VPN Verbindung konfigurieren
Hallo zusammen,
ich habe eine Fritzbox und Synology NAS.
Gerne möchte ich mit meinem Clients via VPN auf meine NAS von überall zugreifen können.
Habe dafür auf der Synology NAS einen VPN Server installiert (L2TP).
Habe dann auf meinem Macbook eine VPN Verbindung erstellt und erfolgreich eine Verbindung aufbauen können.
Jetzt habe ich nur folgendes Problem - mit diesen Einstellungen klappt es super:
Bedeutet: ich kann google pingen und eine IP Adresse aus meinem lokalen Heimnetz.
Ich möchte die Option "Gesamten Verkehr über die VPN Verbindung senden" nicht nutzen.
Ich möchte die VPN Verbindung NUR dann nutzen, wenn es eine Verbindung zu meinem lokalen Netz ist.
Alles andere soll am VPN vorbei gehen - dafür habe ich logischerweise diese Option deaktiviert.
Auch dann bekomme ich eine VPN Verbindung hin.
Allerdings kann ich dann nur noch google anfingen - dafür kein Gerät mehr aus dem lokalen Netz.
Jemand eine Idee?
ich habe eine Fritzbox und Synology NAS.
Gerne möchte ich mit meinem Clients via VPN auf meine NAS von überall zugreifen können.
Habe dafür auf der Synology NAS einen VPN Server installiert (L2TP).
Habe dann auf meinem Macbook eine VPN Verbindung erstellt und erfolgreich eine Verbindung aufbauen können.
Jetzt habe ich nur folgendes Problem - mit diesen Einstellungen klappt es super:
Bedeutet: ich kann google pingen und eine IP Adresse aus meinem lokalen Heimnetz.
Ich möchte die Option "Gesamten Verkehr über die VPN Verbindung senden" nicht nutzen.
Ich möchte die VPN Verbindung NUR dann nutzen, wenn es eine Verbindung zu meinem lokalen Netz ist.
Alles andere soll am VPN vorbei gehen - dafür habe ich logischerweise diese Option deaktiviert.
Auch dann bekomme ich eine VPN Verbindung hin.
Allerdings kann ich dann nur noch google anfingen - dafür kein Gerät mehr aus dem lokalen Netz.
Jemand eine Idee?
32 Antworten
- LÖSUNG Xerebus schreibt am 01.06.2018 um 12:28:49 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 12:37:45 Uhr
- LÖSUNG Xerebus schreibt am 01.06.2018 um 12:43:46 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 13:03:40 Uhr
- LÖSUNG Xerebus schreibt am 01.06.2018 um 13:23:36 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 13:30:32 Uhr
- LÖSUNG Xerebus schreibt am 01.06.2018 um 13:23:36 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 13:03:40 Uhr
- LÖSUNG Xerebus schreibt am 01.06.2018 um 12:43:46 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 12:37:45 Uhr
- LÖSUNG goscho schreibt am 01.06.2018 um 14:52:25 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 15:03:11 Uhr
- LÖSUNG goscho schreibt am 01.06.2018 um 15:51:47 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 15:54:23 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 15:57:29 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 15:58:52 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:01:22 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:04:39 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:05:16 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:05:48 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:10:14 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:12:13 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:24:03 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:47:26 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:54:17 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:57:36 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:02:11 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 17:03:00 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:05:20 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 17:06:41 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:09:57 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 17:13:09 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:20:03 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 17:13:09 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:09:57 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 17:06:41 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:05:20 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 17:03:00 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 17:02:11 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:57:36 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:54:17 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:47:26 Uhr
- LÖSUNG aqui schreibt am 01.06.2018 um 16:27:09 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:37:37 Uhr
- LÖSUNG aqui schreibt am 01.06.2018 um 16:51:43 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:37:37 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:24:03 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:12:13 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:10:14 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:05:48 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:05:16 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 16:04:39 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 16:01:22 Uhr
- LÖSUNG 136166 schreibt am 01.06.2018 um 15:58:52 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 15:57:29 Uhr
- LÖSUNG 131361 schreibt am 01.06.2018 um 15:03:11 Uhr
LÖSUNG 01.06.2018 um 12:28 Uhr
LÖSUNG 01.06.2018 um 12:37 Uhr
also folgendes: wenn ich es über openvpn mache kann klappt alles tadellos.
habe via traceroute überprüfen können, dass ein ping zu google am VPN vorbei geht.
und jeder ping in mein lokales netz geht über VPN- so wie es soll.
= Somit hätte ich eine Lösung über openVPN =
Mache ich das ganze via L2TP - was mir jetzt deutlich lieber wäre, da ich dafür keine zusätzliche Software benötige, bin ich in folgender Situation:
VPN Verbindung klappt so lange ich die Option "Gesamten Verkehr über die VPN Verbindung senden" aktiv lasse.
Bedeutet. ALLE Verbindung gehen über VPN - was ich nicht möchte.
