bordeaux
Goto Top

Add-VpnConnectionRoute

Hallo liebe Community,

ich habe folgendes Problem. Im Homeoffice sollen alle Business Daten über VPN und alles andere über das Private Netzwerk mit ausnahme einer einzigen Website 62.245.xxx.xxx/17 (Die soll auch über VPN)
Dazu dachte ich, ich nehme den befehl:
Add-VpnConnectionRoute -ConnectionName "beliebiger-name" -DestinationPrefix 62.245.xxx.xxx/17
https://docs.microsoft.com/en-us/powershell/module/vpnclient/add-vpnconn ...

Mit dem ergebnis:
Add-VpnConnectionRoute : Invalid parameter DestinationPrefix 62.245.xxx.xxx/17. : Falscher Parameter.
In Zeile:1 Zeichen:1

back-to-topAdd-VpnConnectionRoute -ConnectionName "vpn-name" -DestinationPrefix ...

back-to-top~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : InvalidArgument: (vpn name:root/Microsoft/...ConnectionRoute) [Add-VpnConnectionRoute],
CimException
+ FullyQualifiedErrorId : WIN32 87,Add-VpnConnectionRoute

Ich bin echt am verzweifeln, kann mir bitte jemand weiterhelfen?


Anscheinend gab es mal zumindest 2018 Probleme mit dem cmdlet
https://github.com/MicrosoftDocs/windows-powershell-docs/issues/196

Content-Key: 600122

Url: https://administrator.de/contentid/600122

Printed on: March 1, 2024 at 04:03 o'clock

Mitglied: 145033
145033 Aug 28, 2020 updated at 12:18:38 (UTC)
Goto Top
Anführungszeichen benutzen?
Add-VpnConnectionRoute -ConnectionName "beliebiger-name" -DestinationPrefix "62.245.xxx.xxx/32"  
Member: Bordeaux
Bordeaux Aug 28, 2020 at 12:20:15 (UTC)
Goto Top
Danke dir, leider keine änderung an der Fehlermeldung.
Mitglied: 145033
145033 Aug 28, 2020 updated at 12:46:32 (UTC)
Goto Top
Geht hier einwandfrei (s.u.)... Hast du überhaupt SplitTunneling für deine Connection definiert?
Welches OS?

Wenn es eh nur ein Host ist den du erreichen willst geb eine /32er Maske an, btw. mit der 17er Maske geht das hier übrigens auch nicht wenn man nicht die richtige Netz-Adresse des Subnetzes dazu einträgt, deine ist wohl falsch. Ist also kein Bug sondern eine falsche Angabe der Netz-Adresse wenn man eine Maske kleiner <32 benutzt face-wink.

screenshot

screenshot
Member: Bordeaux
Bordeaux Aug 28, 2020 at 12:48:50 (UTC)
Goto Top
Ich dachte zumindest mit diesem Häckchen erledigt zu haben:
unbenannt

Aber Powershell sagt "SplitTunneling : False"
Wenn ich es versuche zu aktivieren
Set-VPNConnection : The configuration cannot be applied to the local user VPN connection beliebiger-vpn-name. : Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.


Win10 1904
Mitglied: 145033
Solution 145033 Aug 28, 2020 updated at 14:08:56 (UTC)
Goto Top
Zitat von @Bordeaux:

Ich dachte zumindest mit diesem Häckchen erledigt zu haben:
unbenannt
Das ist genau die falsche Einstellung, das Häkchen muss da raus genommen werden für Split-Tunneling!. Deswegen ist SplitTunneling auch False, weil mit dem Häkchen sämtlicher Traffic über das VPN geleitet wird. Du hast da wohl was total missverstanden.

SplitTunneling = False bedeutet => jeglicher Traffic über das VPN leiten,
SplitTunneling = True bedeutet => nur bestimmten Traffic über das VPN leiten

Und les dir bitte nochmal meine Ergänzungen zu deinem Präfix in meinem letzten Post durch dann klappt auch das Hinzufügen einwandfrei!! Wenn du dort nämlich keine korrekte Netzadresse benutzt sondern irgendeine IP aus dem Subnetz wenn die Maske kleiner 32 ist führt das zu dem genannten Fehler. Machst du es richtig klappt es problemlos, und wenn es sowieso nur um einen einzelnen Host geht einfach eine 32er Maske benutzen.

Aber Powershell sagt "SplitTunneling : False"
Wenn ich es versuche zu aktivieren
Set-VPNConnection : The configuration cannot be applied to the local user VPN connection beliebiger-vpn-name. : Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.

Stichwort
-AllUserConnection

Set-VPNConnection -Name "XYZ" -AllUserConnection -SplitTunneling $true  

Also alles kein Hexenwerk wenn man es denn versteht und richtig macht face-smile.

Freitag => ­čÉč Tag
Member: aqui
aqui Aug 28, 2020 at 14:43:46 (UTC)
Goto Top
Member: Bordeaux
Bordeaux Aug 31, 2020 at 09:11:21 (UTC)
Goto Top
Vielen vielen vielen Dank! Hat funktioniert. Muss nur noch final testen ob es aus dem Homeoffice auch möglich ist auf die Webseite zu kommen face-smile
Member: aqui
aqui Aug 31, 2020 at 12:37:04 (UTC)
Goto Top
Wir sind gespannt...!
Member: Bordeaux
Bordeaux Sep 01, 2020 at 12:33:03 (UTC)
Goto Top
OK... Prinzipiell komme ich auf die Webseite, nur nicht so wie erwartet
über die IP lande ich auf deren OWA
über name lande ich auf "Fehler: Gesicherte Verbindung fehlgeschlagen"
...würde ja bedeuten es wird nicht der interne 192.168... DNS hergenommen sondern irgendein öffentlicher
Also muss ich jetzt dafür sorgen das Windows den VPN-DNS nimmt... Oder ich liege komplett falsch und fantasiere mir gerade was zusammen
Member: Bordeaux
Bordeaux Sep 01, 2020 at 12:38:47 (UTC)
Goto Top
habe die Namensauflösung überprüft, daran lags nicht
Mitglied: 145033
145033 Sep 01, 2020 updated at 14:05:20 (UTC)
Goto Top
  1. Erstens muss der genutzte DNS Server den Common Name des Webservers korrekt auf die IP auflösen welche oben in der Route angegeben wurde. DNS Cache von Windows und evt. des Browsers muss vorher gelöscht werden. Auch überprüfen ob der Browser DNSoHTTPS nutzt und so den regulären DNS Server umgeht.
  2. Der im Browser genutzte Common Name muss zum Zertifikat passen welches der Webserver ausgibt.
  3. Der Server muss ein aktuelles TLS Protokoll nutzen
  4. Der vHost des Webservers muss mit der IP bzw. seinem Interface auch an dieser IP auch lauschen. Wenn die vHOST Config dazu nicht passt, führt das ebenfalls zu solchen Problemen.
  5. Wenn das alles gecheckt wurde, WIRESHARK nehmen und den Verbindungsaufbau unter die Lupe nehmen.
Member: aqui
aqui Sep 01, 2020 at 14:27:17 (UTC)
Goto Top
habe die Namensauflösung überprüft, daran lags nicht
Ist auch kein Netzwerk Infrastruktur Problem mehr (VPN) und hat damit nichts mehr zu tun.
Das sind alles Fehler bzw. Fehlkonfigs auf der Anwendungsebene. Kollege @145033 hat die Optionen ja schon aufgezählt.