Fritzbox 7270 + VPN + MacOS X Lion

[greifenwald]

Hallo Zusammen,
nachdem ich jetzt einige Zeit getestet und ausprobiert habe, sowie sämtliche Threads hier im Forum und sehr viele Threads zu diesem Thema in anderen Foren gelesen habe, jedoch keine Lösung gefunden habe, stelle ich mal hier die Frage:

Ausgangssituation:

Ich habe die Fritzbox 7270 mit eingerichtetem VPN, 1 x für iPhone und 1 x für meinen Mac mit Lion (10.7). Beides funktioniert problemlos und in beiden Fällen nutze ich die Bordmittel, also den IPSEC-Client von iOS 5 und den VPN-Client von LION mit IPSEC. Bei beiden Konfigurationen surft der Client (also sowohl iPhone als auch Mac) komplett über die Fritzbox, also sämtlicher Traffic geht durch den VPN-Tunnel (also Internet inkl. der Anfragen, die direkt in mein Netz zu Hause gehen). Meine Fritzbox hat die IP 192.168.1.254.

Wunsch / Frage:

Ich hätte gern die Konfiguration für meinen Mac so geändert, dass NUR der Traffic für das Heimatnetz in das Tunnel geht und der Rest (also Internet generell) normal weiter läuft. Hintergrund ist, ich sitze in der Arbeit und benötige Zugriff auf mein Netz zu Hause, möchte jedoch den Tunnel dauerhaft laufen lassen und den normalen Internettraffic NICHT durch den Tunnel schicken, sondern "normal" über das Firmen-LAN ins Internet.

Ich verstehe zudem nicht, wie es Routing-mäßig funktioniert. Bei einem L2TP-VPN kann ich im Lion einstellen, ob der ganze Traffic durch den VPN geht oder nicht. Beim Cisco-IPSec steht in der LION-Hilfe, dass der IPSec-Server die Routing-Info gibt. Stimmt das und macht das dann auch die Fritzbox?

Hier ist meine Fritzbox-Config:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "iPhone";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.1.55;
remoteid {
key_id = "iPhone";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "MeinKey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "iPhone";
passwd = "MeinPassw";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.1.55;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.1.55 255.255.255.255";
}
{
enabled = yes;
conn_type = conntype_user;
name = "iMac";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.1.66;
remoteid {
key_id = "iMac";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "MeinKey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "iMac";
passwd = "MeinPassw";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.1.66;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.1.66 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Es wäre super nett, wenn mir jemand helfen könnte und mir einen Tipp geben würde!

Herzlichen Dank schon mal und Guten Abend!

greifenwald

 

[Telefonmännchen]

Ich hätte gern die Konfiguration für meinen Mac so geändert, dass NUR der Traffic für das Heimatnetz in das Tunnel geht und der Rest (also Internet generell) normal weiter läuft.

Genau das ist eigentlich der Standard, der durch die AVM-Software eingerichtet wird. Wenn du eine von dieser Software erstellten Konfiguration in die FritzBox einspielst und die Daten entsprechend in Deinem Clienten konfigurierst, verhält sich das VPN genau wie gewünscht. Manuelle Eingriffe sind eigentlich nur erforderlich, wenn aller Traffic über die VPN-Strecke laufen soll.

Gruß Telefonmännchen

 

[greifenwald]

Hallo Telefonmännchen,

danke für Deine Antwort. Leider trifft dies nur auf Windows zu. Beim Mac ist dem nicht so. Mit der Standard-Konfiguration kann man (zumindest unter LION) NUR auf das private Netzwerk daheim zugreifen. Surfen geht dann gar nicht, dh man kommt weder über die Fritzbox (und damit über den VPN) ins Internet, noch geht dann der Weg direkt ins Internet. Daher kommt ja auch meine Vermutung, dass die Fritzbox dem Client nicht meldet, wie geroutet werden muss. Denn das Primäre Default Gateway auf dem Mac ist dann der VPN-Tunnel. Hier fehlt meiner Einschätzung nach die richtige Setzung des Default-GWs. Das könnte man natürlich jedesmal "von Hand" machen. Kann aber ja nicht Sinn der Sache sein.

Greifenwald

 

[Telefonmännchen]

Daher kommt ja auch meine Vermutung, dass die Fritzbox dem Client nicht meldet, wie geroutet werden muss.

Da der Server auf der FritzBox bei beiden OS identisch ist, bzw. es der FritzBox egal ist, was für ein OS sich als Client anmeldet, kann es eigenlich nur an der Einrichtung Deines Zugangsclienten liegen. Hie kann ich Dir eigentlich nur noch das VPN-Serviceportal von AVM ans Herz legen und speziell den Teil, der sich mit dem manuellen Eingriff in die Konfigurationsdatei beschäftigt. Meine Erfahrungen mit OS X tendieren gegen 0.

Gruß Telefonmännchen