Hallo,

meine VPN Verbindung zum Büro läuft gut. Ich bräuchte sie als Zugang zu dem dortigen Fileserver.
Leider läuft dann offenbar die gesamte Internetkommunikation (Safari, Mail etc.) über den VPN Tunnel.
Diese Dienste funktionieren nicht - vermutlich weil sie nicht durchgeroutet werden.
Ich will auch gar nicht, dass das über den VPN Tunnel über's Büro läuft.

Frage:
Kann man die Kommunikation irgendwie zweigleisig laufen lassen:
Server über VPN Tunnel mounten und Restkommunikation am VPN Tunnel vorbei?

Danke für Tipps
Fadenschein

Ja, in der Regel kann man dem Tunnel sagen, welche Ziele durch ihn angesprochen werden sollen und welche nicht (). Für mehr Details müsste man jetzt aber wissen, wie dein VPN technisch aufgesetzt ist.

Evtl reicht es auch, die Dienstereihenfolge in den Netzwerkeinstellungen am Mac zu ändern?

Es wäre nicht unüblich, wenn diese Eigenschaft, der sog. Split-Tunnel, vom VPN-„Server“ vorgegeben wäre.
Dann gibt es noch den Split-DNS, der einfach entscheidet, von welcher Seite die Namen aufgelöst werden.
Öffne mal das Terminal und versuche:
nslookup google.de
Sowie:
Ping 8.8.8.8
Beide Ergebnisse stellst du hier ein, dann wissen wir, wie der VPN tickt. Der erste Test liefert Erkenntnisse zum Split-DNS, der zweite zum Split-Tunnel.

Falls du den VPN direkt über macOS machst, kannst du mal schauen, ob in den weiteren Optionen das Häkchen bei „gesamte Netzwerkverkehr über VPN senden“ (oder so ähnlich) gesetzt ist.

Falls ja, dann Häkchen entfernen und testen, ob es dein Problem gelöst hat.

@alle Danke für Eure Einwürfe

@schleiftier
Es ist ein IKEv2 VPN Tunnel. Die VPN Gegenstelle ist ein Lancom 883.
Zum Verbinden verwende ich die Mojave Boardmittel in den Netzwerkeinstellungen.

@chb
Hat leider nix gebracht.

@caMpi
nlookup google.de wirft ohne VPN die lokale IP meiner hiesigen Fritzbox aus.
Mit VPN wird die IP des entfernten Lancom Routers angezeigt.

Der Ping Befehl bringt mit IP folgendes:
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=57 time=64.253 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=58.376 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=72.940 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=57 time=64.022 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=57 time=62.487 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=57 time=56.065 ms

@Embrace
Die Option gibt's bei IKEv2 leider nicht.

Und wird google.de selbst in beiden Fällen zu einer IP aufgelöst? Meist 217.x.x.x
Ja? Dann funktioniert Split-Tunnel, aber eben kein Split-DNS.
Baust du den VPN über Ethernet auf? Dann füge deiner Ethernetverbindung doch mal dauerhaft den DNS-Server aus deiner Firma, oder den Google-DNS 8.8.8.8 hinzu.

Was musst du denn per VPN erledigen?
Evtl. wäre der Einsatz einer Vituellen Machine für den VPN Zugriff eine Möglichkeit

Mac => normales Netz
VM => VPN + die benötigte Software

@caMpi
Google wird ohne VPN aufgelöst. Mit VPN zeigt er die lokale IP meines entfernten Routers.
Den Google DNS gesondert hinzuzufügen bringt leider nix.

@macfori
Der VPN dient als Fileserver und als Lizenzserver. Ich fürchte, das wird mir zu anstrengend mit einer VM.

Meine Ausführungen zu Split-Tunnel und -DNS von gestern sind nur zum Teil richtig.
Split-Tunnel funktioniert natürlich nur dann, wenn bei aktivem VPN auch die Kommunikation zu lokalen Teilnehmern möglich ist.
Zb wenn du deine Fritzbox pingen kannst.

Poste das Ergebnis von beiden nslookups mal hier.
Und gib bei aktivem VPN mal die IP in den Browser ein, die du ohne VPN vom nslookup google.de bekommst.

ohne VPN
nslookup google.de
Server: 192.168.178.1
Address: 192.168.178.1#53

Non-authoritative answer:
Name: google.de
Address: 172.217.22.195

mit VPN
nslookup google.de
Server: 192.168.0.99
Address: 192.168.0.99#53

** server can't find google.de: REFUSED

Vermutlich ist es sinnvoller den Lancom VPN Client einzusetzen

Hast du einfach mal mit dem Firmenadmin gesprochen? - Oft ist Split-Tunneling explizit untersagt, um sich nicht über diesen Weg irgendwelches Ungeziefer einzufangen oder Daten abfließen zu lassen?

@pcbastler
Ich bin der Firmenadmin. Ist ja nur ein ganz kleines Büro - genauer gesagt - mein ganz kleines Büro.
Der Begriff Split Tunneling ist mir bisher noch nicht untergekommen. Vielleicht ist das das Stichwort, mit dem ich in der Lancom Doku weiterkomme.

