gelöst IPSec VPN IKEv2 mit Zywall VPN Client hinter NAT - falscher DNS?

Mitglied: KodaCH

KodaCH (Level 2) - Jetzt verbinden

24.06.2018, aktualisiert 13:17 Uhr, 2345 Aufrufe, 5 Kommentare

Guten Morgen

Ich habe mich daran versucht eine VPN Verbindung mit einer ZyWall zu erstellen. Dies ist Primär nicht das Problem.

Hier mal meine Einstellung vom VPN-Gateway unter Konfiguration --> VPN -- IPSec-VPN
gateway - Klicke auf das Bild, um es zu vergrößern

Hier die VPN Verbindungseinstellungen
vpnverbindung - Klicke auf das Bild, um es zu vergrößern

Nun habe ich das ganze mit dem Zywall VPN Client verbinden wollen. Dies klappt, und die Verbindung kommt zustande mit folgenden Einstellungen
Phase1:
phase1 - Klicke auf das Bild, um es zu vergrößern

Phase2
phase2 - Klicke auf das Bild, um es zu vergrößern

ZyWall IP: 192.168.1.1
DHCP IP Der ZyWall vom Router: 192.168.0.2

Die Verbindung kann ich aufbauen. ipconfig /all ergibt mir die IPv4 10.20.10.10 ohne Gateway angabe.

Nun habe ich Zugriff aufs Internet, wieistmeineip.de gibt mir jedoch nicht die IP von Zuhause an sondern die IP von dem Gerät welche den VPN aufbaut. Ich denke da scheint somit schon was an den Einstellungen falsch zu sein.

Dann habe ich das Problem, dass er wohl den DNS (Bei mir die ZyWall) nicht verwendet. Ich kann zwar Resourcen im Netzwerk mit 192.168.1.X aufrufen, DNS Auflösungen welche in der ZyWall hinterlegt sind findet er jedoch nicht.

Als letztes kann ich ebenfalls auch nicht auf Resourcen in einem anderen Subnetz zugreifen. Ich habe ncoh welche unter 192.168.3.X. Ich habe auch schon Versucht die Richtlinienkontrolle zu deaktivieren. Jedoch hab ich auch so kein Zugriff. Ich vermute sobald jemand ein Tipp hat was oben falsch sein könnte lösen sich die ein oder anderen Probleme ganz von alleine

EDIT: Ich habe nun im Client Testweise die Remote LAN Adresse sowie die Subnetmaske auf 0.0.0.0 gesetzt da ich dies in einer anderen Anleitung so gesehen habe. So würde ich als Standardgateway 172.20.10.1 erhalten (Weshalb auch immer). So hätte ich auch Zugriff auf meine Resourcen unter 192.168.3.X, der ZyWall DNS wird jedoch auch dann nicht abgefragt und Internet habe ich so auch keines mehr. Also nur Ein teil erfolg mit weiteren Problemen

Ich bedanke mich schon im Voraus für jede Hilfestellung

Gruss

Koda
Mitglied: aqui
LÖSUNG 24.06.2018, aktualisiert um 13:18 Uhr
Ich denke da scheint somit schon was an den Einstellungen falsch zu sein.
Das kommt darauf an....
Es ist nicht falsch wenn dein Client sog. Split Tunneling macht als KEIN Gateway Redirect. Dann wir nur der Traffic in den VPN Tunnel geroutet der in das remote lokale LAN oder LANs geht.
Alles andere wird lokal gesendet.
In diesem Falle stimmt also deine Anzeige, und ist auch so zu erwarten weil du in deinen Konfigs oben eben KEIN Gateway Redirect machst.
Erst damit geht ja dein gesamter Traffic in den Tunnel und dann müsstest du den Tunnel Router als wieistmeineip sehen.
Works as designed !
DNS Auflösungen welche in der ZyWall hinterlegt sind findet er jedoch nicht.
Dann solltest du mal mit ipconfig -all oder nslookup nachsehen welche IP genau als DNS IP im Client definiert ist bei aktivem VPN Client ! Das ist dann der DNS den er fragt wenn der VPN Tunnel aktiv ist.
Als letztes kann ich ebenfalls auch nicht auf Resourcen in einem anderen Subnetz zugreifen.
Ist auch klar wenn du diese nicht in deine IPsec Phase 2 Credentials angibst !!
Wenn du z.B. mehrere IP Netze im Bereich 172.16.0.0 remote hast also z.B. 172.16.10.0 /24 und 172.16.20.0 /24 usw. dann kannst du den ganzen 172.16er Bereich in den Tunnel routen indem du eine entsprechende Subnetz Maske angibst wie z.B. 172.16.0.0 255.255.0.0 oder etwas strickter 172.16.0.0 255.255.224.0 was dann alles von 172.16.0.0 bis 172.16.255.255. oderbei der strikcteren Maske bis .31.254 in den VPN Tunnel routet.
Das passt du also immer mit der IPsec Konfig entsprechend an.
die Remote LAN Adresse sowie die Subnetmaske auf 0.0.0.0 gesetzt
Das wäre dann der besagt Gateway Redirect der jeglichen Client Traffic in den Tunnel routet ! Das ist eben das besagte "Weshalb auch immer". Einfach mal nachdenken...simples IP Routing !
Also auch hier: Works as designed !!
Nähere Infos dazu siehe auch hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Bitte warten ..
Mitglied: KodaCH
24.06.2018, aktualisiert um 14:52 Uhr
Hi aqui

