Zitierenalso erstmal hat der cisco vpn client nichts mit der konfiguration deiner ipsec-connection zu tun. dein client baut ledigtlich die verbindung auf. am client, konfigurierst du auch nicht, welcher traffic in oder um den tunnel muss. jedenfalls nicht bei cisco. da findet die konfiuration auf dem vpnc, pix oder der asa statt. das nennt sich da split-tunneling. da wird mittels definierter acl und der darüber gelegten policy festgelegt, welcher traffic in den ipsec-tunnel geht und welcher nicht.
Ergebnis 1 bis 3 von 3
- 02.09.2011, 02:01 #1Gala
Themenstarter
- Registriert
- 07.2008
- Beiträge
- 52
default gateway bei VPN-Verbindungen (Cisco IPSec)
Hallo,
ich benutze seit 10.6 - jetzt unter 10.7 - den ab Werk enthaltenen VPN Client für Cisco IPSec-Verbindungen zu diversen Fritzboxen.
Standardmäßig wird nach dem Aufbau der Verbindung der default gateway gesetzt:
Das ist beim "Road-Warrior-Szenario" aus ungesicherten WLAN-Netzen auch sinnvoll (wobei der DNS Traffic erstmal nicht über den Tunnel läuft). Allerdings nicht wenn ich nur gesichert auf ein paar lokale Dienste zugreifen will.Code:Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default utun0 UCS 9 0 utun0
Wie kann ich verhindern, dass die Route angelegt wird ?
Bei PPTP-VPN-Verbindungen kann man das über die Checkbox "Send all traffic over VPN connection" einstellen.
Diese fehlt allerdings bei Cisco IPSec-Verbindungen.
Momentan muss ich die Routingtable immer nach den Verbindungsaufbau von Hand anpassen.
Gruß, spacy
- 02.09.2011, 21:27 #2Jonathan
- Registriert
- 08.2008
- Beiträge
- 78
Apple: MacBook (white / early 2008) | 2,4 GHz Intel Core2Duo | 4 GB RAM | 160GB HDD | running with MacOS X Lion
CISCO: ASA5505 (50 User Licence) as INet Gateway and IPSec remote Access and AP1142 for Wireless
Storage: Synology DS211 with 2 x 2TB (Raid 1)
- 06.09.2011, 23:00 #3Gala Themenstarter
- Registriert
- 07.2008
- Beiträge
- 52
Hi, danke erstmal für deine Antwort.
Ich verbinde mich hauptsächlich mit Fritzboxen, die ein rudimentäres VPN anbieten, also keine Cisco Hardware.
So habe ich die Fritzbox konfiguriert - vllt. kannst Du da was ableiten im Bezug auf die Art der Verbindung:
Kann ich nicht als Client selbst entscheiden, wie meine Routing Table aussieht - inwiefern wird das über ACLs und Policies beeinflusst?Code:vpncfg { connections { enabled = yes; conn_type = conntype_user; name = "..."; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 10.10.10.251; remoteid { key_id = "..."; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "..."; cert_do_server_auth = no; use_nat_t = yes; use_xauth = yes; use_cfgmode = no; xauth { valid = yes; username = "..."; passwd = "..."; } phase2localid { ipnet { ipaddr = 0.0.0.0; mask = 0.0.0.0; } } phase2remoteid { ipaddr = 10.10.10.251; } phase2ss = "esp-all-all/ah-none/comp-all/no-pfs"; accesslist = "permit ip any 10.10.10.251 255.255.255.255"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF
Gruß, spacy