@pcbastler

Vom Verständnis hätte ich folgendes vermutet:
Mein Macbook (mit dem ich den VPN nutze) müsste entscheiden, welchen Verkehr er wohin routet.
Insofern müsste es eher eine Einstellung an meinem Macbook sein, die es mir erlaubt, bestimmten Datenverkehr am Tunnel vorbei direkt laufen zu lassen, als am entfernten Router.

Der Sinn und Zweck eines Tunnels ist ja gerade den gesamten Verkehr umzuleiten über diesen Tunnel. Korrekt konfiguriert, wird nur der Traffic für das Büro über die VPN-Verbindung geleitet. Man sieht das an den Routing Einstellungen im System. Im Terminal kann man mit "route get default" und "route get -net NetzAdresse" die Routes anschauen. Für "NetAdresse" muss die passende Adresse des Büronetzes eingegeben werden.

Du must dem Lancom beibringen das er eine Route auf dein MacBook pusht. So das nur noch die Pakete fürs Büro durch den Tunnel laufen. Da ich das ganze über Open VPN mache schaut das bei mir in der Config so aus:


Dadurch jagt er alle Pakete für das Zielnetz 192.168.1.... durch den Tunnel.
Ich hab zwar auch einen Lancom im Büro hasse aber die VPN Konfiguration von dem Ding.

Gruß Mike

Schau mal in der Doku für den Router. Split Tunneling kann am Router i.d.R. explizit abgeschaltet werden, dann kannst du am Client versuchen, was du willst.

Hi @fadenschein, ich habe eine VPN-Verbindung mit IKEv2. Diese wird aber nach exakt 8 Minuten getrennt. Hast du das Problem auch?

Ja, das hab' ich auch. Exakt 8 Minuten. Wenn ich eine Lösung finde, poste ich sie.

Mit den LANCOM Routern habt ihr Euch aber auch gleich die Königsklasse der Konfigurationen herausgesucht. Das 8 Minuten Problem kommt vom PFS
Eine Warnung vorweg. Wenn ihr Euch mit der Materie nicht auskennt, ruft bei LANCOM im Support an und lasst es konfigurieren, sonst baut ihr u.U. massive Sicherheitslöcher in das System!

Anleitung zum Routing mit Beispielen:

Danke für die Links und eine Frage: was bedeutet die Abkürzung PFS?

PFS (Perfect Forward Secrecy)

Wiki sagt dazu

Von wo kommen diese hohen Pingzeiten?

Wenn der Netzwerkverkehr über VPN geht, läuft ja erst mal alles via Internet (VPN) zum VPN-Host und erst von dort weiter. Und jedes Paket per VPN zusätzlich verschlüsselt und am Ziel wieder zur Weiterleitung entschlüsselt.

Aber 10-15 mal länger, wie ohne?

Danke, muss ich heute mal bei meinem testen.

Nebenbei: Ich weiß nicht, was an meinem Beitrag so daneben ist, dass ich -- bekomme.
Irgendwer scheint mich auf dem Kicker zu haben - ist mir schon mal aufgefallen.

Thema: Ich habe nirgendwo hin einen Ping der so kurz ist, dass z.B. 64.022 ms das 10-15 fache wäre.
Was hast du für Pings?

Bsp: hetzner.de 29.646 ms
google.de 21.115 m
heise.de 18.371 ms
amazon.com 112.216 ms

Alles ohne VPN, direkt via Unitymedia.

4-6ms sind nicht unüblich.
google weiss ich jetzt nicht auswendig. schaue noch nach.

Hi, ich bin nach dieser Anleitung vorgegangen und das VPN läuft nun schon seit 10 Minute

1. Apple Configurator 2 aus dem Appstore installieren
2. neues Profil erstellen - das sieht so aus, als ob man hier praktisch alles einstellen könnte was in den Systemeinstellungen geht ... Auch nicht schlecht, dann könnte man die Konfiguration in GIT verwalten
3. Dort das VPN konfigurieren - dabei ist wichtig, dass der Haken bei "Perfect Forward Secrecy aktivieren" gesetzt ist.
4. Das Profil speichern z.b. unter dem namen "VPN-Konfig.mobileconfig"
5. auf "VPN-Konfig.mobileconfig" doppelklicken, dann wird gefragt, ob man das Profiil installieren will. Dies mit "Ja" beantworten. Das Profil kannst du auch in den "Systemeinstelleungen" öffnen.
6. Pausenlos das VPN benutzen

Mit diesen Schritten hat es bei mir funktioniert. Ich weiß aber nicht, ob das die ideale Vorgehensweise ist oder ob ich was anderes überschrieben habe oder mir irgendwelche Sicherheitslücken eingehandelt habe.

Die mobileconfig - Datei ist eine XML-Datei in welcher das "shared secret" im Klartext drinsteht. Daher solltest du diese sicher verwahren oder ggf. löschen nach der Installation. Leider habe ich nicht herausgefunden, ob man aus den Systemeinstellungen auch das Profil exportieren kann.

Ich hoffe, das hilft.

Ping oder Latenz ist abhängig vom Medium, 2-15 ms erreicht man per Glasfaser!

Ich vermute eher, da treibt momentan ein mutmaßlich grenzdebiler oder infantiler Forenteilnehmer sein Unwesen, der alle Beiträge mit Downvotes "beehrt". Wenn er sonst keine Freude im Leben hat ... einfach gar nicht ignorieren

jap!