Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Verbindung konfigurieren

Mitglied: Ghost108

Ghost108 (Level 2) - Jetzt verbinden

01.06.2018 um 11:21 Uhr, 1936 Aufrufe, 32 Kommentare

Hallo zusammen,

ich habe eine Fritzbox und Synology NAS.
Gerne möchte ich mit meinem Clients via VPN auf meine NAS von überall zugreifen können.
Habe dafür auf der Synology NAS einen VPN Server installiert (L2TP).

Habe dann auf meinem Macbook eine VPN Verbindung erstellt und erfolgreich eine Verbindung aufbauen können.
Jetzt habe ich nur folgendes Problem - mit diesen Einstellungen klappt es super:

bildschirmfoto 2018-06-01 um 09.17.46 - Klicke auf das Bild, um es zu vergrößern

Bedeutet: ich kann google pingen und eine IP Adresse aus meinem lokalen Heimnetz.
Ich möchte die Option "Gesamten Verkehr über die VPN Verbindung senden" nicht nutzen.

Ich möchte die VPN Verbindung NUR dann nutzen, wenn es eine Verbindung zu meinem lokalen Netz ist.
Alles andere soll am VPN vorbei gehen - dafür habe ich logischerweise diese Option deaktiviert.

Auch dann bekomme ich eine VPN Verbindung hin.
Allerdings kann ich dann nur noch google anfingen - dafür kein Gerät mehr aus dem lokalen Netz.

Jemand eine Idee?
32 Antworten
Mitglied: Xerebus
01.06.2018 um 12:28 Uhr
Der VPN baut eine Verbindung zu 10.0.2..x auf. Dein internes Netz ist sicher in einem anderen Netzsegment.
Daher weis dein Max nicht das er z.B. 192.168.20.x anfragen über das 10er netz senden soll.
Das musst du den Mac noch mitteilen und hier bin ich raus ;)
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 12:37 Uhr
also folgendes: wenn ich es über openvpn mache kann klappt alles tadellos.
habe via traceroute überprüfen können, dass ein ping zu google am VPN vorbei geht.
und jeder ping in mein lokales netz geht über VPN- so wie es soll.

= Somit hätte ich eine Lösung über openVPN =

Mache ich das ganze via L2TP - was mir jetzt deutlich lieber wäre, da ich dafür keine zusätzliche Software benötige, bin ich in folgender Situation:
VPN Verbindung klappt so lange ich die Option "Gesamten Verkehr über die VPN Verbindung senden" aktiv lasse.
Bedeutet. ALLE Verbindung gehen über VPN - was ich nicht möchte.
Deaktiviere ich die Option, komme ich zwar ins Internet > Ping an google geht am VPN vorbei.
Komme allerdings nicht an meine Geräte im LAN. Traceroute versucht auch hier am VPN vorbei zu gehen, was in dem Falle nicht richtig ist.
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 13:03 Uhr
das mit dem Routen Eintrag war garnicht mal so verkehrt
habe folgendes über das Termin eingegeben:

route add -net <IP-VON-MEINEM-LANt> -netmask 255.255.255.0 -interface ppp0

Jetzt geht alles Richtung Internet am VPN vorbei.
Und alles richtig LOKALES LAN via VPN !

Soweit wäre es perfekt.
Nur wie würde ich das meinem iPhone bei bringen?
Da ist ja nicht mal eben ein Route-Eintrag möglich ...
Bitte warten ..
Mitglied: Xerebus
01.06.2018 um 13:23 Uhr
Funktioniert bei mir ohne route Eintrag am iPhone..
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 13:30 Uhr
bei mir leider nicht

fullsizeoutput_28d. - Klicke auf das Bild, um es zu vergrößern


Internet geht am VPN vorbei.
Lokales Netz nicht erreichbar.
Bitte warten ..
Mitglied: goscho
01.06.2018, aktualisiert um 14:52 Uhr
Hallo Ghost108

du hast eine Fritzbox als Gateway.
Warum lässt du diese nicht VPN-Server spielen?
Ist zwar IPSEC-VPN, aber das beherrschen die Apple-Geräte problemlos.
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 15:03 Uhr
grundsätzlich eine gute Idee.
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet bzw, es gibt keine Option, welche dies ermöglicht anders zu regeln.
Bitte warten ..
Mitglied: goscho
01.06.2018 um 15:51 Uhr
Zitat von Ghost108:

grundsätzlich eine gute Idee.
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet bzw, es gibt keine Option, welche dies ermöglicht anders zu regeln.
Nein, das ist falsch.
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 15:57 Uhr
Zitat von Ghost108:

grundsätzlich eine gute Idee.
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet bzw, es gibt keine Option, welche dies ermöglicht anders zu regeln.
Das legst du selbst fest was getunnelt werden soll und zwar mit der Phase 2 SA teilst du dem Client mit welche Subnetze getunnelt werden sollen .
Nur wenn in der SA 0.0.0.0/0 drin steht geht auch alles über den Tunnel.
Bitte warten ..
Mitglied: Ghost108
01.06.2018, aktualisiert um 15:57 Uhr
und wie genau mache ich das an einem macOS Rechner?, bzw ebenfalls am iPhone ?
oder muss dieses an der Fritzbox eingestellt werden?
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 16:00 Uhr
Zitat von Ghost108:

und wie genau mache ich das an einem macOS Rechner?, bzw ebenfalls am iPhone ?
oder muss dieses an der Fritzbox eingestellt werden?
Das legt immer der VPN Responder fest, indem Fall deine Fritte, dort legt das die Eigenschaft "Accesslist" im Configfile des VPN fest.
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 16:01 Uhr
wo genau mache ich das auf der Fritzbox?
Habe sowas in nicht der GUI gefunden
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 16:05 Uhr
Zitat von Ghost108:

wo genau mache ich das auf der Fritzbox?
Habe sowas in nicht der GUI gefunden
Musst dir die Config exportieren, dann daraus den VPN Abschnitt Rauslösen, die Accesslist anpassen und dann die VPN config wieder über die Importfunktion einlesen lassen.
Gibt's genügend Anleitungen dazu im Web!
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 16:05 Uhr
wie komme ich an die config?
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 16:09 Uhr
Na exportieren, au möhr ... wieder Freitag ...
System->Sicherung

https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 16:10 Uhr
wenn ich das richtig verstehe:
Ich soll über diesen Schritt die gesamte Config der Firtzbox exportieren, den VPN Part dort manuell anpassen und die komplette config in die Fritzbox wieder importieren ?
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 16:12 Uhr
Nein aus der kompletten Config nimmst du nur den Part mit den VPNs kopierst den in ein neues File passt sie an und importierst das ganze wieder unter VPN in der Fritte, les einfach mal den Link oben.
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 16:24 Uhr
alles klar,
habe die config exportiert und den vpn part draus entnommen. wie muss ich denn die config Datei anpassen, so dass diese den verkehr nicht immer über vpn leitet?


