Jump to content

L2TP VPN over IPSEC - Tunnel Splitting funktioniert nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

bitte um Eure Unterstützung - folgende Sachlage:

 

L2TP Tunnel Aufbau over IPSEC und Anmeldung an der Zywall USG 50 funktioniert reibungslos.

 

Aufbau der Verbindung von Win7 pro

Mein private Netz: 192.168.2.0, Gateway: 192.168.2.1, mein PC: 192.168.2.102

Remote private Netz: 192.168.8.0

L2TP Netz (hier bekomme ich nachdem ich eingewählt bin, die IP Adresse – siehe Routen unten - dazu gibt's aber kein Gateway: 192.168.10.151 (Das muss laut Zyxel ein anderes Netz sein))

 

 

 

Variante I: Standard Gateway für das remote Netzwerk verwenden "aktiviert"

Jeglicher Datenverkehr ins Remote Netz funktioniert – aber ich kann weder eine andere VPN Verbindung öffnen noch komm ich irgendwie ins Internet.

Ich will aber, dass nur derjenige Datenverkehr ins remote Netz geht, der auch wirklich dort hin soll.

 

Variante II: Standard Gateway für das remote Netzwerk verwenden "deaktiviert"

Jeglicher Datenverkehr ins Remote Netz funktioniert nicht – Internet und alle anderen VPN Verbindungen funktionieren reibungslos. Ich kann nicht einmal das Gateway vom remote private Netz pingen.

 

Meiner Meinung nach fehlt da irgendeine Route – die Frage ist welche…

 

Hab Zugriff auf viele VPN Server – teilweise normale RAS Server, die einfach genattet sind – dort funktioniert das alles problemlos – allerdings über PPTP – dort gibt’s auch eine Gateway vom gleichen Netz

 

Hier die Routen bei Variante I:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102   4235
          0.0.0.0          0.0.0.0   Auf Verbindung    192.168.10.151     11
     80.120.166.9  255.255.255.255      192.168.2.1    192.168.2.102   4236
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1   4531
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1   4531
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.102   4491
    192.168.2.102  255.255.255.255   Auf Verbindung     192.168.2.102   4491
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.102   4491
   192.168.10.151  255.255.255.255   Auf Verbindung    192.168.10.151    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1   4531
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.102   4492
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.10.151     11
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.102   4491
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.10.151    266
===========================================================================
Ständige Routen:
  Keine

 

Und hier für Variante II:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102     10
     80.120.166.9  255.255.255.255      192.168.2.1    192.168.2.102     11
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.102    266
    192.168.2.102  255.255.255.255   Auf Verbindung     192.168.2.102    266
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.102    266
     192.168.10.0    255.255.255.0   Auf Verbindung    192.168.10.151     11
   192.168.10.151  255.255.255.255   Auf Verbindung    192.168.10.151    266
   192.168.10.255  255.255.255.255   Auf Verbindung    192.168.10.151    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.102    266
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.10.151    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.102    266
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.10.151    266
===========================================================================
Ständige Routen:
  Keine

 

Bitte um Hilfe

 

Danke

Dieter

 

 

 

 

Link zu diesem Kommentar

Hi Dieter,

 

kannst Du Dein Posting überarbeiten und die Routingtabellen mit dem Code-Tag einfügen? Die sind so nicht lesbar wegen der Zeilenumbrüche.

 

Du musst auf jeden Fall Variante II für Dein gewünschtes Ergebnis nehmen.

 

Gibt es auch eine Routingtabelle von der Einwahlfirewall und dem Server oder Client dahinter? Du brauchst ja nicht nur eine Hin-, sondern auch eine Rückroute.

 

Nach welcher Anleitung hast Du das ganze denn eingerichtet? Wie lauten die Subnetzmasken der drei Netze?

