Verbindung teilen (vpn + Inet)

Duff · Beitrag von **Duff** » 01.10.2007 13:21:08

Hallo,

ich benutze zu Hause auf meinem priv. Laptop einen vpn-client (cisco). Ein Verbinden funktioniert auch wunderbar. Nur kann ich danach nicht mehr meine "normale" Verbindung benutzen, um z.B. im Internet zu surfen.

Was muss ich machen, wenn ich den vpn-client starte, einmal diese Verbindung nutzen kann aber auch noch meine "normale" Verbindung nutzen kann.

Hoffe, dass das ganze halbwegs verständlich ist

Danke.

gms · Beitrag von **gms** » 01.10.2007 14:27:02

die Linuxversion des Cisco VPN Clients kenne ich nicht, unter Linux verwende ich den vpnc. Unter Windows gibt es jedoch eine Option "use default gateway" ( oder so ähnlich ). Wenn diese aktiviert ist, wird der gesammte Traffic über das VPN geleitet.
Aus Sicherheitsgründen sollte diese Option auch aktiviert bleiben, weil dein Rechner sonst als Gateway zwischen Internet und VPN fungieren kann. "Besser" wäre es daher über das VPN zu surfen.

Gruß
gms

mcdikki · Beitrag von **mcdikki** » 01.10.2007 14:27:59

Das hängt sehr von dem VPN Client ab.

Meistens setzt der eine Route. Wenn er zb die Standard route ändert geht alles über den VPN Server.

Dann müsstest du selbst die Routen anpassen ud zb nur das ziel subnetz über die VPN Verbimdung routen. WIe das bei cisco ist weis ich allerdings nicht. Bei OpenVPN läuft es über routen.

lg mcdikki

MSfree · Beitrag von **MSfree** » 01.10.2007 14:50:59

mcdikki hat geschrieben:Dann müsstest du selbst die Routen anpassen ud zb nur das ziel subnetz über die VPN Verbimdung routen.

Dem Cisco-Client kann man serverseitig diese Routingfunktionen verbieten. Das Cisco-Kernelmodul greift da ziemlich hart ein und unterbindet alle anderen Kommunikationswege. Aus Unternehmenssicht macht sowas auch durchaus Sinn, schließlich will man verhindern, daß das Notebook eines Mitarbeiters ungewollt zum Hintertürchen ins Firmennetz wird.

Wenn dein Cisco-Gegenüber also Routing verbietet, hast du keine Chance, clientseitig irgendwas zu manipulieren.

Bei OpenVPN läuft es über routen.

OpenVPN kann man entweder routen oder bridgen, je nach Konfiguration. Ich finde Bridging sogar einiges bequemer.

Duff · Beitrag von **Duff** » 01.10.2007 14:52:57

Benutze folgenden Client, siehe dazu bitte den link hier.

Ok, was mich z.B. stört ist, dass ich dann bei aufgebauter vpn-Verbindung nicht mehr meine privaten Mails über icedove empfangen oder mir package über apt installieren kann.

Duff · Beitrag von **Duff** » 02.10.2007 08:25:10

mcdikki hat geschrieben:Das hängt sehr von dem VPN Client ab.

Meistens setzt der eine Route. Wenn er zb die Standard route ändert geht alles über den VPN Server.

Dann müsstest du selbst die Routen anpassen ud zb nur das ziel subnetz über die VPN Verbimdung routen. WIe das bei cisco ist weis ich allerdings nicht. Bei OpenVPN läuft es über routen.

lg mcdikki

Wie genau meinst du das mit dem Ändern der Routen?
Denke mal, dass es nicht reichen wird, meine route zur Fritzbox (192.168.1.1) hinzu zufügen.

gms · Beitrag von **gms** » 02.10.2007 08:56:40

welche Optionen kannst du bei dem Client angeben ?

poste einmal die Ausgabe von "route -n"

Gruß
gms

Duff · Beitrag von **Duff** » 02.10.2007 20:04:55

So, bei dem Client gibt es folgende Optionen:

Code: Alles auswählen

daniel-laptop:~/scripts# vpnclient --help
Cisco Systems VPN Client Version 4.8.00 (0490)
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.18-4-686 #1 SMP Wed May 9 23:03:12 UTC 2007 i686
Config file directory: /etc/opt/cisco-vpnclient

You have entered an unrecognized command.
Usage:
 vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]
                             [nocertpwd]
 vpnclient disconnect
 vpnclient stat [reset] [traffic] [tunnel] [route] [repeat]
 vpnclient notify
 vpnclient verify [autoinitconfig]
 vpnclient autoinit

