Toon posts:

L2TP/IPsec routing linux

Pagina: 1
Acties:

dinsdag 20 augustus 2013 13:54

Acties:

Verwijderd

Topicstarter
Is er een manier om een Windows vpn client te laten weten welke gateway gebruikt dient te worden voor een bepaald subnet binnen een L2TP vpn? De vpn server machine draait Debian met xl2tpd ('IP over PPP') en openswan (IPsec).


De volgende route wordt door de client toegevoegd na het aanmelden op de VPN:
Dest Netmask Gateway Interface
192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.201



Er zwerven op de VPN echter ook andere subnets rond die via dezelfde gateway en interface benaderbaar dienen te zijn. De onderstaande regels worden echter NIET automatisch toegevoegd:
Dest Netmask Gateway Interface
192.168.2.0 255.255.255.0 192.168.1.10 192.168.1.201
192.168.3.0 255.255.255.0 192.168.1.10 192.168.1.201
etc.. 255.255.255.0 192.168.1.10 192.168.1.201



Toevoegen is in Windows mogelijk via 'route add...', maar het is natuurlijk niet handig om dit bij elke client handmatig te moeten invoeren. Nu zoek ik dan ook een methode waarbij de VPN deze routes pusht of op een andere manier kenbaar maakt.


//edit
Gegevens in tabellen geplaatst

[ Voor 22% gewijzigd door Verwijderd op 20-08-2013 16:05 ]

dinsdag 20 augustus 2013 14:01

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:44

Rolfie

Misschien gemakkelijk om te vertellen welk type clients je precies hebt? Je noemt alleen Linux, maar heb je nog meer?
Eventueel OpenVPN geen oplossing?

Vanuit Windows bestaat er een Connection Manager Administration Kit. Maar voor wat jij wilt, moet je wel vaak admin rechten hebben om de route toe te voegen. laatst getest onder Windows 8, maar ik verwacht ook op de andere windows versies van toepassing is.
Eventueel een default route toevoegen in de VPN configuratie op de client, zodat alles je VPN tunnel in gaat. Vanuit security altijd een goede oplossing zodat je geen split tunnels meer hebt.

dinsdag 20 augustus 2013 16:15

Acties:

Verwijderd

Topicstarter
De vpn server draait Debian (Wheezy), de clients draaien allen Windows (7 en 8). Er wordt gebruik gemaakt van de 'standaard vpn connectie' van Windows. De lokale default gateway wordt gebruikt; de vpn verbinding wordt bewust niet als default gateway gebruikt.

Mogelijk worden er in de toekomst ook Linux clients toegevoegd. Op dit moment valt dit echter nog buiten de scope.

Een split tunnel is, ondanks de verminderde veiligheid, gewenst in verband met een traag netwerk.

OpenVPN is zeker een optie. De voorkeur gaat echter uit naar L2TP, aangezien ik hier meer ervaring mee heb i.t.t. OpenVPN.

woensdag 21 augustus 2013 08:29

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 22:49

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > NT

Tijd voor een nieuwe sig..

woensdag 21 augustus 2013 11:18

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:44

Rolfie

Dan ben ik bang dat er niet echt een oplossing voor is.
Met OpenVPN kan je centraal je routering regelen, dat heeft dus voordelen. Maar mijn ervaring is dat zowel OpenVPN als L2TP (of PPTP) niet zomaar zonder admin rechten de routering kan aanpassen.

Persoonlijk zou ik hiervoor geen oplossing weten, tenzij je gebruikers local Admin zijn, en UAC rechten lager gezet hebben.

Onder Linux kan het wel gemakkelijk met OpenVPN.

woensdag 21 augustus 2013 14:08

Acties:

Verwijderd

Je kan een .bat bestand maken voor Windows, waarin de "route add" commando erin zit. En deze in de startup folder doen.

Maar daar kleven ook veel nadelen aan....

woensdag 21 augustus 2013 18:09

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op woensdag 21 augustus 2013 @ 14:08:
Je kan een .bat bestand maken voor Windows, waarin de "route add" commando erin zit. En deze in de startup folder doen.

Maar daar kleven ook veel nadelen aan....
Precies.
Ik zou ook geen algemene systemwide setting adviseren zoals jij hier doet (startup folder - yech..totaal niet flexibel) , maar de route add commando's alleen uitvoeren zodra de verbinding actief is - bijvoorbeeld door een Event-triggered Scheduled Task ervan te maken.

Dan vernaggel je niet by default een netwerkconfig.

[ Voor 3% gewijzigd door alt-92 op 21-08-2013 18:10 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 23 augustus 2013 15:28

Acties:

Verwijderd

Topicstarter
Iedereen bedankt voor te tips. Het is duidelijk dat ik iets wil dat niet zomaar kan en dus ook 'lelijke' constructies geeft. Daarom heb ik dan ook voor een iets andere oplossing gekozen:

Aangezien het probleem zich alleen voordoet bij de vpn en niet bij het fysieke netwerk (d.w.z. het is mogelijk om data te versturen tussen de verschillende netwerken, behalve over de vpn) heb ik ervoor gekozen om meerdere vpn servers te gebruiken (één per netwerk).

Het is niet mooi dat het nu nodig is om per netwerk in te loggen op een aparte vnp en dat de credentials gesynct dienen te worden tussen de vpn servers, maar het werkt in ieder geval zonder problemen of client-side scripts.

Mocht er iemand een betere oplossing weten, dan is dit nog steeds zeer welkom.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq