Samtidig uppkoppling av lokal och global VPN-tunnel

Elektronik- och mekanikrelaterad mjukvara/litteratur. (T.ex schema-CAD, simulering, böcker, manualer mm. OS-problem hör inte hit!)
Användarvisningsbild
vfr
EF Sponsor
Inlägg: 3515
Blev medlem: 31 mars 2005, 17:55:45
Ort: Kungsbacka

Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av vfr »

Antag att:

Det finns två "kontor" på olika orter med en VPN-koppling över Internet emellan. T.ex 192.168.0.x på ena platsen och 192.168.1.x på andra platsen. Alltså två olika nätverk. VPN-kopplingen hanteras i båda ändar av routrar som även sköter uppkopplingen mot Internet. En lokal klient på det ena kontoret behöver en annan VPN-koppling enbart från sin dator. Inga problem så långt. Då är frågan: Kan denna lokala VPN-tunnel vara aktiv samtidigt som den globala tunneln? Om båda varit lokala VPN-tunnlar från samma dator så skulle svaret kanske bli ett nej. Men iom att den globala tunneln hanteras av routrar och inte den lokala datorn, så tycker jag svaret borde bli ja.

Den lokalt anslutna tunneln genererar ett virtuellt nätverkskort i den anslutande datorn och får då IP-adress från nätet på andra sidan. Alltså som en dator med två nätverkskort som är anslutna till olika nät. Den globala tunneln mellan kontoren genererar inget sådant eftersom den kopplingen ligger i routern.

Den lokala datorn kör WinXP.

Någon som har synpunkter på detta?
Maalobs
Inlägg: 1304
Blev medlem: 3 februari 2005, 14:35:15
Ort: Stockholm

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av Maalobs »

Vanligtvis har man "deny split-tunneling" i VPN-klienter på datorer.
Det är default i den inbyggda L2TP/IPsec-klienten i Windows, bl a.
Man har så för att skydda det förmodade kontorsnätet som man ansluter till med VPN-klienten, ifall den anslutande datorn är övertagen och fjärrstyrd av en tredje part, t ex.

Om split-tunneling är tillåtet, så fungerar lokal Internet-access på datorn samtidigt som den lokala VPN-förbindelsen är etablerad.
Användarvisningsbild
vfr
EF Sponsor
Inlägg: 3515
Blev medlem: 31 mars 2005, 17:55:45
Ort: Kungsbacka

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av vfr »

Lokal internetaccess fungerar alltid, oavsett VPN-tunnlar. Likaså lokal nätverksaccess på det egna kontoret. Det är bara VPN-kopplingarna som inte går att ha samtidigt. Som jag sa, så förstår jag principen att man kanske inte kan ha två olika lokala tunnlar igång samtidigt. Men i det här fallet så hanteras ju inte den globala tunneln av datorn utan av en router.

Routern vet ju egentligen inget om den lokala uppkopplingen. Det enda sätt jag kan se att routern skulle kunna blanda sig i saker, är om den känner av att en annan tunnel öppnas genom dess internetkoppling och då kopplar ner den globala tunneln. Men det tycker jag låter långsökt, och isåfall bara en inställningssak. Inte ett tekniskt problem. Eller?
Maalobs
Inlägg: 1304
Blev medlem: 3 februari 2005, 14:35:15
Ort: Stockholm

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av Maalobs »

Vad heter nätet som du vill ansluta till via brandväggens VPN?
Det är möjligt att det är konflikt med det nätet hos brandväggen som du ansluter till med VPN-klienten, alltså att det RFC1918-nätet även används där.

Medan du är ansluten med VPN-klienten, kör det här kommandot:

Kod: Markera allt

route print
Finns det nu en specifik route till ditt önskade nät som nu pekar in mot VPN-klientens förbindelse?

Det kanske inte ens dyker upp i datorns lokala route-tabell, kör tracert mot nätet också och se om det går in i VPN-klientens förbindelse.
sodjan
EF Sponsor
Inlägg: 43249
Blev medlem: 10 maj 2005, 16:29:20
Ort: Söderköping

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av sodjan »

> Antag att:...

Har du faktiskt *testat* något alls ?

Kopplingen mellan era två kontor sker alltså med VPN mellan *routrarna*.
Det betyder att din lokala klient inte ser det som en VPN anslutning alls
utan enbart som en helt vanlig routning mellan det egna och ett annat
sub-net. Att det sker över en VPN bör inte klienten ens vara medveten
om och det skapas som du säger ingen virtuell "VPN-nätverksadapter".
Det är teksamt om ens en traceroute "ser" att det går över ett VPN...

Sedan öppnar du alltså en annan VPN förbindelse, denna gång via en lokal
VPN-programvara i den lokala klienten. Så långt helt OK. Sedan beror det
på hur den klient som nu körs lokalt är konfigurerad, det är inte helt
ovanligt (snarare vanligt) att VPN klienten stänger av all access till det
normala lokala nätet.

Men som sagt, vad är det för problem du faktiskt ser ?
Användarvisningsbild
vfr
EF Sponsor
Inlägg: 3515
Blev medlem: 31 mars 2005, 17:55:45
Ort: Kungsbacka

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av vfr »

Jo, det är problem med den uppkopplingen!


Kopplingen mellan era två kontor sker alltså med VPN mellan *routrarna*.
Det betyder att din lokala klient inte ser det som en VPN anslutning alls
utan enbart som en helt vanlig routning mellan det egna och ett annat
sub-net.


Precis! Det är exakt så jag har resonerat också. Bra att få det bekräftat! Eftersom den lokala kienten inte vet något om den globala tunneln, så måste den ju se det på samma sätt som om två lokala nät suttit ihop med en direktkopplad router.


Sedan öppnar du alltså en annan VPN förbindelse, denna gång via en lokal
VPN-programvara i den lokala klienten. Så långt helt OK. Sedan beror det
på hur den klient som nu körs lokalt är konfigurerad, det är inte helt
ovanligt (snarare vanligt) att VPN klienten stänger av all access till det
normala lokala nätet.


Precis så det går till, ja. Det lokala nätet är hela tiden åtkomligt för klienten, oavsett tunnlar. Det är bara en konflikt mellan tunnlarna.


Men som sagt, vad är det för problem du faktiskt ser ?

Resultatet blir att alla resurser som ligger på den fasta (globala) tunnelns andra ändpunkt tappar sin koppling. Utdelade nätverksdelningar, mailserver, fjärrskrivbord mm.
sodjan
EF Sponsor
Inlägg: 43249
Blev medlem: 10 maj 2005, 16:29:20
Ort: Söderköping

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av sodjan »

OK.

Så om den aktuella klienten finns på t.ex 192.168.0.x nätet så kan den
fortfarande nå alla resurser på 192.168.0.x nätet även med VPN klienten
laddad, men inte dom på 192.168.1.x nätet (?). Och alltså också tvärtom.

Notera nu att din klient kan nå allt på sitt *eget* när utan att "routa" alls !

Så hela 192.168.0.x nätet går direkt "pear-to-pear". Så fort du ska ut från
192.168.0.x så måste trafiken "routas", och det sker via klientens "default
router". Så långt är allt som vanligt.

Nu blir det lite spekulativt, men det är min gissning kring vad som händer... :-)

Men nu så är det väldigt sannolikt att din "dafult router" sätts om av VPN
klienten att peka på någon router i den VPN'ade nätet, d.v.s en helt annan
router än din normala, och den vet så klart inte ett smack om något
192.18.1.x nät. Det är ju ganska logiskt eftersom hela iden med VPN är att
"göra om" din klient så att den ser ut som en klient på det nät som den nya
VPN linjen går mot, så att säga. Om du t.ex surfar ut på internet så går
det via routers på andra sidan av det VPN'ade nätet. Du är en klient i det
nätet.

> Det är bara en konflikt mellan tunnlarna.

Nej, igentligen inte. Det skulle vara exakt samma fenomen även utan
VPN linjen mellan era kontor. Den är inte intressant, det viktiga är att
din "default router" sätts om och att det andra kontoret "försvinner"
i och med att routern sätts om. Du kan kolla med "ipconfig /all" och kolla
efter "Standard-gateway. . . .".

