VPN-Client mit MFA (IKEv2-EAP-OTP)

[cargotrans]

Wir haben gem. der Lancom KB Anleitung die Einrichtung einer 2FA-Authentifizierung mit dem Advanced VPN-Client durchgeführt.
Die Einwahl mit dem VPN-Client auf unseren 1900EF funktioniert soweit.
Auf den Router kommen wir und können ihn auch anpingen, jedoch ist das lokale Netz nicht zu erreichen.

Laut Trace ist ein iCMP-Versuch in unsere Deny-All - Regel gelaufen, nachdem ich in der Firewall die "Default" Gegenstelle hinzugefügt habe, sind im Trace keine Firewall-Einträge mehr vorhanden.
Kann aber trotzdem keine Rechner im lokalen Netz erreichen.
Komme aber auf alle unsere LANCOM-Geräte über die lokalen IP4!
Alle anderen Rechner oder Geräte (Server, PC, Drucker, Switch) sind nicht erreichbar.

In der Client-Konfiguration habe ich beim Eintrag IPSec-Konfig/Split Tunneling das lokale Netz ergänzt.

Hat jemand noch eine Idee wo der Fehler liegen könnte?

Besten Dank.

[Frühstücksdirektor]

Das mit der Default-Gegenstelle wird nicht funktionieren in der Firewall => rausnehmen.

Du musst für die zugewiesenen VPN-Client IP-Adressen explizite Firewall-Regeln machen, da Du ja eine Deny-All-Regel hast.

Alternativ kannst Du versuchen den erzeugen VPN-Namen des eingewählten VPN-Clients in Regeln zu verwenden (sieht man wen der Client verbunden ist). LANconfig kennt den zwar nicht, das LCOS aber zur Laufzeit schon.

[cargotrans]

Die IP-Adressen aus dem DHCP-Pool für die VPN-Clients hatte ich bereits in der Firewall als eingehende Regel hinzugefügt.
Bei einem Trace auf Firewall bekomme ich für den VPN-Client auch keine Einträge mehr.

Komischerweise komme ich auf alle im lokalen Netz hängenden Lancom-Geräte, Router und WLAN-AP, sowohl mit Ping, als auch über Lanconfig und Webconfig.
Nur nicht auf alle anderen Netzwerkgeräte.

[cargotrans]

Parallel zum Testen habe ich mir mit dem Setup-Assistenten eine Standard VPN-Verbindung für den VPN-Client erstellt.
Damit funktioniert die Verbindung ist lokale Netz einwandfrei.

Die mit dem Wizard erzeugte Verbindungsliste verwendet jedoch eine andere IP4-Regel.
GENERIC-RAS-ACCESS-FOR-WIZ

Während für die MFA-Einwahl laut Anleitung die Regel "RAS-WITH-CONFIG-PAYLOAD" verwendet werden soll.

ich habe die IP4-Regel für die MFA/OTP nun auch umgestellt auf die GENERIC-RAS-ACCESS-FOR-WIZ, damit scheint es zu funktionieren.
Komme damit endlich auch auf alle übrigen lokalen Netzwerkgeräte.
Zuvor konnte ich nur LANCOM-Geräte erreichen.

Jetzt teste ich es noch ausführlich, bis ich alle VPN-Clients auf die MFA umstelle.

Viele Grüße

[GrandDixence]

Welche Security Association (SA) man für die VPN-Einwahlen (RAS) benötigt, sollte man selber herausfinden und konfigurieren können. Siehe dazu:
fragen-zum-thema-vpn-f14/frage-zu-vorde ... tml#p96893