Securepoint Support Forum

Hallo,

ich stelle eine Verbindung von Win7 zum Gateway her und die Verbindung kommt auch zustande. Allerdings scheine ich dann noch nicht richtig im Netzwerk sein. Kann auch keine anderen Rechner aus dem internen Netz anpingen.

Wenn ich mir die Win7 Details der VPN Verbindung anschaue, sieht das so aus
http://imageshack.us/a/img818/5021/20121019103446.jpg

Anscheinend bekommt der Client die 192.168.0.1 zugewiesen, obwohl das die interne Adresse vom Gateway ist. Dafür steht bei Gateway nichts. Und die Subnetmask scheint auch nicht richtig zu sein.

Woran kann denn sowas liegen? :shock:

Viele Grüße
BLH

Der Client bekommt eine IP aus dem Pool, den Sie in Phase 2 der Verbindung angegeben haben. Das muss ein Subnetz sein, welches noch nicht an der Firewall angeschlossen ist.

Ok das lokale Netz hat die 192.168.0.0 mit Subnetmask 255.255.255.0/24 und der Adressenpool hat die 192.168.0.9 mit der Subnetmask 255.255.255.0/32. Dann sollte das ja schon mal richtg sein oder?

Wenn mich jetzt verbinde bekommt der Client auch die 192.168.0.9 zugewiesen aber im VPN Status Fenster von Windows steht bei IPV4 Gateway die 0.0.0.0

Hat das mit den Phase 1 Einstellungen zu tun, da bin ich mir nicht ganz sicher ob das alles so richtig ist.
http://imageshack.us/a/img96/6493/20121019131449.jpg

Hier auch nochmal der Status der VPN Verbindung
http://imageshack.us/a/img834/418/20121019132842.jpg

OK probieren wir es noch mal: Nicht vorhanden sein darf es. Das Subnetz.
Als ich das letzte Mal nachgerechnet habe, befand sich 192.168.0.9/32 noch innerhalb von 192.168.0.0/24

Danke für deine Hilfe, ich glaube so langsam verstehe ich
Der Client bekommt jetzt eine IP Adresse aus einem Pool, der nichts mit der Firewall zu tun hat. Aber es werden trotzdem keine Daten übertragen. Kannst du vielleicht etwas aus dem Log rauslesen?

