UvA-VPN maakt prive netwerk onbereikbaar

Welkom in de wondere wereld van Cisco VPN clients. Ik heb precies hetzelfde, dit is iets wat de beheerders kunnen configureren. Wij gebruiken deze client om bij een klant remote beheer te doen.

Zodra ik inlog kan ik niet meer bij mijn eigen netwerk. Door de klant word aangegeven dat ze dit zo hebben geconfigureerd vanwege de beveiliging.

Ik zou kontakt met de beheerders bij de UvA opnemen, maar ik geef je weinig kans

Volgens mij is dit juist de gedachte van een VPN: een beveiligde netwerkomgeving tussen je eigen machine en de (remote)server via internet. Zou je ook nog contact hebben met een andere machine (je eigen server) die op zijn beurt (onveilig?) met internet verbonden is, dan schop je de zin van een VPN een beetje onderuit....

[edit]
zo is mij dit uitgelegd op mijn werk, waar we vanuit thuis met VPN kunnen aanloggen, en mijn thuisnetwerk ook niet bereikbaar is...

[ Voor 19% gewijzigd door Spyro_the_Dragon op 02-03-2006 09:47 ]

Met standaard Windows VPN verbindingen kun je dit probleem fixen door 'use default gateway on remote network' uit te vinken in connection properties. Of een dergelijke optie ook bij de Cisco client bestaat weet ik echter niet. Kun je echt alleen met die Cisco client connecten en niet via een normale VPN verbinding met IPSEC?

[ Voor 3% gewijzigd door OruBLMsFrl op 02-03-2006 09:52 ]

Ik heb (nog) geen verstand van CiscoVPNs, maar bij een 'normale' VPN kun je het vinkje uitzetten bij 'Use default gateway on remote network'. Is zoiets in deze VPN-client ook te vinden?

Kan je niet omheen, dit dwing je af vanaf de VPN server

en ja, daar heb je de cisco VPN client voor nodig (de standaard vpn ondersteund geen groupauthenticatio vzviw)

Zoals ik al zei, dit is iets wat de beheerders van de Cisco VPN server regelen. En nee, de optie om "default gateway" uitzetten heb je helaas niet bij deze client.

Helaas pindakaas ben ik bang.

Bij een MS-VPN kun je de optie van de default gateway vinden in de TCP/IP eigenschappen. Wie weet kun je zoiets ook bij de Cisco-VPN-client instellen.

Ik heb ook Uva-VPN. Wat ik doe is de verbinding tot stand brengen vanaf de SERVER van mijn prive netwerk. Zo kan ik vanaf de clients gewoon gebruik blijven maken van mijn prive netwerk en het internetten verloopt via de VPN verbinding van de server met de UvA vpn server. Je server moet dan wel uitgerust zijn met twee netwerkkaarten (1 voor de vpn verbinding en 1 voor het interne netwerk).
Wat je ook kan doen is via ssh op sremote.science.uva.nl (in mijn geval) een machine van de uva overnemen en op die manier werken. Maar dat wordt misschien iets te ingewikkeld...

Succes ermee en vergeet je oplossing niet met ons te delen

Je zou een vmware achtige oplossing kunnen kiezen. Gewoon een virtuele installatie draaien met VPN, die virtuale PC kan dan niks meer, je eigen pc wel, maar je kunt natuurlijk wel opslaan op je eigen PC.

Hallo,

welke versie van de VPN client draai je ? Je kunt het volgende proberen: selecteer de Connection Entry van jouw VPN verbinding naar UvA, klik met de rechter muisknop en selecteer ´Modífy´. In het tabblad ´Transport´ heb je onderaan een optie ´Allow Local LAN Access´ staan, deze kun je aanvinken.

bepaalde websites routeren naar de VPN

volgens mij kan dat niet met 1 en dezelfde netwerkkaart, tenzij je een progje schrijft/vindt die de vpn client start en stopt aan de hand van opgevraagde ip's... beetje veel moeite voor wat papertjes.

Het idee van vpn is dat je een directe veilige "tunnel" hebt naar de server van de uva. Daar kennen ze 10.0.0.160 (jou netwerk) niet. Logisch dus dat je netwerk het niet meer doet en dit is niet met aanpassingen van je routertabel oid te verhelpen.

Mijn oplossing is om het verkeer over twee netwerkkaarten te leiden. 1 voor vpn, de andere voor je interne netwerk en "normaal" internet. En daarbij geef ik je het advies om VPN op je server te installeren, das wel zo makkelijk...

ik denk dat het zinnetje "and permitted on the central vpn server" eigenlijk alles zegt, dit gaat alleen werken indien de beheerders het toestaan.

Ik heb een hele hoop geprobeerd, maar de enige oplossing die een beetje werkt is een vmware machine inrichten en daarmee connecten naar de UvA.

De oplossing voor je probleem ligt aan de kant van de UvA, daar moeten ze op de vpngroup waar jij mee inlogt configureren met het volgende commando:

vpngroup groepnaam split-tunnel accesslist-verwijzing

Als dit commando geconfigureerd wordt op het VPN-endpoint samen met een correcte access-list die het verkeer tussen het UvA-netwerk en jouw thuisnetwerk specificeerd kan je je eigen netwerk benaderen en het netwerk van de UvA.

De reden dat dit niet toegepast wordt in de praktijk is het feit dat er meerdere gebruikers gebruik maken van dezelfde VPNgroup, de bijbehorende access-list voor het split-tunnel commando zal dus gigantisch worden. Het is of dit, of voor iedereen een eigen VPNgroup en access-list aanmaken, iets wat veel (administratief) werk met zich meebrengt. Tevens is een grote access-list niet goed voor de performance van het VPN-endpoint!

Edit: de oplossing die DoktorAnders geeft is eigenlijk de enige haalbare oplossing in deze situatie. Aangezien je zelf al een server hebt is het zeker te proberen

[ Voor 10% gewijzigd door Mikey! op 02-03-2006 15:27 ]

Mir schreef op donderdag 02 maart 2006 @ 15:59:
Is er dan eigenlijk niet iets mis met de set-up van deze applicatie?

Iedere client zal op een onbekende pc geinstalleerd worden met zijn eigen local network. Dan kan (en mag) je van een administrator niet verwachten, dat hij voor al die gebruikers een acces list maakt. Ik vind dan ook dat dit aan de kant van de gebruiker ook in te stellen moet zijn.

Is daar geen mogelijkheid voor?

Er is inderdaad helemaal niks mis met de configuratie van je VPN-Client

Je hebt inderdaad een goed punt, alleen valt het hele 'security' idee weg als elke gebruiker zijn eigen restricties mag instellen. Er zijn voor de UvA andere mogelijkheden om het administratie-gedeelte makkelijker te maken, maar het is en blijft gewoon veel werk om zoiets bij te werken.

Mir schreef op donderdag 02 maart 2006 @ 15:59:
Is er dan eigenlijk niet iets mis met de set-up van deze applicatie?

Iedere client zal op een onbekende pc geinstalleerd worden met zijn eigen local network. Dan kan (en mag) je van een administrator niet verwachten, dat hij voor al die gebruikers een acces list maakt. Ik vind dan ook dat dit aan de kant van de gebruiker ook in te stellen moet zijn.

Is daar geen mogelijkheid voor?

het is juist om te voorkomen dat tijdens de "beveiligde" verbinding er geen informatie van buitenaf het netwerk opgestuurd kan worden

Dat is het hele idee achter dit soort vpn toegang. Split tunnel vpn's (kan ook met cisco vrij eenvoudig) is dus een "lek".