Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 4465 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG: Gleichzeitig Internet-Zugriff und VPN-Tunnel

Swisstaz
Hallo zusammen
Ich konnte eine IPSec-Connection auf unsere Astaro Firewal (V7) sehr einfach erstellen. Ein Benutzer darf über diese einen speziellen Service nutzen und das funktioniert auch einwandfrei. Während der IPSec-Connection kann er aber lokal nicht auf's Internet zugreifen. Kann mir jemand sagen, wie man den ASC umkonfigurieren muss, damit das möglich ist? Ich habe es mit einer Firewall-Regel versucht, aber das hat nicht geklappt. Ausserdem habe ich herausgefunden, dass bei bestehender Verbindung der Gateway der Internet-Verbindung verschwindet (ipconfig auf Windows/DOS-Prompt).
Für Hinweise bin ich dankbar.


This thread was automatically locked due to age.
Parents
  • 0
    Hi

    das geht nicht. Der ASC baut die IPSec Verbindung auf und legt das Default-Gateway auf die IPSec Verbindung. Damit geht der gesamte Netzwerktrafik über den Tunnel. Wenn du jetzt aber auf der Astaro dem Client über eine Filterregel und ein NAT erlaubst, ins Internet zu gelangen, dann kann er auch im Internet surfen - über den IPSec Tunnel und die Regeln der Astaro.

    Sein lokales Netz wird komplett ausgeblendet und kommt auch nicht wieder, solange die IPSec Verbindung steht.

    Das machen alle IPsec Clients so.

    Der Cisco IPSec Client kennt darüber hinaus noch die Option, das zumindest das eigene lokale Netz noch erreichbar ist, aber ob das zusammen mit der Astaro funktioniert kann ich dir nicht sagen.

    Gruß Stefan
  • 0 in reply to Stefan
    Den ASC kann man so einstellen das ein split tunneling möglich ist.

    Dazu darf das remote netzwerk nicht 0.0.0.0 sein. sondern nur das gewünschte ziel netzwerk. zusätzlich muss die funktion nur kommunikation im tunnel zulassen deaktiviert sein.

    zum thema splittunneling gibt es unter http://www.astaro.coom/kb auch entsprechende howtos.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Reply
  • 0 in reply to Stefan
    Den ASC kann man so einstellen das ein split tunneling möglich ist.

    Dazu darf das remote netzwerk nicht 0.0.0.0 sein. sondern nur das gewünschte ziel netzwerk. zusätzlich muss die funktion nur kommunikation im tunnel zulassen deaktiviert sein.

    zum thema splittunneling gibt es unter http://www.astaro.coom/kb auch entsprechende howtos.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Children
  • 0 in reply to maygyver
    Hallo Stefan und Sven

    Euer Input hat mir geholfen. Vielen Dank. [:D]

    Die Konfiguration hat allerdings nicht im ASC sondern auf der Firewall (Astaro V7) stattgefunden. Bei der IPSec Remote Access Rule muss man im lokalen Netzwerk nicht , sondern das spezifische Netzwerk einpflegen. Danach kann man auf dem User Portal des Gateway die INI und das Zertifikat herunterladen und in den ASC importieren. Er errichtet dann automatisch ein splitting tunnel. 

    Viele Grüsse
    Mario
Unfiltered HTML