09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 13[IKE] 80.187.106.75 is initiating an IKE_SA
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 13[IKE] 80.187.106.75 is initiating an IKE_SA
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 13[IKE] remote host is behind NAT
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 13[IKE] sending cert request for \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH-Trier, OU=edv, CN=Cert_BLH_CA, E=technik@pccedvservice.de\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 0e:ac:82:60:40:56:27:97:e5:25:13:fc:2a:e1:0a:53:95:59:e4:a4
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid dd:bc:bd:86:9c:3f:07:ed:40:e3:1b:08:ef:ce:c4:d1:883b:15
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 4a:5c:75:22:aa:46:bf:a4:08:9d:39:97:4e:bd:b4:a3:60:f7:a0:1d
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 01:f0:33:4c:1a:a1:d9:ee:5b:7b:a943:bc:02:7d:57:09:33:fb
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH-Trier, OU=edv, CN=Cert_BLH_CA, E=technik@pccedvservice.de\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 34:4f:30:2d:25:69:31:91:ea:f7:73:5cf5:86:8d:37:82:40:ec
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 3e:df:29:0c:c1:f5:cc:73:2c:eb:3d:24:e1:7e:52:da:bd:27:e2:f0
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid da:ed:64:74:14:9c:14:3cdd:99:a9:bd:5b:28:4d:8b:3c:c9:d8
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 30:a4:e6:4f76:8a:fc:ed:5a:90:84:28:30:46:79:2c:29:15:70
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 48:e6:68:f9:2b:d2:b2:95:d7:47:d8:23:20:10:4f:33:98:90:9f:d4
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 87:db:d4:5f:b0:92:8d:4e:1d:f8:15:67:e7:f2af:d6:2b:67:75
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 07:15:28:6d:70:73:aa:b2:8a:7c:0f:86:ce:38:93:00:38:05:8a:b1
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid f0:17:62:13:55:3d:b3:ff:0a:00:6b:fb:50:84:97:f3:ed:62:d0:1a
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 59:79:1261:75:d6:6f:c4:23:b7:77:13:74:c7:966f:88:72
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 6c:ca:bd:7d:b4:7e:94:a5:75:99:01:b6:a7:df:d4:5d:1c:09:1c:cc
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 1a:21:b4:95:2b:62:93:ce:18:b3:65:ec:9c:0e:93:4c:b3:81:e6:d4
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 90:2f:82:a3:7c:47:97:01:1e:0f:4b:a5:af:13:13:c2:11:13:47:ea
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 5f:f3:24:6c:8f:91:24:af:9b:5f:3e:b0:34:6a:f4:2d:5c:a8:5d:cc
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 83:31:7e:62:85:42:53:d6:d7:78:31:90:ec:91:90:56:e9:91:b9:e3
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid b1:81:08:1a:19:a4:c0:94:1f:fa:e8:95:28:c1:24:c9:9b:34:ac:c7
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid a8:48:b4:24:2f:c6:ea:24:a0:d7:8e:3c:b9:3c:5c:78:d7:98:33:e4
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 90:2f:82:a3:7c:47:97:01:1e:0f:4b:a5:af:13:13:c2:11:13:47:ea
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received cert request for unknown ca with keyid 07:15:28:6d:70:73:aa:b2:8a:7c:0f:86:ce:38:93:00:38:05:8a:b1
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] received end entity cert \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] looking for peer configs matching 217.92.59.76[%any]...80.187.106.75[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] selected peer config \\"gateway.blh.local__GT__BLH_VPN_15\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] using certificate \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] using trusted ca certificate \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH-Trier, OU=edv, CN=Cert_BLH_CA, E=technik@pccedvservice.de\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] checking certificate status of \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] certificate status is not available
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] reached self-signed root ca with a path length of 0
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] authentication of \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\" with RSA signature successful
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] peer supports MOBIKE, but disabled in config
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] authentication of \\"blhtrier.dyndns.org\\" (myself) with RSA signature successful
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] IKE_SA gateway.blh.local__GT__BLH_VPN_15[2] established between 217.92.59.76[blhtrier.dyndns.org]...80.187.106.75[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] IKE_SA gateway.blh.local__GT__BLH_VPN_15[2] established between 217.92.59.76[blhtrier.dyndns.org]...80.187.106.75[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
09:14:53 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] scheduling reauthentication in 2858s
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] maximum IKE_SA lifetime 3398s
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] sending end entity cert \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Server_Cert, E=technik@pccedvservice.de\\"
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] peer requested virtual IP %any6
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[CFG] reassigning offline lease to \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] assigning virtual IP 172.10.24.8 to peer \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] CHILD_SA gateway.blh.local__GT__BLH_VPN_15{2} established with SPIs c21fb49b_i 43fa2226_o and TS 192.168.0.0/24 === 172.10.24.8/32
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local 10[IKE] CHILD_SA gateway.blh.local__GT__BLH_VPN_15{2} established with SPIs c21fb49b_i 43fa2226_o and TS 192.168.0.0/24 === 172.10.24.8/32
09:14:54 192.168.0.1 IPSEC Server gateway.blh.local + C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de 172.10.24.8/32 == 80.187.106.75 -- 217.92.59.76 == 192.168.0.0/24
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 15[IKE] received DELETE for ESP CHILD_SA with SPI 43fa2226
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 15[IKE] closing CHILD_SA gateway.blh.local__GT__BLH_VPN_15{2} with SPIs c21fb49b_i (69586 bytes) 43fa2226_o (34866 bytes) and TS 192.168.0.0/24 === 172.10.24.8/32
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 15[IKE] closing CHILD_SA gateway.blh.local__GT__BLH_VPN_15{2} with SPIs c21fb49b_i (69586 bytes) 43fa2226_o (34866 bytes) and TS 192.168.0.0/24 === 172.10.24.8/32
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 15[IKE] sending DELETE for ESP CHILD_SA with SPI c21fb49b
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 15[IKE] CHILD_SA closed
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local - C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de 172.10.24.8/32 == 80.187.106.75 -- 217.92.59.76 == 192.168.0.0/24
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 02[IKE] received DELETE for IKE_SA gateway.blh.local__GT__BLH_VPN_15[2]
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 02[IKE] deleting IKE_SA gateway.blh.local__GT__BLH_VPN_15[2] between 217.92.59.76[blhtrier.dyndns.org]...80.187.106.75[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 02[IKE] deleting IKE_SA gateway.blh.local__GT__BLH_VPN_15[2] between 217.92.59.76[blhtrier.dyndns.org]...80.187.106.75[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 02[IKE] IKE_SA deleted
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 02[IKE] IKE_SA deleted
09:15:21 192.168.0.1 IPSEC Server gateway.blh.local 02[CFG] lease 172.10.24.8 by \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\" went offline

