default gateway bei VPN-Verbindungen (Cisco IPSec)

[derspacy]

Hallo,

ich benutze seit 10.6 - jetzt unter 10.7 - den ab Werk enthaltenen VPN Client für Cisco IPSec-Verbindungen zu diversen Fritzboxen.
Standardmäßig wird nach dem Aufbau der Verbindung der default gateway gesetzt:

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            utun0              UCS             9        0   utun0

Das ist beim "Road-Warrior-Szenario" aus ungesicherten WLAN-Netzen auch sinnvoll (wobei der DNS Traffic erstmal nicht über den Tunnel läuft). Allerdings nicht wenn ich nur gesichert auf ein paar lokale Dienste zugreifen will.

Wie kann ich verhindern, dass die Route angelegt wird ?
Bei PPTP-VPN-Verbindungen kann man das über die Checkbox "Send all traffic over VPN connection" einstellen.

Diese fehlt allerdings bei Cisco IPSec-Verbindungen.

Momentan muss ich die Routingtable immer nach den Verbindungsaufbau von Hand anpassen.

Gruß, spacy

 

[AcidUncle]

also erstmal hat der cisco vpn client nichts mit der konfiguration deiner ipsec-connection zu tun. dein client baut ledigtlich die verbindung auf. am client, konfigurierst du auch nicht, welcher traffic in oder um den tunnel muss. jedenfalls nicht bei cisco. da findet die konfiuration auf dem vpnc, pix oder der asa statt. das nennt sich da split-tunneling. da wird mittels definierter acl und der darüber gelegten policy festgelegt, welcher traffic in den ipsec-tunnel geht und welcher nicht.

 

[derspacy]

Hi, danke erstmal für deine Antwort.

Ich verbinde mich hauptsächlich mit Fritzboxen, die ein rudimentäres VPN anbieten, also keine Cisco Hardware.
So habe ich die Fritzbox konfiguriert - vllt. kannst Du da was ableiten im Bezug auf die Art der Verbindung:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "...";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 10.10.10.251;
                remoteid {
                        key_id = "...";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "...";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
                xauth {
                    valid = yes;
                    username = "...";
                    passwd = "...";
                }
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 10.10.10.251;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip any 10.10.10.251 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Kann ich nicht als Client selbst entscheiden, wie meine Routing Table aussieht - inwiefern wird das über ACLs und Policies beeinflusst?


Gruß, spacy