Deaktiviere ich die Option, komme ich zwar ins Internet > Ping an google geht am VPN vorbei.
Komme allerdings nicht an meine Geräte im LAN. Traceroute versucht auch hier am VPN vorbei zu gehen, was in dem Falle nicht richtig ist.
habe via traceroute überprüfen können, dass ein ping zu google am VPN vorbei geht.
und jeder ping in mein lokales netz geht über VPN- so wie es soll.
= Somit hätte ich eine Lösung über openVPN =
Mache ich das ganze via L2TP - was mir jetzt deutlich lieber wäre, da ich dafür keine zusätzliche Software benötige, bin ich in folgender Situation:
VPN Verbindung klappt so lange ich die Option "Gesamten Verkehr über die VPN Verbindung senden" aktiv lasse.
Bedeutet. ALLE Verbindung gehen über VPN - was ich nicht möchte.
Deaktiviere ich die Option, komme ich zwar ins Internet > Ping an google geht am VPN vorbei.
Komme allerdings nicht an meine Geräte im LAN. Traceroute versucht auch hier am VPN vorbei zu gehen, was in dem Falle nicht richtig ist.
LÖSUNG 01.06.2018 um 12:43 Uhr
Vermutlich ein Route eintrag kann hier helfen.
https://blog.remibergsma.com/2012/03/04/howto-quickly-add-a-route-in-mac ...
https://blog.remibergsma.com/2012/03/04/howto-quickly-add-a-route-in-mac ...
LÖSUNG 01.06.2018 um 13:03 Uhr
das mit dem Routen Eintrag war garnicht mal so verkehrt 
habe folgendes über das Termin eingegeben:
route add -net <IP-VON-MEINEM-LANt> -netmask 255.255.255.0 -interface ppp0
Jetzt geht alles Richtung Internet am VPN vorbei.
Und alles richtig LOKALES LAN via VPN !
Soweit wäre es perfekt.
Nur wie würde ich das meinem iPhone bei bringen?
Da ist ja nicht mal eben ein Route-Eintrag möglich ...
habe folgendes über das Termin eingegeben:
route add -net <IP-VON-MEINEM-LANt> -netmask 255.255.255.0 -interface ppp0
Jetzt geht alles Richtung Internet am VPN vorbei.
Und alles richtig LOKALES LAN via VPN !
Soweit wäre es perfekt.
Nur wie würde ich das meinem iPhone bei bringen?
Da ist ja nicht mal eben ein Route-Eintrag möglich ...
LÖSUNG 01.06.2018 um 13:30 Uhr
LÖSUNG 01.06.2018, aktualisiert um 14:52 Uhr
LÖSUNG 01.06.2018 um 15:03 Uhr
LÖSUNG 01.06.2018 um 15:51 Uhr
LÖSUNG 01.06.2018, aktualisiert um 15:57 Uhr
Zitat von 131361:
grundsätzlich eine gute Idee.
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet bzw, es gibt keine Option, welche dies ermöglicht anders zu regeln.
Das legst du selbst fest was getunnelt werden soll und zwar mit der Phase 2 SA teilst du dem Client mit welche Subnetze getunnelt werden sollen grundsätzlich eine gute Idee.
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet bzw, es gibt keine Option, welche dies ermöglicht anders zu regeln.
Nur wenn in der SA 0.0.0.0/0 drin steht geht auch alles über den Tunnel.
LÖSUNG 01.06.2018, aktualisiert um 15:57 Uhr
LÖSUNG 01.06.2018, aktualisiert um 16:00 Uhr
LÖSUNG 01.06.2018 um 16:01 Uhr
LÖSUNG 01.06.2018, aktualisiert um 16:05 Uhr
Zitat von 131361:
wo genau mache ich das auf der Fritzbox?
Habe sowas in nicht der GUI gefunden
Musst dir die Config exportieren, dann daraus den VPN Abschnitt Rauslösen, die Accesslist anpassen und dann die VPN config wieder über die Importfunktion einlesen lassen.wo genau mache ich das auf der Fritzbox?
Habe sowas in nicht der GUI gefunden
Gibt's genügend Anleitungen dazu im Web!
LÖSUNG 01.06.2018, aktualisiert um 16:09 Uhr
Na exportieren, au möhr ... wieder Freitag ...
System->Sicherung
https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php
System->Sicherung
https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php
LÖSUNG 01.06.2018 um 16:10 Uhr
LÖSUNG 01.06.2018, aktualisiert um 16:12 Uhr
LÖSUNG 01.06.2018 um 16:24 Uhr
alles klar,
habe die config exportiert und den vpn part draus entnommen. wie muss ich denn die config Datei anpassen, so dass diese den verkehr nicht immer über vpn leitet?
anbei meine VPN Konfig:
habe die config exportiert und den vpn part draus entnommen. wie muss ich denn die config Datei anpassen, so dass diese den verkehr nicht immer über vpn leitet?
anbei meine VPN Konfig:
vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = no;
conn_type = conntype_user;
name = "xxx";
boxuser_id = 10;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = xxx.xxx.xxx.xxx;
keepalive_ip = 0.0.0.0;
remoteid {
key_id = "XXX";
}
mode = phase1_mode_aggressive;
phase1ss = "LT8h/all/all/all";
keytype = connkeytype_pre_shared;
key = "XXX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "XXX";
passwd = "XXX";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = xxx.xxx.xxx.xxx;
}
phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 255.255.255.255";
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
LÖSUNG 01.06.2018 um 16:27 Uhr
allerdings wird bei IPSec der gesamte Verkehr über VPN geleitet
Das ist wie immer Blödsinn !Weisst du vermutlich auch selber, denn genau das Gegenteil ist der Fall.
Du musst in der IPsec Konfig explizit ein Gateway redirect konfigurieren wenn du den gesamten Traffic in den Tunnel routen willst.
Normal wir nur das in den Tunnel geroutet was zum remoten lokalen Netz soll.
Siehe auch hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Stichwort: Split Tunneling !
LÖSUNG 01.06.2018 um 16:37 Uhr
@aqui,
wenn ich es perfekt wüsste, würde ich nicht eure Hilfe benötigen, oder?
Aber danke für diene charmante Art
Ich weiß nur, dass dies der aktuelle Zustand ist, wenn ich mit meinem mac eine Verbindung via IPSec zur Fritzbox aufbaue:
Ich kann www.google.de nicht anpingen (DNS Name kann nicht aufgelöst werden).
DIe IP Adresse von google allerdings schon
Und wird hier das "Split Tunneling" durchgeführt oder alles durch den VPN Tunnel gepustet?
wenn ich es perfekt wüsste, würde ich nicht eure Hilfe benötigen, oder?
Aber danke für diene charmante Art
Ich weiß nur, dass dies der aktuelle Zustand ist, wenn ich mit meinem mac eine Verbindung via IPSec zur Fritzbox aufbaue:
Ich kann www.google.de nicht anpingen (DNS Name kann nicht aufgelöst werden).
DIe IP Adresse von google allerdings schon
Und wird hier das "Split Tunneling" durchgeführt oder alles durch den VPN Tunnel gepustet?
LÖSUNG 01.06.2018, aktualisiert um 16:49 Uhr
LÖSUNG 01.06.2018, aktualisiert um 16:53 Uhr
Aber danke für diene charmante Art
Immer gerne wieder. In einem Admin Forum sollte man aber nicht so einen Unsinn verbreiten wenn man es nicht besser weiss. Auch nicht an einem Freitag. Sonst glauben andere Teilnehmer hier sowas wohlmöglich auch noch.
Man definiert das immer in den Phase 2 Settings von IPsec in der "Remote Network" Konfig.
Splitt Tunneling hat man wenn man dort nur das oder die remoten Netze definiert. Alles geht in den Tunnel wenn man dort eine Default Route 0.0.0.0/0 eingibt oder Gateway redirect klickt.
Hier mal das Beispiel bei der Einrichting von IPsec an einer pfSense Firewall:
Bei anderen Herstellern ist das identisch !
LÖSUNG 01.06.2018, aktualisiert um 17:00 Uhr
LÖSUNG 01.06.2018, aktualisiert um 16:59 Uhr
LÖSUNG 01.06.2018 um 17:02 Uhr
LÖSUNG 01.06.2018, aktualisiert um 17:05 Uhr
LÖSUNG 01.06.2018 um 17:05 Uhr
LÖSUNG 01.06.2018, aktualisiert um 17:08 Uhr
Zitat von 131361:
warum sollte ich den ersetzen müssen?
ist es nicht das selbe passwort / psk wie vorher ?
Nein in der Config werden die verschlüsselt exportiert, beim Import über diese Methode aber nicht wieder entschlüsselt.warum sollte ich den ersetzen müssen?
ist es nicht das selbe passwort / psk wie vorher ?
habe doch die config exportiert und am passwort / psk keine Änderung durchgeführt - somit muss es doch das alte geblieben sein oder denk ich da falsch ?
Japp falsch gedacht.Plaintext eintragen und freuen!!!!
Wieso müssen wir hier alles 20 mal wiederholen, das kannst du überall nachlesen
LÖSUNG 01.06.2018 um 17:09 Uhr
LÖSUNG 01.06.2018, aktualisiert um 17:17 Uhr
War ja klar ... Kindergarten.
Steht alles hier
https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php
Wenn man das zumindest mal lesen würde aber nee ... Wohl zu faul
So ich bin raus, das wird mir jetzt echt zu dämlich.
Steht alles hier
https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php
Wenn man das zumindest mal lesen würde aber nee ... Wohl zu faul
So ich bin raus, das wird mir jetzt echt zu dämlich.
LÖSUNG 01.06.2018 um 17:20 Uhr