Da möchte ihr CLient gern eine IPv6-Adresse von der FW haben. Deaktivieren Sie das für die IPSec-Verbindung auf Ihrem Client (Eigenschaften der Netzwerk-Verbindung -> Haken bei IPv6 entfernen

Ok, das ist erledigt. Ich empfange allerdings immer noch keine Daten. Bekomme eine IP zugewiesen aber sonst nichts.

Im Log der Appliance tauchen nach erfolgreicher Verbindung des Clients folgende Zeilen auf

17:24:16 192.168.0.1 Firewall DROP DROP(default) IN=ppp0 gateway.blh.local OUT= MAC= SRC=192.168.1.7 DST=192.168.0.1 LEN=64 TOS=0x00 PREC=0x00 TTL=128 ID=15 PROTO=UDP SPT=53577 DPT=53 LEN=44 MARK=0x1
17:24:16 192.168.0.1 Firewall DROP DROP(default) IN=ppp0 gateway.blh.local OUT= MAC= SRC=192.168.1.7 DST=192.168.0.1 LEN=75 TOS=0x00 PREC=0x00 TTL=128 ID=16 PROTO=UDP SPT=50281 DPT=53 LEN=55 MARK=0x1
17:24:16 192.168.0.1 Firewall DROP DROP(default) IN=ppp0 gateway.blh.local OUT= MAC= SRC=192.168.1.7 DST=192.168.0.1 LEN=62 TOS=0x00 PREC=0x00 TTL=128 ID=18 PROTO=UDP SPT=59479 DPT=53 LEN=42 MARK=0x1
17:24:16 192.168.0.1 Firewall DROP DROP(default) IN=ppp0 gateway.blh.local OUT= MAC= SRC=192.168.1.7 DST=192.168.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=24 DF PROTO=TCP SPT=58694 DPT=11115 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x1

Verhindert da die Firewall irgendwas? Ich habe laut HowTo zwei Netzwerkobjekte erstellt.

Ihr DNS-Server ist die Appliance selber? Dann sollten Sie auch noch eine Regel dafür anlegen:
IPSec-Netz -> Internal_Interface -> dns -> ACCEPT

Gleiches gilt für die Administration der Firewall durch den Tunnel.

Ok, die Regel habe ich angelegt. Jetzt findet auch ein gewisser Datentransfer statt, der Client sendet und empfängt etwas. Aber trotzdem habe ich keinen Netzwerkzugriff.

So sieht das auf dem Client in den Eigenschaften der Verbindung aus

IPv4-Adresse: 192.168.1.9
Subnetzmaske: 255.255.255.255
IPv4-Standardgateway: leer

Woran könnte das denn sonst noch liegen?