anbei meine VPN Konfig:
01.
vpncfg {
02.
        vpncfg_version = 1;
03.
        connections {
04.
                enabled = yes;
05.
                editable = no;
06.
                conn_type = conntype_user;
07.
                name = "xxx";
08.
                boxuser_id = 10;
09.
                always_renew = no;
10.
                reject_not_encrypted = no;
11.
                dont_filter_netbios = yes;
12.
                localip = 0.0.0.0;
13.
                local_virtualip = 0.0.0.0;
14.
                remoteip = 0.0.0.0;
15.
                remote_virtualip = xxx.xxx.xxx.xxx;
16.
                keepalive_ip = 0.0.0.0;
17.
                remoteid {
18.
                        key_id = "XXX";
19.
                }
20.
                mode = phase1_mode_aggressive;
21.
                phase1ss = "LT8h/all/all/all";
22.
                keytype = connkeytype_pre_shared;
23.
                key = "XXX";
24.
                cert_do_server_auth = no;
25.
                use_nat_t = yes;
26.
                use_xauth = yes;
27.
                xauth {
28.
                        valid = yes;
29.
                        username = "XXX";
30.
                        passwd = "XXX";
31.
                }
32.
                use_cfgmode = yes;
33.
                phase2localid {
34.
                        ipnet {
35.
                                ipaddr = 0.0.0.0;
36.
                                mask = 0.0.0.0;
37.
                        }
38.
                }
39.
                phase2remoteid {
40.
                        ipaddr = xxx.xxx.xxx.xxx;
41.
                }
42.
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
43.
                accesslist =
44.
                             "permit ip 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 255.255.255.255";
45.
                app_id = 0;
46.
        }
47.
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
48.
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
49.
}
Bitte warten ..
Mitglied: aqui
01.06.2018 um 16:27 Uhr
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet
Das ist wie immer Blödsinn !
Weisst du vermutlich auch selber, denn genau das Gegenteil ist der Fall.
Du musst in der IPsec Konfig explizit ein Gateway redirect konfigurieren wenn du den gesamten Traffic in den Tunnel routen willst.
Normal wir nur das in den Tunnel geroutet was zum remoten lokalen Netz soll.
Siehe auch hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Stichwort: Split Tunneling !
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 16:37 Uhr
@aqui,

wenn ich es perfekt wüsste, würde ich nicht eure Hilfe benötigen, oder?
Aber danke für diene charmante Art

Ich weiß nur, dass dies der aktuelle Zustand ist, wenn ich mit meinem mac eine Verbindung via IPSec zur Fritzbox aufbaue:

bildschirmfoto 2018-06-01 um 16.33.00 - Klicke auf das Bild, um es zu vergrößern

Ich kann www.google.de nicht anpingen (DNS Name kann nicht aufgelöst werden).
DIe IP Adresse von google allerdings schon

Und wird hier das "Split Tunneling" durchgeführt oder alles durch den VPN Tunnel gepustet?
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 16:49 Uhr
Das hier
accesslist = "permit ip 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 255.255.255.255";
ersetzt du durch
01.
accesslist =  "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255"; 
Das bei dir verwendete Subnetz natürlich anpassen.
Bitte warten ..
Mitglied: aqui
01.06.2018, aktualisiert um 16:53 Uhr
Aber danke für diene charmante Art
Immer gerne wieder.
In einem Admin Forum sollte man aber nicht so einen Unsinn verbreiten wenn man es nicht besser weiss. Auch nicht an einem Freitag. Sonst glauben andere Teilnehmer hier sowas wohlmöglich auch noch.

Man definiert das immer in den Phase 2 Settings von IPsec in der "Remote Network" Konfig.
Splitt Tunneling hat man wenn man dort nur das oder die remoten Netze definiert. Alles geht in den Tunnel wenn man dort eine Default Route 0.0.0.0/0 eingibt oder Gateway redirect klickt.
Hier mal das Beispiel bei der Einrichting von IPsec an einer pfSense Firewall:
ipsec - Klicke auf das Bild, um es zu vergrößern
Bei anderen Herstellern ist das identisch !
Bitte warten ..
Mitglied: Ghost108
01.06.2018, aktualisiert um 17:00 Uhr
also als Beispiel: wenn mein LAN die Netz 192.168.178.0 hat und es aktuell so aussieht in der config:

01.
permit ip 0.0.0.0 0.0.0.0 192.168.178.201 255.255.255.255";
muss ich es folgendermaßen anpassen?:

01.
permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
Wäre das so korrekt?
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 16:59 Uhr
Japp, bis auf den Zahlendreher (167 statt richtigerweise 168)
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 17:02 Uhr
hab ich noch angepasst ;)
habe die neue config als VPN Einstellung in der Fritzbox importiert.
Mit dieser config bekomme ich jetzt überhaupt keine Verbindung mehr zur Fritzbox via IPSec zustande
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 17:05 Uhr
Du musst das Passwort und den PSK in der Config natürlich auch ersetzen min Jung.

Man man man laaaaaanger Freidach heut.