Link zu diesem Kommentar

  1. Routen bei Variante I:
    
    IPv4-Routentabelle
     ===========================================================================
     Aktive Routen:
          Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
               0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102   4235
               0.0.0.0          0.0.0.0   Auf Verbindung    192.168.10.151     11
          80.120.166.9  255.255.255.255      192.168.2.1    192.168.2.102   4236
             127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1   4531
             127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1   4531
       127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531
           192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.102   4491
         192.168.2.102  255.255.255.255   Auf Verbindung     192.168.2.102   4491
         192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.102   4491
        192.168.10.151  255.255.255.255   Auf Verbindung    192.168.10.151    266
             224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1   4531
             224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.102   4492
             224.0.0.0        240.0.0.0   Auf Verbindung    192.168.10.151     11
       255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531
       255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.102   4491
       255.255.255.255  255.255.255.255   Auf Verbindung    192.168.10.151    266
     ===========================================================================
     Ständige Routen:
       Keine
    
    
    Variante II:
    
    IPv4-Routentabelle
     ===========================================================================
     Aktive Routen:
          Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
               0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102     10
          80.120.166.9  255.255.255.255      192.168.2.1    192.168.2.102     11
             127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
             127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
       127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
           192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.102    266
         192.168.2.102  255.255.255.255   Auf Verbindung     192.168.2.102    266
         192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.102    266
          192.168.10.0    255.255.255.0   Auf Verbindung    192.168.10.151     11
        192.168.10.151  255.255.255.255   Auf Verbindung    192.168.10.151    266
        192.168.10.255  255.255.255.255   Auf Verbindung    192.168.10.151    266
             224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
             224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.102    266
             224.0.0.0        240.0.0.0   Auf Verbindung    192.168.10.151    266
       255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
       255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.102    266
       255.255.255.255  255.255.255.255   Auf Verbindung    192.168.10.151    266
     ===========================================================================
     Ständige Routen:
       Keine
    
    

Hi Daniel, ich hoffe, das passt jetzt so - ich meld mich im Laufe des Vormittags - muss mir anschauen, ob ich da aus der Firewall was raus bekomme. Eingerichtet ist es lt. Zyxel Anleitung - auch hier hab ich schon ein Ticket aufgemacht - allerdings ist da nichts raus gekommen - die sagen, das ist halt so. Subnetzmasken:

192.168.2.0: 255.255.255.0

192.168.8.0: 255.255.255.0

und 192.168.10.151-155 (das ist nur ein IP Adress Range - hier kann ich nicht mehr spezifizieren)

Hi Daniel, am Router sehe ich leider gar nichts, nur dass dieser eine User mit L2TP verbunden ist und dass er die Adresse 192.168.10.151 zugewiesen bekam.

bearbeitet von dieter.hager
Link zu diesem Kommentar

Hallo!

 

L2TP in Verbindung mit einer Zywall = Standardgateway für das Remotenetzwerk verwenden = AKTIV

 

Warum kommst Du bei aktiver L2TP-Verbingung nicht in WWW: Route in der Zywall für L2TP fehlt.

 

ROUTING

Für den Datenverkehr innerhalb des lokalen Netzes wird keine Routing Regel verwendet. Diese

werden automatisch im Hintergrund erstellt und geführt. Für den Internet-Zugang wird jedoch

folgende Routing Regel benötigt.

 

Incoming:     Tunnel

Member:       L2TP_Vpn_Conn

Next-Hop:

Type:             Interface

Interface:       wan1

 

 

Du willst nicht den gesamten Traffic durch die Zywall gehen lassen: nicht L2TP verwenden, sondern z.B. IPSEC mit separatem Client oder ...

 

mfg Jochen

Link zu diesem Kommentar

Hallo Jochen,

 

das ist aber genau das, was ich nicht will (einen separaten Client) - Hier muss es doch irgendeine Möglichkeit geben, den integrierten Windows "Client" genau so zu konfigurieren bzw. ev. statische Routen auf dem Client einzutragen.

 

Das mit der Policy Route mit next hop hab ich schon im Zyxel Forum gelesen - das will ich aber nicht. Ich möchte ja nur, dass das ganz normal, wie bei einer PPTP Verbindung, funktioniert..

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...