Zuvor starte ich dann noch den ciscovpn-client mit

Code: Alles auswählen

/etc/init.d/vpnclient_init start

mistersixt · Beitrag von **mistersixt** » 03.10.2007 08:07:37

Ich hatte auch mal vor ca. 2-3 Jahren diesen Cisco-VPN Client für Linux im Einsatz, und wie MSfree schon sagte, das Kernel-Modul klingt sich ziemlich hart ins System ein, Routen anschliessend umbiegen ging nicht, und man konnte tatsächlich nur noch durch den Tunnel Pakete senden.

Gruss, mistersixt.

Duff · Beitrag von **Duff** » 03.10.2007 09:48:11

mistersixt hat geschrieben:Ich hatte auch mal vor ca. 2-3 Jahren diesen Cisco-VPN Client für Linux im Einsatz, und wie MSfree schon sagte, das Kernel-Modul klingt sich ziemlich hart ins System ein, Routen anschliessend umbiegen ging nicht, und man konnte tatsächlich nur noch durch den Tunnel Pakete senden.

Gruss, mistersixt.

Schade, ich hätte so gerne noch meine eigenen Emails und so abrufen können.

Naja, schade.
Kann man wohl nichts machen....

gms · Beitrag von **gms** » 03.10.2007 10:16:27

Duff hat geschrieben: Schade, ich hätte so gerne noch meine eigenen Emails und so abrufen können.

wenn es dir so ein großes Bedürfnis ist, dann würde ich auch nicht so schnell aufgeben
hier wird z.B eine Lösung mit einer zweiten NIC vorgeschlagen:
http://forums.speedguide.net/archive/in ... 11393.html

Ich würde aber auch der Sache nachgehen, ob das nicht einfach ein Konfigurationsproblem ist. Es ist zwar richtig, daß der Server diese Policy vorgeben kann, in diesem Fall wird aber sicherlich meistens auch http und ftp über das VPN erlaubt. Wenn bei dir ein "apt-get" ( probiers einmal mit http falls du derzeit ftp verwendest) nicht mehr funktioniert, ist das sicherlich eine unübliche Konfiguration.

Gruß
gms

Duff · Beitrag von **Duff** » 03.10.2007 10:53:44

Danke für die Antwort.

Die Lösung mit der zweiten NIC kann ich bei mir vergessen, da ich einen Laptop benutze.

Wenn ich den vpn-Tunnel hergestellt habe, kann ich auf jeden Fall dann einen browser aufrufen und im Internet über das Firmennetz surfen.
Ob ein apt-get funktioniert, muss ich mal ausprobieren.

Meine Konfig sieht auf jeden Fall schon ein http vor:

Code: Alles auswählen

daniel@daniel-laptop:~$ cat /etc/apt/sources.list
#deb cdrom:[Debian GNU/Linux testing _Etch_ - Official Snapshot i386 Binary-1 (20060810)]/ etch main
deb http://ftp.de.debian.org/debian/ etch main contrib non-free
deb-src http://ftp.de.debian.org/debian/ etch main contrib non-free

deb http://security.debian.org/ etch/updates main contrib non-free
deb-src http://security.debian.org/ etch/updates main contrib non-free

deb http://www.debian-multimedia.org etch main

Duff · Beitrag von **Duff** » 03.10.2007 11:15:45

Mmh..

ein apt-get update funktioniert doch nicht bei aufgebauten vpn-tunnel.

Code: Alles auswählen

daniel-laptop:~# apt-get update
Fehl http://security.debian.org etch/updates Release.gpg
  Konnte »security.debian.org« nicht auflösen
Fehl http://www.debian-multimedia.org etch Release.gpg
  Konnte »www.debian-multimedia.org« nicht auflösen
Fehl http://ftp.de.debian.org etch Release.gpg
  Konnte »ftp.de.debian.org« nicht auflösen
Ign http://security.debian.org etch/updates Release
Ign http://www.debian-multimedia.org etch Release
...
...

Ein route -n zeigt folgendes an

Code: Alles auswählen

daniel-laptop:~# route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
193.7.54.60     192.168.1.1     255.255.255.255 UGH   0      0        0 eth2
161.80.151.0    0.0.0.0         255.255.255.0   U     0      0        0 cipsec0
0.0.0.0         161.80.151.215  0.0.0.0         UG    0      0        0 cipsec0