Einstellung für nur VPN! Benötige Hilfe.....

[xenomorph]

Hallo!

Ich möchte folgendes umsetzen.......

Auf der einen Seite ein 3550 mit umts auf der anderen seite ein 1821.

3550 ist so konfiguriert dass er automatisch via VPN eine Netzwerkkopplung mit dem 1821 durchführt. (mit N:N da beide den gleichen IP-Bereich)

So ich möchte beide Router so konfigurieren, dass lediglich eine Kommunikation im lokalen Netz funktioniert. Der Zugang zum Internet soll komplett gesperrt werden. Es soll nur möglich sein, diese VPN - Verbindung aufzubauen.

Quasi ein lokales Netz ohne Internetzugang. Im lokalen Netz soll alles möglich sein. Ping, Ports, etc.

Habe die Schnauze voll mit Soft-Firewalls..... und abgesehen davon brauche ich die wohl auch nicht bei meinen engen Parametern....

Klar ist in beiden Router die Einstellung deny all. Aber mit der Regel habe ich so meine Probleme, funktioniert leider nicht so...

Das einzige was auf das Internet zugreifen darf ist die Anfrage zur Zeitsyncronisation mit einem Timeserver und 2 Ports auf eine feste IP, da dort kein VPN möglich.

Wäre schön wenn Ihr mir helfen könntet, da ich im Bereich der Firewall leider noch!!!! ein Newbie bin....

Links wären auch prima, mit dem Handbuch bin ich leider nicht so zurecht gekommen... Liegt NICHT!!!! am Handbuch eher an mir.... denn was Lancom da bietet ist grundsätzlich 1A.

Hier, wie eigentlich immer großes Lob an Lancom!!!!


Also vielen Dank vorab!!!!

Gruß Xeno

[langewiesche]

stellt keine default route ein ... machen eine route zum dns server und vpn routegateway

oder

du machst eine deny all und davor eine vpn allow regel

oder du macht eine default route in nix und fuer vpn einen anderen routing tag

es gibt noch mehr wege nach rom

[xenomorph]

Hallo...

Sorry komme erst heute wieder dazu mich zu melden.....

So...... ok war ein wenig dünn von mir (erster Beitrag)

Habe mich nun mehr mit dem Thema beschäftigt.

Also habe grundsätzlich die default_route die standardmäßig beim erstellen der Internetverbindung über den Assistenten angelegt wird.

Darunter die über den Assistenten angelegten VPN_Regeln für die Einwahl über die VPN-Clients.

Nun habe ich eine DENY_ALL Regel gemäß Knowlegdebase für alle Dienste angelegt.

So weit, so gut. Im lokalen Netz ist alles geblockt. Zeigt die Firewall auch an.

Über VPN-Einwahl ebenso. VPN klappt, IP´s errreichbar und Zugang zum Internet geblockt.

Auch schön.

Nur den UMTS-Router mit der Netzwerkkoplung erreiche ich nicht.

Das verstehe ich nicht, da doch ab Rev 6.x die VPN von den DENY_ALL ausgenommen ist. Oder liege ich da falsch. Muss ich ähnlich wie für die VPN-Einwahl der Clients ebenso eine Regel anlegen wie für die Netzwerkkopplung 1821 & 3550 (explizit ALLOW_VPN) ??

Ach ja, warum ich es nicht einfach probiere und wieder eine Frage stelle, die ich selbst beantworten kann.....

ich mache gerade die Konfiguration über VPN von daheim.... wenn ich jetzt was falsch mache und mich aussperre ...ist es mit der Heimarbeit am Wochende vorbei... schön für meine Frau schlecht für mich und die Fa.

Gruß Xeno

[xenomorph]

Hi.....

Schade bisher noch keine Hilfen......

Bin auch nicht mehr weiter gekommen.

Hatt es eventuell mit dem N:N Mapping zu tun das ich bei der Netzwerkkopplung verwende?

Wie gesagt.... bei DENY_ALL und ALLOW VPN erreiche ich nur den 1821, den 3550 nicht.

Wenn ich ihn anpinge bekomme ich vom 1821 die Meldung Zielhost nicht erreichbar. Die VPN-Verbindung steht jedoch... (Lan-Monitor)

[backslash]

Hi xenomorph

Schade bisher noch keine Hilfen......

ist schon erstaunlich... 2 Wochen schweigen und dann wieder sofort Hilfe fordern, tss, tss, tss...

Aber zum Problem:

Das verstehe ich nicht, da doch ab Rev 6.x die VPN von den DENY_ALL ausgenommen ist. Oder liege ich da falsch.

da liegst du falsch - wie kommst du überhaupt darauf?

Wie gesagt.... bei DENY_ALL und ALLOW VPN erreiche ich nur den 1821, den 3550 nicht.

wie sieht denn die ALLOW-VPN Regel aus?
Um vom Netz des 1821 in das Netz des 3550 zu kommen mußt du nur Quelle und Ziel passend eintragen (ungemappt natürlich - die Firewall weiß nichts vom N:N-NAT)

Beispiel:

Die Netze beider Router sei 192.168.1.x.
Im 1821 machst du ein Mapping des Netzes auf 192.168.2.x und im 3550 erfolgt eine Umsetzung auf 192.168.3.x

Dann lauten die Regeln im 1821:

Code: Alles auswählen

ALLOW-VPN-OUT:

Quelle:   192.168.1.0/255.255.255.0
Ziel:     192.168.3.0/255.255.255.0
Dienste:  alle Dienste
Aktion:Übertragen


ALLOW-VPN-IN:

Quelle:   192.168.3.0/255.255.255.0
Ziel:     192.168.1.0/255.255.255.0
Dienste:  alle Dienste
Aktion:Übertragen

Im 3550 must du die Regeln entsprechend eintragen

Gruß
Backslash

[xenomorph]

Hi backslash

ist schon erstaunlich... 2 Wochen schweigen und dann wieder sofort Hilfe fordern, tss, tss, tss..

