Routing-Frage bei VPN mit Shrew-Soft auf 1722

[cyberdude]

Hallo Leute,

nachdem ich die Einrichtung eines VPNs mit Shrewsoft-Client (V 2.03) auf einen Lancom 1722 hingekriegt habe, , habe ich nur noch eine "Einfache Frage" für Euch.

Der Tunel vom WinXP-Shrew-Client zum 1722 wird wie gewünscht aufgebaut und ich kann einen Server etc. hinter dem 1722 im gleichen IP-Adressbereich anpingen etc.

ABER

die restliche Internetkommunikation des Clients geht "lokal" ins Internet.
Ich möchte aber, dass der gesammte Traffic duch das VPN geht, und der Internetzungang über den 1722 und dessen Firewall etc. läuft.

Könnt Ihr einem VPN-Newbie helfen ?

Gruß Cyberdude


Verwendete Anleitung zur Einrichtung des Shrew-VPN-Clients:
http://www.lancom-forum.de/ptopic,37814 ... html#37814

[ittk]

Hi,
ist ganz einfach. Wie hast du deinen VPN-Client Zugang im LANCOM eingerichtet. Via One-Click oder normal und dann Adv. VPN Client ausgewaehlt?

1. Du musst fuer dein Vorhaben beim VPN Zugang des Client im LANCOM natuerlich "alle Netze" erlauben. Dies erreichst du durch folgende Maßnahmen:

Checke deine Firewall Regeln, ob die betreffende Regel fuer den VPN-zugang unter Stationen von Quelle ALLE zu Ziele Gegenstelle "Name deiner VPN-Client Gegenstelle" eingetragen.

Das war es eigentlich auf der LANCOM Seite, wenn du eine feste IP fuer den Zugang vergeben hast. Musst du Sie wissen. Sie steht auch in der Routing-Tabelle als Router ist deine VPN-Gegenstelle eingetragen und ist auch im Shrew-Client komplementaer eingetragen.

Im Shrew Client aendert du folgende Bereiche:

Unter "Policy" entfernst du die VPN-Netze und setzt den Haken bei automatically obtain..., dann sollte alles laufen, da durch diese Einstellung der gesamte Traffic durch den Tunnel geroutet wird.

[cyberdude]

Danke ITTK,

werde Deine Optimierungstipss (sofern ich diese richtig verstanden habe) heute Abend umsetzen und testen.

Gebe Dir Bescheid, sobald es funktioniert oder auch nicht.

Gruß Cyberdude

[ittk]

Hallo Cyberdude,

das sind keine Optimierungstipps, sondern es stellt nur eine andere Moeglichkeit dar einen Clientzugang via VPN zu realisieren.

Ich habe es nachgestellt und so laeuft die Konstellation mit All-Tunneling einwandfrei.

[cyberdude]

Hallo ITTK,

habe mich an Deinem Lösungsweg gehalten und "optain the remote..." auswähle und das bisher eingesetzte Ziel-Netz (192.168.1.0 / 24) lösche, erhalte ich nachdem der Tunnel vom Client aufgbebaut ist die Fehlermeldung:" Seeesion terminated by Gateway"...

Wenn ich das Zielnetz wieder eintrage, kriege ich wieder ein Connect und der I-Net-Traffic gehrt wieder local raus...

[ittk]

Hi,

dann fehlt eindeutig das IPSec-Regelwerk in der Firewall. Derzeit wird nur das Netz erlaubt, dass du im Client drin stehen hast! Die VPN-Regel in der Firewall hast du noch nicht auf das All-Tunneling des Clients angepasst! Wie du das machst steht bereits in meinen ersten Beitrag drin

[cyberdude]

Moin,

danke für den Tipp, habe in der VPN-Firewallregel stehen, dass:

Verbindungsquelle:
Verbindung von folgenden Stationen
Alle Stationen in allen loaklen Netzen

Verbindungsziel:
Verbindung an folgende Stationen
Gegenstelle "Name des VPN-Clients"

[ittk]

Hi,

unter Verbindungsquelle muss natuerlich Verbindungen von allen Stationen markiert sein, sodass die IPSec Sa 0.0.0.0/0 erstellt wird.
Dein Verbindungsziel ist korrekt!

[cyberdude]

Danke ITTK

Das wars, nun funktioniert es so wie es soll.

Danke noch mal für Deine Hilfe!

Gruß Cyberdude

[ittk]

Hi,

gern geschehen. Das war doch kein großer Akt.

Vielleicht sollte dieser Part auch in die FAQ-Sektion verschoben werden, um die Anleitung zu vervollstaendigen.

[Djar]

In wie weit macht das Sinn den gesammten Traffic durch das VPN zu leiten? Einen DSL-Anschluß zwingt man damit doch sicher rasch in die Knie, und für den Benutzer wird das Internet "langsamer".