IPSec VPN geroutete LANs

484
BoomBoomPowe

Ich habe vor kurzem von einem OpenVPN auf Home-Lauf zu einem IPSec-VPN von Cisco (XAuth) für mehr Kompatibilität gewechselt. Ich habe jedoch keine Dokumentation zum "Pushen" von Routen vom IPSec-Server zu Clients gefunden. In OpenVPN ist es ziemlich einfach: Fügen Sie einfach push "route 10.10.10.0 255.255.255.0"die Konfiguration hinzu, um die Clients 10.10.10.0/24über den Server an das Subnetz weiterzuleiten. Die IPsec VPN-Konfigurationen von Cisco unterscheiden sich jedoch erheblich, und ich kann nicht herausfinden, wie das geht. Um dies zu klären, sehen Sie hier, was ein Client auf dem VPN jetzt sehen kann:

+--------------+ +--------+ +--------------+ | Client #1 |--------------| Server |----------------| Client #2 | | 198.51.100.2 | +--------+ | 198.51.100.3 | +--------------+ +--------------+

Aber ich möchte, dass es eher so aussieht:

 +---------------+ +-------------+ | Device on | | Device on | +----| LAN #2 | | LAN #1 | | | 192.168.0.100 | | 192.168.0.3 |-------------+ +---------------+ +-------------+ |  +--------------+ +--------+ +--------------+ | Client #1 |--------------| Server |----------------| Client #2 | | 198.51.100.2 | +--------+ | 198.51.100.3 | +--------------+ +--------------+

Wenn z. B. auf Device on LAN # 2 ein Webserver ausgeführt wurde, kann ein an das VPN angeschlossener Client http://192.168.0.100/einen Webbrowser eingeben und eine Verbindung herstellen. Wenn auf Client Nr. 1 auch ein Webserver ausgeführt wird, kann auch ein Gerät im LAN eine Verbindung zu ihm herstellen http://198.51.100.2/. Clients des VPN können sich gegenseitig und Geräte im LAN anpingen. Vielen Dank!

HINWEIS: Ich verwende KEIN L2TP / IPSec, ich verwende Cisco IPSec / Xauth: VPN-Einstellungen Mac OS X [! [] [1]

BEARBEITEN: Ich habe das manuelle Hinzufügen einer Route auf dem Client getestet, und es funktioniert. Es ist also nur eine Frage des Servers, dass der Client eine solche Route hinzufügen soll.

EG Führen Sie diesen Befehl unter Mac OS X aus, um das Subnetz 192.168.0.0/24 über das Gateway 198.51.100.1 zu routen:

sudo route -n add -net 192.168.0.0/24 198.51.100.1

und dieser Befehl:

sudo route add -net 192.168.0.0/24 gw 198.51.100.1

unter Linux.

0
Was ist die "Client" -Software? Stellen Sie nur eine IPSec-Verbindung her oder verwenden Sie so etwas wie Cisco Anyconnect? Ich gehe davon aus, dass Sie den OpenVPN-Client zuvor verwendet haben. Ich bin mir ziemlich sicher, dass es ohne Routing-Protokolle keine Möglichkeit gibt, Routen über eine L2TP / IPSec-Verbindung zu pushen. Dies ist eine Fähigkeit, die nicht vorhanden ist, aber von einem bestimmten Client oder einem Routingprotokoll implementiert werden kann, wenn sie hinzugefügt werden. Appleoddity vor 7 Jahren 0
Oh, ich verwende kein L2TP, ich verwende "Cisco IPSec", wie im editierten Beitrag gezeigt. Der Client, den ich verwende, ist die integrierte VPN-Verbindung aus den Netzwerkeinstellungen in Mac OS X. Ich habe von OpenVPN zu Cisco IPSec gewechselt, um die Notwendigkeit zusätzlicher Software zu vermeiden. BoomBoomPowe vor 7 Jahren 0
Ich kann es zu schätzen wissen, dass ich keine Drittanbieter-Software verwenden möchte. Ich bin ziemlich sicher, dass das IPSec-Protokoll keine Push-Routen vorsieht. Dies ist wie bei OpenVPN auf proprietäre Weise zwischen Server und Client implementiert. Neben der Verwendung von statischen Routen auf jedem System können Sie möglicherweise DHCP verwenden: https://ercpe.de/blog/advanced-dhcp-options-pushing-static-routesto/clients Appleoddity vor 7 Jahren 0
Sehen Sie sich hier die Antwort zur Matchklausel an: https://networkengineering.stackexchange.com/questions/16428/cisco-vpn-clients-routing-over-ipsec-vpn-acl Appleoddity vor 7 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme