Hallo Leute - Spezialisten
Ich möchte gern den Lancom Router 1781A als VPN-Gateway für Clientzugriffe konfigurieren. (Hinweis: Der Firewall ist nach Deny-All-Strategie eingerichtet). Hierzu habe ich den entsprechenden Setupassistenten genutzt. Der Setupassistent erstellt u.a. eine deaktive (rot mit Schloß) Firewallregel "von Beliebig an Client übertragen".
1. Frage: soll diese Regel deaktiv bleiben? Eine explizide Beschreibung hierzu gibt es nicht, aber auf einem Bild in den FAQ ist die Regel als deaktiv zu sehen.
2. In der Beschreibung der Firewallregeln (Referenzhandbuch 7.60 Seite 8-21) ist es genau umgekehrt, und m.E. auch logischer: Es wird eine Regel empfohlen "von Gegenstelle (Client) an Lokales Netzwerk übertragen". Kann mir jemand diese Diskrepanz erklären ?
3. Die Beschreibung der Einrichtung eines VPN (mit fremden Client z.B. Shrew) wie auch zu den Firewallregeln ist sehr dürftig. Kennt jemand weiterführende Unterlagen ?
Vielen Dank
Konfiguartion der Firewall für VPN-Gateway
Moderator: Lancom-Systems Moderatoren
-
LancomNutzer
- Beiträge: 3
- Registriert: 15 Jun 2012, 12:08
Hi LancomNutzer,
zu 1)
bei der angelegten "Firewallregel" handelt es sich um eine VPN-Regel, welche die nötigen SAs für den VPN Client erzeugt.
zu 2)
das wäre der Fall für eine Firewallregel, sprich eine Regel mit der Dinge erlaubt/blockiert werden
zu 3)
für den Shrew Client kenne ich selber auch keine Anleitung. Ist aber relativ einfach zu konfiguieren. Mit dem Setup-Wizard von LANconfig eine VPN Client Verbindung einrichten (kann auch One-Klick sein). Anschließend im Shrew Client die beim Setup-Wizard eingebenen Daten beim Shrew Client hinterlegen. Dazu gehören: DynDns Name oder IP des Gateway, lokale und entfernte Identität, Preshared Key. Als Proposal kannst du fest AES 128 oder AES 256 mit SHA oder MD5 hinterlegen. Auf dem LANCOM sind diese als Defaults bereits hinterlegt und bekannt.
Gruß
Pothos
zu 1)
bei der angelegten "Firewallregel" handelt es sich um eine VPN-Regel, welche die nötigen SAs für den VPN Client erzeugt.
zu 2)
das wäre der Fall für eine Firewallregel, sprich eine Regel mit der Dinge erlaubt/blockiert werden
zu 3)
für den Shrew Client kenne ich selber auch keine Anleitung. Ist aber relativ einfach zu konfiguieren. Mit dem Setup-Wizard von LANconfig eine VPN Client Verbindung einrichten (kann auch One-Klick sein). Anschließend im Shrew Client die beim Setup-Wizard eingebenen Daten beim Shrew Client hinterlegen. Dazu gehören: DynDns Name oder IP des Gateway, lokale und entfernte Identität, Preshared Key. Als Proposal kannst du fest AES 128 oder AES 256 mit SHA oder MD5 hinterlegen. Auf dem LANCOM sind diese als Defaults bereits hinterlegt und bekannt.
Gruß
Pothos
-
LancomNutzer
- Beiträge: 3
- Registriert: 15 Jun 2012, 12:08
Hi Pothos,
verstehe ich das richtig, daß der Firewalleintrag zu 1 seine Wirkung für VPN entfaltet, auch wenn er in der eigentlichen Firewall deaktiviert ist (sein soll). Welche Wirkung entfaltet er denn dort und was heißt SA ?
Welche der Regeln ist denn für die eigentliche Firewall (Deny-All-Strategie) notwendig - die Regel 1 oder 2 oder beide und warum widersprechen sie sich ?
Ich habe verschiedene Möglichkeiten der Konfiguration des Shrew Clients ausprobiert (auch die beschriebene), es funktioniert aber einfach nicht. Ich kann es mir nur erklären, daß es mit der Firewall zu tun hat, aber ich möchte von der Deny-All-Strategie nicht abweichen.
Vielen Dank und viele Grüße,
Lancom Nutzer
verstehe ich das richtig, daß der Firewalleintrag zu 1 seine Wirkung für VPN entfaltet, auch wenn er in der eigentlichen Firewall deaktiviert ist (sein soll). Welche Wirkung entfaltet er denn dort und was heißt SA ?
Welche der Regeln ist denn für die eigentliche Firewall (Deny-All-Strategie) notwendig - die Regel 1 oder 2 oder beide und warum widersprechen sie sich ?
Ich habe verschiedene Möglichkeiten der Konfiguration des Shrew Clients ausprobiert (auch die beschriebene), es funktioniert aber einfach nicht. Ich kann es mir nur erklären, daß es mit der Firewall zu tun hat, aber ich möchte von der Deny-All-Strategie nicht abweichen.
Vielen Dank und viele Grüße,
Lancom Nutzer
Hi LancomNutzer,
ok ich fange mal grundlegend an. Es gibt im Grunde 3 Arten von Regeln, die in LANconfig wie folgt dargestellt werden:
1. rotes X --> komplett deaktivierte Regel ohne jegliche Funktion
2. rotes X mit Schloß --> reine VPN Regel, welche SAs (Netzbeziehungen) für VPN Tunnel erzeugt
3. grünes Häkchen --> aktive Firewallregel, um Dinge zu erlauben oder zu blockieren
Damit sich der Shrew Client einwählen kann, werden SAs (Netzbeziehungen) benötigt, welche während der VPN Einwahl ausgehandelt werden. Diese sind am LANCOM über die vom Assistenten erzeugte Regel festgelegt. Die Regel hat erstmal nichts damit zu tun, ob der Client jetzt Server X ansprechen darf oder nicht, sondern dient lediglich dem VPN Verbindungsaufbau. Wenn die VPN Verbindung erfolgreich aufgebaut wurde, kannst du weitere Firewallregeln (grünes Häkchen) anlegen, welche die Kommunikation vom Client an spezielle Stationen erlaubt, so wie du es eingangs unter Punkt 2 bereits beschrieben hast.
Hoffe das war soweit erstmal verständlich.
Damit der Shrew sich verbinden kann, bitte die vom Wizard erzeugte Regel wiederherstellen. Um dann herausfinden zu können, warum die Einwahl des VPN Clients scheitert, bitte einmal einen VPN-Status Trace auf dem Router starten und während des aktivierten Traces mit dem Client eine Einwahl starten (wenn möglich nicht aus dem gleichen lokalen Netz!). Dann sieht man vielleicht warum der Verbindungsaufbau scheitert.
Gruß
Pothos
ok ich fange mal grundlegend an. Es gibt im Grunde 3 Arten von Regeln, die in LANconfig wie folgt dargestellt werden:
1. rotes X --> komplett deaktivierte Regel ohne jegliche Funktion
2. rotes X mit Schloß --> reine VPN Regel, welche SAs (Netzbeziehungen) für VPN Tunnel erzeugt
3. grünes Häkchen --> aktive Firewallregel, um Dinge zu erlauben oder zu blockieren
Damit sich der Shrew Client einwählen kann, werden SAs (Netzbeziehungen) benötigt, welche während der VPN Einwahl ausgehandelt werden. Diese sind am LANCOM über die vom Assistenten erzeugte Regel festgelegt. Die Regel hat erstmal nichts damit zu tun, ob der Client jetzt Server X ansprechen darf oder nicht, sondern dient lediglich dem VPN Verbindungsaufbau. Wenn die VPN Verbindung erfolgreich aufgebaut wurde, kannst du weitere Firewallregeln (grünes Häkchen) anlegen, welche die Kommunikation vom Client an spezielle Stationen erlaubt, so wie du es eingangs unter Punkt 2 bereits beschrieben hast.
Hoffe das war soweit erstmal verständlich.
Damit der Shrew sich verbinden kann, bitte die vom Wizard erzeugte Regel wiederherstellen. Um dann herausfinden zu können, warum die Einwahl des VPN Clients scheitert, bitte einmal einen VPN-Status Trace auf dem Router starten und während des aktivierten Traces mit dem Client eine Einwahl starten (wenn möglich nicht aus dem gleichen lokalen Netz!). Dann sieht man vielleicht warum der Verbindungsaufbau scheitert.
Gruß
Pothos