dormi98 15 Geschrieben 29. Januar 2022 Melden Teilen Geschrieben 29. Januar 2022 Hallo zusammen! Ich bin gerade dabei ein Always on VPN zu implementieren. Es werden Benutzerzertifikate verwendet und Split Tunneling soll zum Einsatz kommen. Der RAS Server steht in einer äußeren und einer inneren DMZ. Alle übrigen Server (DC, NAP) in einem eigenen Server VLAN, welches direkt an der Firewall hängt. Damit es einfacher ist habe ich ein Schema angehängt. Das Always on VPN funktioniert soweit. Der Client baut die VPN Verbindung automatisch bei der Anmeldung auf. Die VPN Clients bekommen eine IP Adresse aus der inneren DMZ (habe ich auch schon anders probiert, da habe ich aber noch weniger Erfolg gehabt) Am RAS Server ist auf der Netzwerkkarte der äußeren DMZ die Firewall als default gateway eingetragen. Die Netzwerkkarte der inneren DMZ hat kein default gateway eingetragen. Statische Routen in das Server und Client Netz sind ebenfalls angelet. Vom RAS Server sind die Server erreichbar. Problem: Der VPN Client erreicht das Server VLAN nicht. Per packet capture wurde festgestellt, dass der PING vom VPN Client ins das Server-LAN nicht in den VPN Tunnel geschickt wird, sondern in das lokale Netzwerk. Das geht natürlich nicht. Was bereits versucht wurde: VPN Client erreicht die Firewall in der inneren DMZ. statische Route am VPN Client angelegt zum Server-Subnetz über die IP der Firewall (innere DMZ) Was muss ich am Client oder RAS Server ändern, damit die Pakete für das Server Subnetz richtig geroutet werden? Danke schon mal. Netzwerkschema.pdf Zitieren Link zu diesem Kommentar
Beste Lösung cj_berlin 1.329 Geschrieben 29. Januar 2022 Beste Lösung Melden Teilen Geschrieben 29. Januar 2022 Moin, Du musst im XML-Profil alle Subnetze erfassen, zu denen per Tunnel kommuniziert werden soll. Wenn der Client die Pakete schon am falschen Interface rausschickt, kann man das von der Infrastrukturseite nicht mehr heilen. Was Du vermutlich auch noch brauchst, ist eine Rückroute auf den Infrastruktur-Servern, damit die Pakete auch den Weg von den Servern zum VPN-Client finden. 1 Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 29. Januar 2022 Autor Melden Teilen Geschrieben 29. Januar 2022 Danke für den Input. Habe den XML Teil in dem Powershell Script, welches die VPN Verbindung anlegt eingetragen und siehe da. Die Routen werden richtig erzeugt und ich kann auf meine Server zugreifen. Vielen Dank Problem gelöst Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.