Vielen Dank. Ich habe nun den einen PC neu Installiert da dort etwas nicht gestimmt hat.

Ich habe jetzt wie beschrieben alles Eingestellt und die IPs auf 0.0.0.0 gesetzt.

Was nun jedoch auffallend ist: Das Internet ist extrem langsam. Sowohl auf dem PC auf dem der VPN aktiv ist, als auch Zuhause. Dort bekomme ich die Seiten kaum noch geöffnet. Meist läd er 2 oder 3 Minuten und bricht dann ab.
Wenn ich die VPN Verbindung schliesse geht es Zuhause auch wieder normal und ich bekomme knapp 400Mbps. Öffne ich den Tunnel geht wieder auf beiden Seiten nichts.

Ein ipconfig /all ergibt für den Tunnel:
IPv4: 10.20.10.10 (Ich müsste doch eine aus 10.10.2.X erhalten??)
Subnetmask: 255.255.255.0
Standardgateway 172.20.10.1 (die die auch mein WLAN Adapter hat)
DNS mit 192.168.1.1

EDIT: Ok. Es ist speziell. Aber wenn ich im Client sage, ich möch die Client IP 10.10.2.1 geht alles wie es soll. Vielen Dank

Gruss

Koda
Bitte warten ..
Mitglied: KodaCH
24.06.2018 um 15:12 Uhr
Eine Frage hätte ich noch. Ich habe nun auf ein Zertifikat umgestellt und das klappt auch. Bei einem iOS Gerät muss ich jedoch eine Externe ID angeben. Ich dachte eigentlich es ist auch die DynDNS Adresse. Aber ich erhalte in der Firewall immer den Fehler Phase 1 proposal mismatch.
Was könnte da noch falsch sein?
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.06.2018 um 16:48 Uhr
Du solltest wie im o.a. Tutiroal beschrieben alle Optionen aktivieren also sowohl nur rein Hostnamen als auch den FQDN Namen, damit das ausgehandelt werden kann. Leider sind hier die Clients oft etwas "wählerisch"
Bitte warten ..
Mitglied: KodaCH
24.06.2018, aktualisiert um 19:45 Uhr
Ok. Mit dem Secret Key geht es Danke
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless17 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1013 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 1012 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1011 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

Ähnliche Inhalte
Netzwerke

Funktionierender VPN(IpSec, IKEv2) Client Software für Windows

gelöst canlotFrageNetzwerke8 Kommentare

Einen schönen Samstag Nachmittag allen, wie der Titel schon verrät, suche ich einen funktionieren VPN Client der eine funktionierede ...

Netzwerkmanagement

IKEv2 VPN Authentifizierungsfehler

itschloeglFrageNetzwerkmanagement14 Kommentare

Hallo und Guten Abend, folgendes Problem: Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: Leider sagt mir mein Windows-Rechner: ...

Router & Routing

ZyWALL USG310 IPSEC sehr langsam

VGoe16FrageRouter & Routing8 Kommentare

Hiho, ich habe ein komisches Verhalten einer ZyWALL USG310. Die ZyWALL war bisher über einen 100MBit Switch mit dem ...

Router & Routing

Bintec R1202 IPSec Ikev2 VPN-Verbindung mit Zertifikaten schlägt fehl

Mr-RouterFrageRouter & Routing5 Kommentare

Hallo, folgendes Szenario: Router = Bintec R1202 als VPN-Server für eine IPSec Ikev2 VPN-Verbindung mit Zertifikaten. Als Client dien ...

Firewall

OPNsense IPSec NAT Problem

gelöst SomebodyToLoveFrageFirewall7 Kommentare

Hallo, ich bin aktuell am verzweifeln mit meiner VPN IPSec Konfiguration. Ich bekomme einfach keinen Ping auf die Gegenseite ...

Netzwerke

IPsec nur einseitiges NAT

gelöst KufsteinFrageNetzwerke4 Kommentare

Hallo zusammen Ich habe momentan zwei pfsense an verschiedenen Anschlüssen via IPsec verbunden. Beide haben öffentliche IPv4 und die ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT