Feste IP bei PPTP-Verbindungen zuteilen

[Michael008]

Hallo zusammen,
kann mir jemand sagen, wie ich bei PPTP Verbindungen eine eindeutige IP Adresse vergeben kann.
In TCP-IP->Adressen->Adressbereich für Einwahl-Zugänge habe ich 192.168.1.80-85 angegeben.

Trägt man im PPTP Client nichts ein, so bekommt man eine Adresse aus dem Pool, man kann aber nicht sicher sagen, welche.
Doch viel schlimmer ist, wenn man im PPTP Client eine IP z.B. 192.168.1.91 angibt funktioniert das auch .
Obwohl ich bei PPTP die IP 192.168.1.90 oder auch nix(0.0.0.0) eingetragen habe.
Somit kann ich nicht nur keine FW Regeln pro PPTP Verbindung erstellen, sondern es ist somit leicht möglich jegliche Regeln ganz einfach zu umgehen.
1)
Hat mir jemand eine Lösung, wie ich eindeutig PPTP Adressen möglichst pro PPTP Verbindung(und damit auch pro Passwort) vergeben kann.
2)
Kann ich irgend wie verhindern, dass sich ein PPTP Client jede Adresse selbst zuteleilen kann.
Danke
Gruß Michael

[backslash]

Hi Michael008

kann mir jemand sagen, wie ich bei PPTP Verbindungen eine eindeutige IP Adresse vergeben kann.
In TCP-IP->Adressen->Adressbereich für Einwahl-Zugänge habe ich 192.168.1.80-85 angegeben.

Trägt man im PPTP Client nichts ein, so bekommt man eine Adresse aus dem Pool, man kann aber nicht sicher sagen, welche.

das ist ja auch so gewollt...

Doch viel schlimmer ist, wenn man im PPTP Client eine IP z.B. 192.168.1.91 angibt funktioniert das auch .

auch das ist so gewollt, da es Clients gibt, die die Zuweisung einer Adresse (aus sog. Sicherheitsgründen) ablehen.

Obwohl ich bei PPTP die IP 192.168.1.90 oder auch nix(0.0.0.0) eingetragen habe.

Bei PPTP trägst Du nicht die Adresse ein, die zugewiesen werden soll, sondern die Adresse zu der die TCP-Verbindung aufgebaut wird, bzw. von der aufgebaut werden darf - letzteres funktioniert aber nur zuverlässig, wenn es keinen Eintrag mit 0.0.0.0 gibt.

Somit kann ich nicht nur keine FW Regeln pro PPTP Verbindung erstellen, sondern es ist somit leicht möglich jegliche Regeln ganz einfach zu umgehen.

falsch. Genau dafür ist die Angabe der Gegenstelle in den Firewall-Regeln gedacht...

Hat mir jemand eine Lösung, wie ich eindeutig PPTP Adressen möglichst pro PPTP Verbindung(und damit auch pro Passwort) vergeben kann

Ganz einfach: Mach einen Eintrag in der Routing-Tabelle für die Gegenstelle und der Gegentselle wird diese Adresse zugewiesen.

Kann ich irgend wie verhindern, dass sich ein PPTP Client jede Adresse selbst zuteleilen kann.

s.o. (=> Eintrag in der Routing-Tabelle)

Gruß
Backslash

[Michael008]

@backslash,
vielen Dank für die Antwort.
Eine eindeutige IP bekommt der client jetzt zuverlässig durch die Route zugewiesen.
Damit ist es auch nicht mehr schlimm, wenn der Einwahladresspool "wild" vergeben wird.
Aber leider kann man auf Client Seite immer noch jede IP eingeben, die man möchte. Die Infos, die man im Client nicht eingibt füllt der Router auf.(DNS/Wins)
Hast du noch eine Idee, wie man verhindern kann, dass ein Client sich eine beliebige IP im Lan selbst zuteilt?
Gruß Michael

[backslash]

Hi Michael008

Aber leider kann man auf Client Seite immer noch jede IP eingeben, die man möchte. Die Infos, die man im Client nicht eingibt füllt der Router auf.(DNS/Wins)
Hast du noch eine Idee, wie man verhindern kann, dass ein Client sich eine beliebige IP im Lan selbst zuteilt?

Da gabs noch einen kleinen Bug - in der 5.0 ist der behoben.
Bis dahin mußt du darauf vertrauen, daß sich die Leute, denen du Zugang gewährst, anständig verhalten - oder es mit fest zugewiesenen Adressen und strikten Firewall-Regeln unterbinden...

Gruß
Backslach

[Michael008]

Puh danke backslash,
ich dachte schon ich sei einfach unfähig.

- oder es mit fest zugewiesenen Adressen und strikten Firewall-Regeln unterbinden...

Feste IPs sind genau das was ich möchte, damit ich strikte Regeln anwenden kann.
Oder meinst du ich soll bis dahin (leider betrifft das einen DSL/10i )
Regeln über die Gegenstelle / Hardwareadesse verwenden? Wenn ja, wie könnte so eine Regel aussehen, die nur eine bestimmte IP für eine PPTP Verbindung erlaubt?
Danke Michael