7
Split Tunneling mit Ubiquiti Unifi - Routing von verschiedenen Netzen
Hallo zusammen,
gegeben ist an Standort A ein Netzwerk mit Unifi-Komponenten.
Darunter eine USG Pro und ein CloudKey Gen2.
Es sind mehrere Netzwerke mit VLAN eingerichtet.
Bspw.: 192.168.0/24, 192.168.10/24 und 192.168.25/24.
Eingerichtet ist darüber ein Unifi VPN mit entsprechender Port-Weiterleitung über einen Router.
Das funktioniert alles soweit.
An Standort B ist eine USG 3, ebenfalls mit VPN-Benutzern.
Dort besteht das Netz 192.168.100/24.
Wird von Standort A eine Verbindung zu Standort B aufgebaut, läuft alles über "Full Tunneling".
Für Split Tunneling wurde dazu in der Windows abgespeicherten VPN-Verbindung am Client "Standort B" über Powershell eine Route hinzugefügt:
.
Damit war dieses Problem schonmal behoben.
Das Problem:
Ist eine VPN-Verbindung an Standort A zu Standort B aktiv, kann man am Standort A nicht mehr auf die anderen Netze 10/24 und 25/24 zugreifen.
Ich überlege nun wie an Standort A, bei aktiver VPN-Verbindung nur den relevanten Traffic für Standort B durch den Tunnel leite und gleichzeitig auf alle Netze an Standort A zugreifen kann, weiß mir aber keinen Rat.
Habt ihr einen Lösungsansatz für mich?
gegeben ist an Standort A ein Netzwerk mit Unifi-Komponenten.
Darunter eine USG Pro und ein CloudKey Gen2.
Es sind mehrere Netzwerke mit VLAN eingerichtet.
Bspw.: 192.168.0/24, 192.168.10/24 und 192.168.25/24.
Eingerichtet ist darüber ein Unifi VPN mit entsprechender Port-Weiterleitung über einen Router.
Das funktioniert alles soweit.
An Standort B ist eine USG 3, ebenfalls mit VPN-Benutzern.
Dort besteht das Netz 192.168.100/24.
Wird von Standort A eine Verbindung zu Standort B aufgebaut, läuft alles über "Full Tunneling".
Für Split Tunneling wurde dazu in der Windows abgespeicherten VPN-Verbindung am Client "Standort B" über Powershell eine Route hinzugefügt:
Add-VpnConnectionRoute -ConnectionName "Standort B" -DestinationPrefix 192.168.100.0/24 Damit war dieses Problem schonmal behoben.
Das Problem:
Ist eine VPN-Verbindung an Standort A zu Standort B aktiv, kann man am Standort A nicht mehr auf die anderen Netze 10/24 und 25/24 zugreifen.
Ich überlege nun wie an Standort A, bei aktiver VPN-Verbindung nur den relevanten Traffic für Standort B durch den Tunnel leite und gleichzeitig auf alle Netze an Standort A zugreifen kann, weiß mir aber keinen Rat.
Habt ihr einen Lösungsansatz für mich?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7735227208
Url: https://administrator.de/contentid/7735227208
Printed on: April 27, 2024 at 07:04 o'clock
7 Comments
Latest comment
Wenn du noch die Güte hättest uns das verwendete VPN Protokoll mitzuteilen würde das allen helfen. Das hat entscheidenden Einfluss auf die Konfiguration.
Bspw.: 192.168.0/24, 192.168.10/24 und 192.168.25/24.
Das ist keine gültige Notation für IPv4 Netze! 
Zitat von @aqui:
Bspw.: 192.168.0/24, 192.168.10/24 und 192.168.25/24.
Das ist keine gültige Notation für IPv4 Netze! Das ist doch egal, oder?
Kommt drauf an wie man es sieht. Tanken? Benzin oder Diesel? "Das ist doch egal, oder?" ...ist ja beides flüssig.
Da man in Foren sich nicht direkt unterhalten kann macht es m.E. schon Sinn korrekte und genaue Angaben zu technischen Sachverhalten zu machen wenn das Ergebnis eine zielführende und helfende Antwort sein soll. Die o.a. Notation bietet ja Spielraum für allerlei Möglichkeiten.
