Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IKEv2 Split Tunnel Probleme

Mitglied: MrPfiff

MrPfiff (Level 1) - Jetzt verbinden

09.01.2019 um 13:50 Uhr, 841 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich habe leider ein sehr merkwürdiges Problem, mit dem IKEv2-VPN Tunnel, welches sich in Windows 10 1709, 1803 und 1809 (Patchstand: 01-2019) gleich verhält. Als VPN-Verbindungspunkt wird eine FortiGate 60E (v5.6.5 build1600 (GA)) verwendet.

Wenn ich versuche über WLAN eine VPN Verbindung aufzubauen funktioniert alles ohne Probleme. Der richtige DNS wird verwendet und der Split Tunnel funktioniert. Gleiches versuche ich über eine LAN-Verbindung. Es wird der lokale DNS Server des Clients verwendet. Es erfolgt aber auch kein Split-Tunnel sonder sämtlicher Traffic wird durch den Tunnel geleitet. Ich komme deswegen nicht ins Internet weil dies von der Firewall blockiert wird (der User soll auch nicht über den VPN-Tunnel ins Internet). Komme aber auch auf keine eigenen Server da DNS nicht funktioniert (bzw. über die IP erreiche ich die Server). Hier die Netzwerkkonfiguration des VPN-Adapters.

https://administrator.de/images/c/1/5/d3e5af6a74f78b52062c0f22a7001ced.j ...

Hat von euch jemand eine Idee bzw. eine Lösung

Danke schon mal vorab

Grüße
MrPfiff
ip-ikev2_1 - Klicke auf das Bild, um es zu vergrößern
ip-ikev2_2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Pjordorf
09.01.2019, aktualisiert um 14:18 Uhr
Hallo,

Zitat von MrPfiff:
Wenn ich versuche über WLAN eine VPN Verbindung aufzubauen funktioniert alles ohne Probleme.
Gleiches versuche ich über eine LAN-Verbindung.
Frag den wer euer LAN und WLAN gestrickt hat und dort DNS eingerichtet hat. Der weiss bestimmt welche Einstellung da fehlt oder verbogen ist.

Gruß,
Peter
Bitte warten ..
Mitglied: SomebodyToLove
09.01.2019 um 14:28 Uhr
Hiho,

versuche mal mit ipconfig /all die Einstellung der W-Lan Karte und der Ethernet Karte zu vergleichen.

Sind sie im selben Netzwerk?
Haben sie die gleichen DNS Settings?
usw.

Du kannst mit ipconfig /all eventuell auch Unterschiede bei deinem virtuellen Tunneladapter feststellen.

Beste Grüße
Somebody
Bitte warten ..
Mitglied: aqui
LÖSUNG 09.01.2019, aktualisiert um 15:59 Uhr
Bitte auch das "+" Klicken nach dem Hochladen der Bilder !!
Dann kommen die auch an die richtige Stelle im Text und nicht aus dem Text Zusammenhang gerissen und ungeordnet am Ende ! (Kann man übrigens auch noch nachträglich über den "Bearbeiten" Button machen ! )

Zurück zum Thema.
Dieses Tutorial beschreibt die richtige Einrichtung des Win 10 VPN Clients mit IKEv2:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Entscheidend für das richtige Routing sind die "Add-VpnConnectionRoute -ConnectionName "VPNName" -DestinationPrefix x.y.z.h/m -PassThru Kommandos der Powershell.
(x.y.z=Netz, h=Host, m=Maske) und die SA Netzdefinition in der IPsec Phase 1.
Wenn das alles stimmt rennt das sauber.
Den Haken zu setzen in der Client Config bei "Standardgateway für das Remeote Netzwerk verwenden" ist natürlich tödlich und ein fataler Fehler wenn du ein VPN Split Tunnel Design hast !!! Sollte auch einem Laien einleuchten, denn das erzwingt einen Gateway Redirect im Client und wirkt dem Split Tunnel zuwieder !
Das nämlich macht genau das Gegenteil und sendet ALLES in den Tunnel. Wenn dann die Gegenseite auf der Firewall nicht stimmt hast du einen SA Mismatch und nix funktioniert !
Ein route print bei aktivem VPN Client zeigt dir dann die Routing Tabelle des Clients.
Bitte warten ..
Mitglied: ChriBo
09.01.2019 um 16:14 Uhr
Hi,
du mußt die DNS Bindungsreihenfolge , bzw. Netzwerkadapterreihenfolge ändern.
War etwas tricky.
Ich weiß leider nicht mehr wo und wie es unter W7 eingestellt wird.

CH
Bitte warten ..
Mitglied: MrPfiff
10.01.2019 um 10:18 Uhr
Danke schon mal

Den Haken mit dem Standardgateway hab ich raus genommen. Klingt eigentlich logisch :D . Allerdings habe ich auf der Firewall die Routen schon definiert und die werden laut Debuglog auch mit der modconfig rausgeschickt. Die Modconfig wird ja auch übernommen da ich ansonsten ja keine IP-Adresse bzw. den DNS-Server nicht bekommen würde. Kann der Windows-VPN Client das nicht oder fehlt irgendwas in der config?
Bitte warten ..
Mitglied: aqui
10.01.2019 um 10:54 Uhr
Wie gesagt route print zeigt dir dann bei aktivem VPN Client an ob alle Netze richtig distribuiert wurden. Routingtechnsich wäre dann alels sauber wenn das alles passt wie du es in der modconfig definiert.
Wenn es dennoch nicht geht ist das ein Problem der Firewall Regeln !
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle

IPSec VPN Lancom Split Tunnel verhindern?

Frage von UnbekannterNR1Netzwerkprotokolle4 Kommentare

Hallo, wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind ...

LAN, WAN, Wireless

FortiGate VPN mit Apple FortiClient Version 6 (Split Tunnel)

Frage von K-ist-KLAN, WAN, Wireless7 Kommentare

Hallo, ich hab eine FortiGate 50E, wo VPN konfiguriert ist (IPSEC) Mit Windows FortiClient kann ich mich verbinden. Wenn ...

Netzwerkmanagement

IKEv2 VPN Authentifizierungsfehler

Frage von itschloeglNetzwerkmanagement14 Kommentare

Hallo und Guten Abend, folgendes Problem: Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: Leider sagt mir mein Windows-Rechner: ...

Microsoft

SSH RDP Tunnel Problem

Frage von Philbo69Microsoft15 Kommentare

Hey Leute ich habe ein Problem mit dem Aufbau einer RDP Session per SSH Tunnel. Host: IP-COP Port 222 ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 9 StundenAdministrator.de Feedback4 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 4 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen15 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Speicherkarten
Multi USB Stick erstellen
Frage von Ghost108Speicherkarten15 Kommentare

Guten Morgen zusammen, ich würde gerne einen Multi USB Stick erstellen (bootmöglichkeit mehrer ISOs), welcher sowohl Legacy als auch ...