Den kan gå att lösa med lite fipplande med router inställningarna, det borde
gå att få klienten att välja olika routers beroende på vilka adress-areor
det gäller, men det är inte säkert att det sker med automatik. Det verkar
som att den bara känner till en router och allt som är utanför det egna
nätet skickas dit.
Användarvisningsbild
vfr
EF Sponsor
Inlägg: 3515
Blev medlem: 31 mars 2005, 17:55:45
Ort: Kungsbacka

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av vfr »

Notera nu att din klient kan nå allt på sitt *eget* när utan att "routa" alls !

Så hela 192.168.0.x nätet går direkt "pear-to-pear". Så fort du ska ut från
192.168.0.x så måste trafiken "routas", och det sker via klientens "default
router". Så långt är allt som vanligt.


Ja, precis!

Men nu så är det väldigt sannolikt att din "dafult router" sätts om av VPN
klienten att peka på någon router i den VPN'ade nätet, d.v.s en helt annan
router än din normala, och den vet så klart inte ett smack om något
192.18.1.x nät. Det är ju ganska logiskt eftersom hela iden med VPN är att
"göra om" din klient så att den ser ut som en klient på det nät som den nya
VPN linjen går mot, så att säga. Om du t.ex surfar ut på internet så går
det via routers på andra sidan av det VPN'ade nätet. Du är en klient i det
nätet.


Jag tror du slagit huvudet på spiken. Inställningarna för "Default router" tänkte jag ju givetvis inte på, mitt dumma nöt. Det låter väldigt sannolikt att det har med det att göra. Det ska prövas och se lite vad det ger. Nu finns det också något att bolla med supporten om istället för att bara höra att det inte går att göra så.

> Det är bara en konflikt mellan tunnlarna.

Nej, igentligen inte. Det skulle vara exakt samma fenomen även utan
VPN linjen mellan era kontor. Den är inte intressant, det viktiga är att
din "default router" sätts om och att det andra kontoret "försvinner"
i och med att routern sätts om. Du kan kolla med "ipconfig /all" och kolla
efter "Standard-gateway. . . .".


Fel uttryckt av mig. Vad jag egentligen menade var att det enbart är en konflikt mellan dom routade näten. Som ju då råkar ligga på tunnlar i båda fallen. Inte med direktadresserade lokala näten.

Tack, Janne!
sodjan
EF Sponsor
Inlägg: 43249
Blev medlem: 10 maj 2005, 16:29:20
Ort: Söderköping

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av sodjan »

Det var så lite... :-)
Användarvisningsbild
vfr
EF Sponsor
Inlägg: 3515
Blev medlem: 31 mars 2005, 17:55:45
Ort: Kungsbacka

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av vfr »

Nu är det gjort lite enkla test, och det verkar funka. :D

Mycket riktigt så läggs det till en default route när lokala VPN tunneln kopplas upp. En extra route lades till med "route add" och båda näten verkar kunna nås samtidigt.

:tårta: till Janne!

Edit:

Hmm. Borde man inte kunna lägga in i routern på något sätt att alla dess klienter automatiskt skall få en sådan route? Annars måste ju detta läggas in manuellt på varje dator. Om det går, så tycker jag nästan att routern idag är feluppsatt som bara förlitar sig helt på default route.
sodjan
EF Sponsor
Inlägg: 43249
Blev medlem: 10 maj 2005, 16:29:20
Ort: Söderköping

Re: Samtidig uppkoppling av lokal och global VPN-tunnel

Inlägg av sodjan »

Hm, om det är DHCP klienter så kommer väl routerinställningarna
från DHCP servern, vilket kan vara samma "burk" som routern eller
en separat burk beroende på hur erat "nät" ser ut.

Och jo, det borde gå att registrera en specifik routing för 192.168.0.x
resp 192.168.1.x på respektive nät som laddas automatiskt vid boot
av klienterna.

> Mycket riktigt så läggs det till en default route när lokala VPN tunneln kopplas upp.

Nja, det finns alltid en "default router". Den ändras (inte läggs till) då VPN klienten startar.
Skriv svar