Hier nochmal ein Teil des Logs zum Verbindungsaufbau

23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] authentication of \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\" with RSA signature successful
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] peer supports MOBIKE, but disabled in config
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] authentication of \\"blhtrier.dyndns.org\\" (myself) with RSA signature successful
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] IKE_SA gateway.blh.local__GT__BLH_VPN_24[2] established between 217.92.59.76[blhtrier.dyndns.org]...80.187.107.35[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] IKE_SA gateway.blh.local__GT__BLH_VPN_24[2] established between 217.92.59.76[blhtrier.dyndns.org]...80.187.107.35[C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de]
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] scheduling reauthentication in 2896s
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] maximum IKE_SA lifetime 3436s
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] sending end entity cert \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Server_Cert, E=technik@pccedvservice.de\\"
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] peer requested virtual IP %any
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[CFG] reassigning offline lease to \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] assigning virtual IP 192.168.1.9 to peer \\"C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de\\"
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] CHILD_SA gateway.blh.local__GT__BLH_VPN_24{2} established with SPIs c0f053d5_i a49bd571_o and TS 192.168.0.0/24 === 192.168.1.9/32
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local 16[IKE] CHILD_SA gateway.blh.local__GT__BLH_VPN_24{2} established with SPIs c0f053d5_i a49bd571_o and TS 192.168.0.0/24 === 192.168.1.9/32
23. Okt 12:06:52 192.168.0.1 IPSEC Server gateway.blh.local + C=DE, ST=Rheinland-Pfalz, L=Trier, O=BLH Trier, OU=edv, CN=Client_Cert, E=technik@pccedvservice.de 192.168.1.9/32 == 80.187.107.35 -- 217.92.59.76 == 192.168.0.0/24

Ich kann einzelne IPs des 192.168.0.0 Firmennetzes anpingen , habe ich grade festgestellt. Aber Win7 sagt, dass es keinen Netzwerk- und Internetzugriff gibt. Vielleicht stimmt immer noch was mit der Names-Auflösung nicht.

Das mag sein, aber aus Ihrem Log kann man nichts erkennen.
Versuchen Sie doch mal in der Konsole eine DNS-Auflösung mittels nslookup.

Ok jetzt habe ich mittlerweile Zugriff auf die Freigaben im Netzwerk, das ist schon mal fast alles was ich brauche. Allerdings habe ich mit VPN-Verbindung noch keinen Zugriff auf das Internet. Weder über IP noch über Adressen.
Welche Einstellungen könnte ich denn dafür noch überprüfen?

Vielen Dank für die Geduld und Hilfe.

Auf ihrem Client: Eigenschaften der VPN-Verbindung -> Netzwerk -> IPv4 -> Eigenschaften -> Erweitert -> Haken entfernen bei "Standard-Gateway für diese Verbindung verwenden"

Wenn ich das mache, funktioniert der Internetzugriff weil der Verkehr dann über die lokale Verbindung des Clients läuft oder?
Ich möchte aber die Internetzugriffe des Clients auch über das VPN tunneln. Kann es sein, dass es da in der Appliance noch irgendwo am NAT oder Hide NAT hängt?

Hide-NAT sieht momentan so aus
Internal Network eth0 Private-Class-A Exclude
Internal Network eth0 Private-Class-B Exclude
Internal Network eth0 Private-Class-C Exclude
Internal Network eth0 Internet Include

Oder muss man vielleicht dem Netzwerkobjekt Roadwarrior oder IPSEC-Server eine NAT-IP zuweisen?

Sollen die Clients auch durch den Tunnel surfen, benötigen Sie zum einen eine Firewall-Regel (IPSec-Netz -> Internet -> Dienst -> ACCEPT) und zum anderen ein HideNAT (IPSec-netz -> -> Internet -> Include)