|
| OS X og split tunneling Fra : Thomas G. Madsen |
Dato : 24-09-07 11:59 |
|
Ligger der en eller anden sikkerhedsblokade i OS X (10.4.10) som
gør, at det ikke er muligt at komme på internettet, når man har åbnet
en VPN-forbindelse (med Ciscos VPN-klient) selvom split tunneling er
koblet til på den VPN-router, man går igennem?
--
Hilsen
Madsen
| |
Frank E. N. Stein (24-09-2007)
| Kommentar Fra : Frank E. N. Stein |
Dato : 24-09-07 18:23 |
|
Thomas G. Madsen skrev:
> Ligger der en eller anden sikkerhedsblokade i OS X (10.4.10) som
> gør, at det ikke er muligt at komme på internettet, når man har åbnet
> en VPN-forbindelse (med Ciscos VPN-klient) selvom split tunneling er
> koblet til på den VPN-router, man går igennem?
Det er VPN-klienten der forhindrer det.
| |
Morten Reippuert Knu~ (24-09-2007)
| Kommentar Fra : Morten Reippuert Knu~ |
Dato : 24-09-07 12:11 |
|
Thomas G. Madsen <nospam@madsen.tdcadsl.dk> wrote:
> Ligger der en eller anden sikkerhedsblokade i OS X (10.4.10) som
> gør, at det ikke er muligt at komme på internettet, når man har åbnet
> en VPN-forbindelse (med Ciscos VPN-klient) selvom split tunneling er
> koblet til på den VPN-router, man går igennem?
Nej, dit problem må ligge på en indstilling i din VPN klient eller en
regel på din cisco router.
--
Morten Reippuert Knudsen < http://blog.reippuert.dk>
Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.
| |
Thomas G. Madsen (24-09-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 24-09-07 21:38 |
|
Morten Reippuert Knudsen skrev:
> Nej, dit problem må ligge på en indstilling i din VPN klient
> eller en regel på din cisco router.
Jeg må lede lidt i VPN-klienten så, for det er ikke i Cisco-routeren,
for jeg har ingen problemer med at komme på nettet med VPN-tunnelen
åben, når jeg går på den fra en WinXP-maskine.
--
Hilsen
Madsen
| |
Frank E. N. Stein (24-09-2007)
| Kommentar Fra : Frank E. N. Stein |
Dato : 24-09-07 21:44 |
|
Thomas G. Madsen skrev:
>> Nej, dit problem må ligge på en indstilling i din VPN klient
>> eller en regel på din cisco router.
>
> Jeg må lede lidt i VPN-klienten så, for det er ikke i Cisco-routeren,
> for jeg har ingen problemer med at komme på nettet med VPN-tunnelen
> åben, når jeg går på den fra en WinXP-maskine.
Så går du på nettet gennem VPN-tunnelen (du bruger ikke VPN-delen i din
router til noget). Tjek DNS-opsætningen.
| |
Thomas G. Madsen (25-09-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 25-09-07 11:09 |
|
Frank E. N. Stein skrev:
> Så går du på nettet gennem VPN-tunnelen (du bruger ikke
> VPN-delen i din router til noget).
Ja, for det er vel det split tunneling-funktionen i routeren gør.
Jeg undrer mig så bare over, hvorfor OS X ikke retter sig efter det.
> Tjek DNS-opsætningen.
Jeg er ikke helt med. Hvor skal jeg tjekke den henne?
--
Hilsen
Madsen
| |
Frank E. N. Stein (25-09-2007)
| Kommentar Fra : Frank E. N. Stein |
Dato : 25-09-07 16:49 |
|
Thomas G. Madsen skrev:
>> Så går du på nettet gennem VPN-tunnelen (du bruger ikke
>> VPN-delen i din router til noget).
>
> Ja, for det er vel det split tunneling-funktionen i routeren gør.
Ja, hvis det er routeren i den anden ende. Din lokale router har ikke
noget med sagen at gøre, da du ikke bruger dens klient og den eksterne
router kan kun bruge funktionen for dem der sidder bag den.
> Jeg undrer mig så bare over, hvorfor OS X ikke retter sig efter det.
>
>> Tjek DNS-opsætningen.
>
> Jeg er ikke helt med. Hvor skal jeg tjekke den henne?
Du kunne starte med at se hvilke DNS-adresser du får tildelt din Mac.
| |
Thomas Bjorn Anderse~ (25-09-2007)
| Kommentar Fra : Thomas Bjorn Anderse~ |
Dato : 25-09-07 13:55 |
|
"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> writes:
>> Tjek DNS-opsætningen.
>
> Jeg er ikke helt med. Hvor skal jeg tjekke den henne?
På din Mac OS maskine. Mac'en skal efter start af VPN tunnel benytte
den anden sides DNS server. Det lyder som om, at split-tunnelling er
slået fra (trods alt) på din VPN koncentrator. Du kan evt. checke din
routetabel med netstat -r i en terminal.
--
Thomas Bjorn Andersen
+++ATH
| |
Thomas G. Madsen (26-09-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 26-09-07 10:58 |
|
Thomas Bjorn Andersen skrev:
> Mac'en skal efter start af VPN tunnel benytte den anden sides
> DNS server.