Darfs noch ein Bier sein...?
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 17:05 Uhr
warum sollte ich den ersetzen müssen?
ist es nicht das selbe passwort / psk wie vorher ?
habe doch die config exportiert und am passwort / psk keine Änderung durchgeführt - somit muss es doch das alte geblieben sein oder denk ich da falsch ?
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 17:08 Uhr
Zitat von Ghost108:

warum sollte ich den ersetzen müssen?
ist es nicht das selbe passwort / psk wie vorher ?
Nein in der Config werden die verschlüsselt exportiert, beim Import über diese Methode aber nicht wieder entschlüsselt.
habe doch die config exportiert und am passwort / psk keine Änderung durchgeführt - somit muss es doch das alte geblieben sein oder denk ich da falsch ?
Japp falsch gedacht.
Plaintext eintragen und freuen!!!!

Wieso müssen wir hier alles 20 mal wiederholen, das kannst du überall nachlesen
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 17:09 Uhr
ahhh das muss man auch erst wissen.
bedeutet, ich schreibe in der config in die Klartext rein?

was muss dann genau wo rein?


01.
 remoteid {
02.
                        key_id = "WAS FÜR EIN KEY IST DAS?";
03.
                }
04.

05.
                key = "WAS FÜR EIN KEY IST DAS?";
06.

07.
                xauth {
08.
                        valid = yes;
09.
                        username = "MEIN_BENUTZERNAME";
10.
                        passwd = "MEIN_PASSWORT;
11.
                }
Bitte warten ..
Mitglied: 136166
01.06.2018, aktualisiert um 17:17 Uhr
War ja klar ... Kindergarten.

Steht alles hier
https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php

Wenn man das zumindest mal lesen würde aber nee ... Wohl zu faul

So ich bin raus, das wird mir jetzt echt zu dämlich.
Bitte warten ..
Mitglied: Ghost108
01.06.2018 um 17:20 Uhr
jaja alles gut - hab es zwischenzeitlich gefunden und auch gelesen.
alles halb so wild ;)

kann mich wieder verbinden.
allerdings ist es schlimmer als vorher.

kann jetzt weder google.de (ging vorher auch nicht) noch die 8.8.8.8 anpingen (was vorher ging)
Kann nur Geräte im LAN erreichen.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

VPN Verbindung, Ordnerumleitung - Langsame Verbindung!

gelöst Frage von MrNightWindows Netzwerk6 Kommentare

Hallo Gemeinde Ich suche mich schon seit einiger Zeit durch die Webseiten um die "besten Einstellungen" für die Ordnerumleitung ...

Windows 10

VPN Verbindung Probleme

gelöst Frage von Yeter2Windows 109 Kommentare

Hallo zusammen, ich bin kein Adminiastrator, sondern nur ein User, der hofft eine Lösung zu finden. Ich habe eine ...

Netzwerkprotokolle

Sicherheit VPN Verbindung

gelöst Frage von rostigernagelNetzwerkprotokolle9 Kommentare

Hallo zusammen, wie seht ihr die Sicherheit in folgendem Szenario. Ein User will einen Heimarbeitsplatz betreiben. Im Firmennetzwerk steht ...

Windows Netzwerk

VPN Verbindung begrenzen?

gelöst Frage von jefflorbergWindows Netzwerk5 Kommentare

Servus, ich arbeite aufgrund meines Studiums mit dem 3D-Programm NX 8.5. Um es zu benutzten muss ich eine VPN-Verbindung ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 3 StundenOff Topic1 Kommentar

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 16 StundenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 2 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung24 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

LAN, WAN, Wireless
Gleichzeitiger Zugriff übers Netzwerk: SSD vs HDD
gelöst Frage von ahussainLAN, WAN, Wireless20 Kommentare

Hallo, ich möchte in einem Rechner eine zusätzliche SATA-Festplatte einbauen und von dort diverse Ordner übers Netzwerk (Gigabit Ethernet) ...

Netzwerkmanagement
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Frage von KivasFNetzwerkmanagement16 Kommentare

Morgen Zusammen, ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
gelöst Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...