Aber gut, bezogen auf das verwendete VPN Protokoll könnte es egal sein, könnte aber auch nicht. Diesel und Benzin ist ja auch beides flüssig, man müsste es nur riechen können...
Da man in Foren sich nicht direkt unterhalten kann macht es m.E. schon Sinn korrekte und genaue Angaben zu technischen Sachverhalten zu machen wenn das Ergebnis eine zielführende und helfende Antwort sein soll. Die o.a. Notation bietet ja Spielraum für allerlei Möglichkeiten.
Aber gut, bezogen auf das verwendete VPN Protokoll könnte es egal sein, könnte aber auch nicht. Diesel und Benzin ist ja auch beides flüssig, man müsste es nur riechen können...
Zitat von @aqui:
Kommt drauf an wie man es sieht. Tanken? Benzin oder Diesel? "Das ist doch egal, oder?" ...ist ja beides flüssig.
Da man in Foren sich nicht direkt unterhalten kann macht es m.E. schon Sinn korrekte und genaue Angaben zu technischen Sachverhalten zu machen wenn das Ergebnis eine zielführende und helfende Antwort sein soll. Die o.a. Notation bietet ja Spielraum für allerlei Möglichkeiten.
Aber gut, bezogen auf das verwendete VPN Protokoll könnte es egal sein, könnte aber auch nicht. Diesel und Benzin ist ja auch beides flüssig, man müsste es nur riechen können...
Kommt drauf an wie man es sieht. Tanken? Benzin oder Diesel? "Das ist doch egal, oder?" ...ist ja beides flüssig.
Da man in Foren sich nicht direkt unterhalten kann macht es m.E. schon Sinn korrekte und genaue Angaben zu technischen Sachverhalten zu machen wenn das Ergebnis eine zielführende und helfende Antwort sein soll. Die o.a. Notation bietet ja Spielraum für allerlei Möglichkeiten.
Aber gut, bezogen auf das verwendete VPN Protokoll könnte es egal sein, könnte aber auch nicht. Diesel und Benzin ist ja auch beides flüssig, man müsste es nur riechen können...
FU**!! Sorry, vergiss meine dumme Anmerkung.
Ich habe einfach übersehen dass das echt falsch ist, und etwas fehlt...
Das eingesetzte VPN-Protokoll ist L2PT/IPSec.
edit: Da es keine Syntax war, sondern Fließtext, habe ich auf die CIDR-Notation verzichtet.
Dennoch Danke für Hinweis.
edit: Da es keine Syntax war, sondern Fließtext, habe ich auf die CIDR-Notation verzichtet.
Dennoch Danke für Hinweis.
habe ich auf die CIDR-Notation verzichtet.
Die gesamte Notation ist nicht ganz korrekt. Bei Angabe von Netzen ist der Hostpart der Adressbits bekanntlich auf 0 gesetzt. Sowas wie 192.168.0/24 bietet jetzt eine Fülle von Interpretationsmöglichkeiten. Aber egal...primär ist das erstmal nicht kriegsentscheidend.Wichtiger ist die Frage ob die Site-to-Site Verbindung (unüblicherweise) auch mit L2TP realisiert ist oder wie in der Regel üblich mit native IPsec (ESP Tunnel)?
So eine Site-to-Site Standort VPN Verbindung ist im Gegensatz zu den VPN Clients üblicherweise ja immer online.
Generell bestimmst du mit der gegenseitigen Phase 2 im IPsec welcher relevanter Traffic in den Tunnel geschickt wird. Das muss beidseitig an beiden Tunnelenden wie z.B. A und B bei dir identisch sein so das der Tunnel zustandekommt.
Ist A auch gleichzeitig das Gerät was den Client VPN Zugang per bedient gibt es mehrere Optionen den Zugang auf bestimmte Netze zu beschränken:
- Wenn der VPN Client Gateway Redirect macht, also alles in den Tunnel schickt, dann helfen nur Firewall Regeln
- Bei Split Tunneling muss der Dialin Server A dem Client mitgeben welche IP Netze in den Tunnel sollen/dürfen oder der Client bekommt das mit der o.a. Konfig statisch mit. Letzteres ist nicht so günstig weil man immer an den VPN Clients fummeln muss, was aus Management Sicht immer schlecht da umständlich und fehlerträchtig ist.
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!