Split-Tunneling - L2TP & IPSec SecuExtender

Beim Verbindungsaufbau eines L2TP-Tunnels mit einem Windows-Client wird standardmäßig der gesamte Internetverkehr durch diesen Tunnel geleitet. Um Bandbreite zu sparen und somit den Internetverkehr aus dem L2TP-Tunnel herauszuhalten, folgen Sie bitte der untenstehenden Anleitung.

Auf Windows-PCs müssen wir "Standardgateway im Remotenetzwerk verwenden" deaktivieren und Routing über die Eingabeaufforderung (CMD) hinzufügen. Bitte folgen Sie den untenstehenden Schritten.

Sie können die Split-Tunnel-Konfiguration durch die folgenden Schritte umsetzen.

1a) L2TP - Für Windows

  1. Klicken Sie mit der rechten Maustaste auf Ihr Netzwerksymbol in der Taskleiste und wählen Sie "Netzwerk- und Interneteinstellungen öffnen":
    mceclip1.png
     
  2. Klicken Sie im nächsten Fenster auf "Adapteroptionen ändern":
    mceclip2.png
     
  3. Klicken Sie mit der rechten Maustaste auf den VPN-Verbindungsadapter und wählen Sie "Eigenschaften"
    mceclip3.png
  4. Wechseln Sie zum Reiter Netzwerk, wählen Sie "Internetprotokoll Version 4 (TCP/IPv4)" und klicken Sie auf "Eigenschaften"
    mceclip4.png
  5. Klicken Sie in den "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" auf "Erweitert"
    mceclip6.png
  6. Deaktivieren Sie im Reiter "Erweiterte TCP/IP-Einstellungen" unter "IP-Einstellungen" die Option "Standardgateway im Remotenetzwerk verwenden".
    mceclip7.png
  7. Erstellen Sie je nach Bedarf Route(n) für Ihre VPN-Verbindung in PowerShell.

    Beispiel mit 192.168.1.0/24 als entferntes Subnetz und "Zyxel VPN" als VPN-Verbindungsname:

    Add-VpnConnectionRoute -ConnectionName "Zyxel VPN" -DestinationPrefix "192.168.1.0/24" -PassThru

    mceclip0.png

Sie haben nun erfolgreich Split-Tunneling auf der VPN-Verbindung aktiviert und zusätzlich eine Route über das VPN hinzugefügt.

1b) L2TP - Für MacOS

Erstellen Sie einen L2TP-Tunnel. Klicken Sie auf die Schaltfläche Erweitert und stellen Sie sicher, dass das Kästchen Gesamten Datenverkehr über VPN-Verbindung senden deaktiviert ist.
Standardmäßig ist diese Option deaktiviert.

Klicken Sie dann auf die Schaltfläche OK und anschließend erneut auf Übernehmen.
 

mceclip0.png

2) SecuExtender

Definieren Sie zunächst die Remote-LAN-Adresse, also das LAN-Subnetz der Firewall, die Ihr Client erreichen soll.

mceclip0.png

Für IKEv2 können Sie außerdem sicherstellen, dass das Kästchen "Split-Tunneling deaktivieren" nicht angehakt ist:

mceclip1.png

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.