1. Mein Schweigen hatte zum Teil persönliche Gründe die mit der Sache nichts zu tun haben und den weiteren Grund, sich mit der Materie zu beschäftigen.
2. Wollte ich die Zeit am Wochenende dafür nutzen, und wenn Du da wie der Ochs vorm Berg stehst und nicht weisst, warum es nicht so klappt, wie man es gerne hätte, fehlt einem vielleicht die nötige Geduld.

Also wenn es unangenehm angekommen ist, bitte ich dies zu entschuldigen, war auch nicht meine Absicht diesen Eindruck bei Dir bzw. den anderen Usern zu hinterlassen.

Das verstehe ich nicht, da doch ab Rev 6.x die VPN von den DENY_ALL ausgenommen ist. Oder liege ich da falsch.

Ähm ich meinte nicht ausgenommen, sondern wenn ich eine Netzwerkkopplung über den Assistenten konfiguriere wird automatisch eine ALLOW_VPN-Regel erstellt. Ist wohl aber nur bei den Advanced Clients so. Da für die 1821 /3550 keine Regeln hinterlegt sind.

Oder liege ich hier auch falsch??
(Hatte dies hier irgendwo gelesen, bzw. so verstanden. Den Beitrag finde ich jetzt auf die schnelle nicht, werde ihn aber noch nachreichen)

wie sieht denn die ALLOW-VPN Regel aus?
Um vom Netz des 1821 in das Netz des 3550 zu kommen mußt du nur Quelle und Ziel passend eintragen (ungemappt natürlich - die Firewall weiß nichts vom N:N-NAT)

Beispiel:

Die Netze beider Router sei 192.168.1.x.
Im 1821 machst du ein Mapping des Netzes auf 192.168.2.x und im 3550 erfolgt eine Umsetzung auf 192.168.3.x

Dann lauten die Regeln im 1821:

Code: Alles auswählen

ALLOW-VPN-OUT:

Quelle:   192.168.1.0/255.255.255.0
Ziel:     192.168.3.0/255.255.255.0
Dienste:  alle Dienste
Aktion:Übertragen [/quote]



Ok da liegt wohl mein Fehler. Habe analog zu den Firewallregeln zum VPN-Client kein IP/Subnet sondern den Namen der Gegenstelle eingetragen.

Werde es dann eben mit IP/Subnet probieren.

Einen Rückfluss kann ich aber erst wohl nach dem Wochende geben, da ich vermutlich bis Montag nicht an die 3550 rankomme und es deshalb nicht testen kann.

Nur als Vorabinfo falls Du vergebens auf eine Rückantwort wartest.....

Vielen Dank schonmal für die Hilfe!!! :D 

Gruß Xeno

[xenomorph]

Das verstehe ich nicht, da doch ab Rev 6.x die VPN von den DENY_ALL ausgenommen ist. Oder liege ich da falsch.

Hier der Link und da explezit die 1. Aussage von omd

http://www.lancom-forum.de/topic,1477,- ... d+VPN.html

Gruß Xeno

[backslash]

Hi xenomorph

Hier der Link und da explezit die 1. Aussage von omd

http://www.lancom-forum.de/topic,1477,- ... d+VPN.html

lies es dir nochmal genau durch: "der Assistent legt eben keine Firewall-Regel an, sondern nur eine VPN-Regel" - d.h. er stellt nur die Netzbeziehungen ein. Wenn du eine Deny-All Regel hast, dann mußt du zusätzlich noch den Traffic über das VPN erlauben. Am einfachsten mit einer Regel, die allen VPN-Traffic freigibt:

Code: Alles auswählen

Quelle:    alle Stationen
Ziel:      alle Stationen
Dienste:   alle Dienste
Aktion:    Übertragen, nur für VPN-Route

[x] Diese Regel ist für die Firewall aktiv
[ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[x] Diese Regel hält Verbindungszustände nach

Gruß
Backslash

[xenomorph]

Hallo Backslash!

Vielen Dank für die Hilfe....

Nun hat es geklappt.....

Hatte erst Probleme ... nachdem ich die VPN_ALLOW mit Priorität vor die DENY_ALL Regel gestellt habe hat es funktioniert. Steht ja auch so im Knowledgebase....

Muss nun lediglich die Regeln für den Timeserver und andere Dinge basteln....

Aber ich versuchs es erstmal selbst....

Gruß Xeno

[xenomorph]

Muss nun lediglich die Regeln für den Timeserver und andere Dinge basteln....

Habs gefunden....


Regel: ALLOW_ZEITSERVER
Dienste: UDP
Q/Z-Port: 123
Q-Station: Intranet-IP des Lancom
Z-Station: IP bzw. DNS-Name des NTP-Servers
Aktion: Übertragen


Gruß Xeno