Problemet er, at jeg ikke er klar over, hvordan jeg skal skrue på
indstillingerne for Mac'ens VPN-tunnel.
På WinXP bliver der automagisk oprettet en ny netværksforbindelse,
når man installerer Cisco-klienten, men det gør der ikke på OS X.
Det eneste jeg tilsyneladende har mulighed for at skrue på er i
selve Cisco-klienten og dér er der, så vidt jeg kan se, ikke noget
med DNS-indstillinger.
--
Hilsen
Madsen
| |
Thomas G. Madsen (26-09-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 26-09-07 10:58 |
|
Frank E. N. Stein skrev:
> Din lokale router har ikke noget med sagen at gøre, da du ikke
> bruger dens klient og den eksterne router kan kun bruge
> funktionen for dem der sidder bag den.
Det er også på den eksterne router, at split tunneling er koblet
til. Jeg ved godt, at min lokale router ikke betyder noget. Den
har i øvrigt heller ikke VPN-funktioner, men når jeg går igennem
den eksterne router via VPN, så kommer jeg vel også til at "sidde
bag den", og kan dermed bruge dens split tunneling-indstilling til
at komme på nettet. Er det ikke sådan, det hænger sammen, eller?
--
Hilsen
Madsen
| |
Frank E. N. Stein (26-09-2007)
| Kommentar Fra : Frank E. N. Stein |
Dato : 26-09-07 18:05 |
|
Thomas G. Madsen skrev:
>> Din lokale router har ikke noget med sagen at gøre, da du ikke
>> bruger dens klient og den eksterne router kan kun bruge
>> funktionen for dem der sidder bag den.
>
> Det er også på den eksterne router, at split tunneling er koblet
> til. Jeg ved godt, at min lokale router ikke betyder noget. Den
> har i øvrigt heller ikke VPN-funktioner, men når jeg går igennem
> den eksterne router via VPN, så kommer jeg vel også til at "sidde
> bag den", og kan dermed bruge dens split tunneling-indstilling til
> at komme på nettet. Er det ikke sådan, det hænger sammen, eller?
Nej, så går du på nettet som hvis du sad i firmaet. Ved split-tunneling
ville trafikken blive splittet ved klienten og dermed ikke belaste
arbejdspladsens internetforbindelse så meget, da internettrafikken ikke
ville gå den vej igennem.
| |
Thomas Bjorn Anderse~ (26-09-2007)
| Kommentar Fra : Thomas Bjorn Anderse~ |
Dato : 26-09-07 15:51 |
|
"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> writes:
> Det er også på den eksterne router, at split tunneling er koblet
> til. Jeg ved godt, at min lokale router ikke betyder noget. Den
> har i øvrigt heller ikke VPN-funktioner, men når jeg går igennem
> den eksterne router via VPN, så kommer jeg vel også til at "sidde
> bag den", og kan dermed bruge dens split tunneling-indstilling til
> at komme på nettet. Er det ikke sådan, det hænger sammen, eller?
Split-tunneling betyder normalt i Cisco sammenhæng, at din klient
(dvs. din Mac OS X, som forbinder sig til en Cisco VPN koncentrator)
har mulighed for at se både firmaets internenetværk, samtidigt med, at
du kan se dit lokalnet i hjemmet. Split-tunneling forbydes ofte, da
det kan være en sikkerhedsrisiko for firmanettet at have fremmede
netværk inde på indersiden. Cisco VPN klienter får at vide fra VPN
koncentratoren, hvorvidt de må tillade split-tunneling.
--
Thomas Bjorn Andersen
+++ATH
| |
Thomas G. Madsen (27-09-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 27-09-07 08:21 |
|
Thomas Bjorn Andersen skrev:
> Split-tunneling betyder normalt i Cisco sammenhæng, at din
> klient (dvs. din Mac OS X, som forbinder sig til en Cisco VPN
> koncentrator) har mulighed for at se både firmaets
> internenetværk, samtidigt med, at du kan se dit lokalnet i
> hjemmet.
Ok. Så har jeg tilsyneladende forstået det rigtigt.
> Split-tunneling forbydes ofte, da det kan være en
> sikkerhedsrisiko for firmanettet at have fremmede netværk inde
> på indersiden.
Jeg er godt klar over, at split tunneling er at gå på kompromis
med sikkerheden, men nogle gange bliver man bare nødt til at
foretrække funktionalitet frem for sikkerhed. Jeg trøster mig med,
at det udelukkende er Mac'er, som tilgår netværket. Ikke fordi at
det 100% garanterer, at der så ikke slipper noget ind, men alt
andet lige så ville jeg være mere skeptisk ved at have split
tunneling koblet til, hvis det drejede sig om Windows-brugere.
> Cisco VPN klienter får at vide fra VPN koncentratoren, hvorvidt
> de må tillade split-tunneling.
Og netop derfor undrer jeg mig over at min Windows-boks retter sig
efter VPN-koncentratorens split tunneling-indstillinger, men ikke
OS X-boksen.
--
Hilsen
Madsen
| |
Thomas G. Madsen (27-09-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 27-09-07 08:32 |
|
Thomas G. Madsen skrev:
> Ok. Så har jeg tilsyneladende forstået det rigtigt.
Så nogenlunde da, må jeg hellere skynde mig at sige :)
--
Hilsen
Madsen
| |
|
|