstellungen konfigurierten VPNs über IPSec auf die MyCloud zu. Hierzu verwende ich die vorher via Fritz DynDNS eingestellte Serveradresse inkl. Einlogdaten.

Hoffe das ist soweit verständlich für euch.

Nun suche ich wie gesagt nach der praktikabelsten Lösung für das Handling zwischen Heim- und Auswärtsnetzwerk. Ziel soll sein, dass der VPN ausschließlich im Fremdnetzwerk und dort auch nur für die Verbindung zur MyCloud genutzt wird, sämtliche andere Internetverbindungen sollen jeweils über das 'normale' Netzwerk laufen.
Wenn es dazu noch sinnvolle und sichere Automatisierungen gibt (z.B.: sobald ich mich im Auswärtsnetzwerk XYZ befinde, soll der VPN aktiviert werden), bin ich dafür auch offen.

Danke euch!

 

[ottomane]

dass man das bei IPSec mit Bordmitteln nicht einstellen kann. Also client-seitig.

Ich weiß es zwar nicht wirklich, aber wundern würde es mich schon. Warum sollte man nicht einfach das Routing verändern (s.o.)?

 

[Ijon Tichy]

Ich weiß es zwar nicht wirklich, aber wundern würde es mich schon. Warum sollte man nicht einfach das Routing verändern (s.o.)?

Also noch genauer ausgedrückt: mit den in dem System-Einstellungen verfügbaren Einstellungsmöglichkeiten kann man es bei IPSec nicht einstellen.

Mit Bordmitteln meinte ich das und nicht die Möglichkeit, mit entsprechendem Wissen die Routingtabellen mit Editor und/oder Terminalbefehlen zu modifizieren. Auf einem Mac lasse ich persönlich das lieber von einem Tool wie IPSecuritas machen. Aber das ist ja jedem selbst überlassen. Das ist ja auch das schöne an macOS.