Mac OS und das leidige VPN Routing

Seit heute haben wir in der Firma eine DFL-800 von D-Link zu stehen, welche unter anderem auch von mir mit einem VPN Zugang via L2TP IPSec gesegnet wurde.

Zu Hause angekommen wollte ich das Ganze auch unterm Leopard austesten. Nach dem Einrichten der Verbindung klappte auch der Aufbau wunderbar. Lediglich das Routing vom L2TP IP Pool in das Firmen-IP Segment klappte nicht. Es gibt zwar die Möglichkeit den kompletten Traffic ?ber den Tunnel zu schicken, aber das macht herzlich wenig Sinn, wenn auch Web-Zugriffe oder die Email Abholung dar?ber läuft. F?r mich war es wichtig herauszufinden, wie ich speziell nur den betreffenden Traffic ins Firmen-IP Segment durchroute.

Nach Aufbau einer VPN Verbindung kann man mit Hilfe der Konsole ganz einfach eine Route setzen, sodass der Leopard weiß, ?ber welche Verbindung das Firmen-IP Segment erreicht werden kann. Dies hat aber den Nachteil, dass nach Trennen der Verbindung die gesetzte Route wieder verschwunden ist. Des Weiteren wird bei Einwahl dynamisch eine IP aus dem L2TP Pool vergeben, welches letztendlich das Ganze unter Nutzung eines Skriptes nicht leichter macht die Route zu setzen.

Mein Ehrgeiz verlangte es einen Weg zu finden, sodass automatisch nach Verbindungsaufbau mit dynamischer IP aus dem L2TP Pool die passende Route gesetzt wird. Wie ? Das werde ich versuchen zu erklären. 

 

Nach langem Stöbern bin ich auf einen alten Artikel auf MacOSXHints gestoßen. Die Anleitung nebst Skript erlaubt es, dass automatisch nach Aufbau der VPN Verbindung die zum L2TP Pool passende temporäre Route gesetzt wird. Diese Route verliert ihre G?ltigkeit, nachdem die VPN Verbindung getrennt wird.

Als root wird die Datei ip-up im /etc/ppp Verzeichnis erstellt. Die Datei wird mit folgenden Skript bef?llt und danach die Rechte mittels chmod u+x /etc/ppp/ip-up angepasst. In der Datei selbst kann bzw. sollte noch Hand angelegt werden, um es an die eigene VPN Umgebung anzupassen. Zum Beispiel der Eintrag case $NET in 192.168.3) entspricht das L2TP IP Segment wo man nach der Einwahl landet. Im Normalfall (besser in meinem Fall) liegt dieses Segment im 172.100.100.0. Somit muss die Zeile abgeändert werden zu case $NET in 172.100.100)

2 Zeilen tiefer befindet sich dann die eigentliche Anweisung, die automatisch ausgef?hrt werden soll. Das Setzen der passenden Route in das eigentliche IP Segment NACH dem L2TP IP Pool.

RESULT=`/sbin/route add -net 192.168.100.0 $5 255.255.255.0` entspricht somit die Erzeugung der Route f?r das 192.168.100.0 Netz (Firmennetz, in das ich hinein möchte), welches durch $5 (gemäß Skript-Kommentar ist dies die IP Adresse des entfernten Rechners/Gateway) erreichbar ist.

Wenn man es erst einmal weiß, ist es auch irgendwie einfach. Somit habe ich das Ziel erreichen können: Mittels automatischer Route nur die Daten ?ber das VPN schicken, die dort auch hin sollen und alles andere geht auf dem normalen Wege raus. Zum Gl?ck gibt es, wenn auch wenige, Seiten, wo man dies nachlesen kann.

Denn nicht immer gilt: RTFM

Das könnte Dich auch interessieren...

4 Antworten

  1. hallo Micha,

    seit gestern 18:30 ist jeglicher Zugang dicht.
    Der dyndnsaccount ist nicht mehr erreichbar.
    Hast Du irgendwas daran geändert ?
    Bitte checke die ganze Sache.
    Gruß Micha

  2. FireFox sagt:

    Nach weiteren Recherchen hatte DynDNS Probleme bei seinem Dienst. Da sich die DFL-800 nur bei DynDNS meldet, wenn eine Internetverbindung neu aufgebaut wird, hat sich natürlich trotz funktionierenden Internets in der Firma nicht erneut der DynDNS Eintrag aktualisiert.
    Eine erfolgte Zwangstrennung und Neuaufbau der Internetverbindung wirkte dadurch nachträglich Wunder.

  1. 6. April 2008

    […] die Option “Gesamten Verkehr über die VPN-Verbindung senden” zu deaktivieren und mit Hilfe meines früheren Beitrages das Umleiten der Datenpakete in das Firmen- bzw. Remotenetz zu […]

  2. 12. Juni 2008

    […] kann immer etwas dazu lernen – so wie auch ich heute. Ich hatte bereits für Mac OS nach Recherche herausgefunden, wie ich bei aufgebauter VPN Verbindung nur spezifischen Traffic in das entfernt […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.