IPSec (IKEv2) + Windows 7 / 8 + Split-Tunneling

Moderator: Securepoint

Gesperrt
LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

IPSec (IKEv2) + Windows 7 / 8 + Split-Tunneling

Beitrag von LSassl »

Guten Abend zusammen!
Ich habe soeben bei uns IPSec mit IKEv2 eingerichtet. Client-seitig habe ich das ganze auf einem Windows 7 Enterprise und einem Windows 8 System getestet.
Die Verbindung funktioniert soweit ganz hervorragend (Namensauflösung ist auch kein Thema). Jetzt würde ich allerdings gerne Split-Tunneling nutzen. In den Verbindungseinstellungen habe ich den Haken "Standardgateway für das Remotenetzwerk verwenden" entfernt. Die Verbindung wird hiernach auch wieder hergestellt, jedoch werden dann keine Daten mehr über die VPN-Verbindung übertragen. Leider bin ich diesbezüglich bei Microsoft im Technet nicht weitergekommen. Habt ihr eine Idee oder einen Tipp für mich? Hat oder hatte jemand von euch mit einem ähnlichen Problem zu kämpfen?

Viele Grüße!
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

dirk
Beiträge: 52
Registriert: Fr 07.03.2008, 15:20

Beitrag von dirk »

Guten Morgen,

ich hatte das gleiche Problem. Ich hab dann einfach die Route ins Remotenetzwerk auf dem Windows 7 Client von Hand angelegt und schon klappt alles.

route add -p Zielnetzwerk Maske Roadwarrior-IP

MfG Dirk

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Hallo Dirk,

danke für deine Antwort. Sowas hab ich mir schon fast gedacht!
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Ist das immer noch aktuell?
Warum wird die Route denn nicht automatisch korrekt gesetzt?

Bei mir klappts aber auch mit obiger Route manuell nicht so wirklich.
Schade, ich dachte mit IKE v2 gehören unsere diversen VPN Probleme der Vergangenheit an.

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Die Frage sollten Sie mal im Microsoft Technet stellen. Bei IKEv2 gibt es keine Möglichkeit, mehrere getunnelte Netze an den Client zu pushen. Der Client schickt immer genau die Pakete in den Tunnel, für die auf der UTM in Phase 2 auch ein Subnetz definiert wurde. Wenn das "0.0.0.0/0" ist, geht alles dort rein, tragen Sie hingegen das eine Netz ein, welches sich hinter der Appliance befindet, wird auch nur dieses in den Tunnel geroutet.

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Danke sehr, das werde ich mal probieren.
Wir haben nur ein Subnetz, das sollte also dann funktionieren.

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Das klappt leider nicht.
Wenn ich das Subnetz auf der Appliance einschränke und cleintseitig den Standardgateway angehakt lasse, routet er alles durch den Tunnel, die Appliance leitet wie erwartet nur das Subnetz weiter. Internet funktioniert dann also z.B. nicht mehr.
Nehme ich den Standardgateway raus, wird wieder keine Route gesetzt.

Gesperrt