Hallo,
ich würde auch ein Routing-Problem vermuten, aber nicht auf der Clientseite, sondern im internen Netz.
Wenn ein “normaler” Rechner im internen Netz hochgefahren wird, bekommt er (wahrscheinlich vom Router per DHCP) eine IP zugewiesen und die “Standard-Route” mitgeteilt, also die IP, an die alle Pakete zu schicken sind, die sich nicht im internen Netz befinden. Soweit gut. Was macht ein Server, insbesondere ein UCS? Der wird normalerweise nicht mit DHCP eingerichtet, er soll doch besser eine feste IP haben? Also bekommt er die Standardroute nur einmal, und zwar beim Installieren. Danach fragt er nie mehr per DHCP nach irgendwas, und das funktioniert solange, wie sich im Netz nichts ändert. Auf dem UCS sollte man das sehen durch Eingabe von root@ucs-server# route -n
der Standard-Gateway ist die IP, bei der in der Spalte “Destination” die Adresse 0.0.0.0 drin steht.
Wenn Sie sich von zu Hause per VPN einwählen, dann aber kommen Ihre Pakete nicht vom Router, sondern von der IP des VPN-Servers, und die Antwortpakete müssen auch dorthin zurückgeschickt werden. Ich würde vermuten, daß Ihr UCS diese Route nicht weiß, und deshalb die Antwortpakete nicht an den VPN-Servers zurückschickt, sondern an den Router. Ich versuche mal aus Ihren Angaben zusammenzubauen:
[ul]
[li] Ihr inneres Netz ist 192.168.2.0/255.255.255.0[/li]
[li] auch der UCS Rechner ist in diesem Netz[/li]
[li] Ihr Router hat auch eine interne Adresse in diesem Netz, ich erfinde einfach mal eine: 192.168.2.0[/li]
[li] route -n auf dem UCS listet als Default Gateway wirklich die Router-IP[/li]
[li] Ihr VPN Server hat auch eine Adresse im internen Netz, sagen wir mal 192.168.2.10[/li]
[li] die eingewählten VPN Rechner landen im virtuellen Netz 10.8.0.1/255.255.255.0[/li][/ul]
Dann muß ein Rechner, der sauber mit den per VPN eingewählten Rechnern kommunizieren will, neben dem Standard-Gateway noch eine weitere Route bekommen, nämlich eine Route, die alle Pakete für IPs im VPN-Netz an die IP 192.168.2.10 leitet. Für alle Rechner, deren Netzwerkkonfiguration “automatisch” geschieht (per DHCP?) ist dies dann wahrscheinlich schon realisiert, aber die Rechner, deren Konfiguration statisch ist, müssen es separat gesagt bekommen.
Auf der Kommandozeile sähe das etwa so aus:
root@ucs-server# route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.2.10
Oder auf einem Univention System müßte man es in der Systemkonfiguration verewigen:
root@ucs-server# ucr set interfaces/eth0/route/vpnroute="net 10.8.0.0 netmask 255.255.255.0 gw 192.168.2.10"