Guten ABend,
ehrlich gesagt, mir sind die beiden standardmäßig vorhandenen Netzwerk-Regeln im VPN-Bereich nicht so richtig klar bzw. eben der Unterschied zwischen diesen beiden:
RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0
RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32
Hab auch im Handbuch nichts dazu finden können, und online steht bei den Anleitungen zu diversen VPN-Szenarien lediglich immer wieder, dass dieser oder dieser Parameter in Verbindung mit manueller Regelerzeugung zu wählen sei.
Wann ist welche Variante zu verwenden, kann mir jemand die Unterschiede vielleicht kurz und prägnant auf den Punkt bringen?
Gruß Daniel
Frage zu vordefinierten IPv4-Regeln
Moderator: Lancom-Systems Moderatoren
-
daniel337PVS
- Beiträge: 88
- Registriert: 02 Dez 2016, 13:39
-
GrandDixence
- Beiträge: 1149
- Registriert: 19 Aug 2014, 22:41
Re: Frage zu vordefinierten IPv4-Regeln
Diese speziellen IPv4-Regeln kommen bei Einwahlverbindungen (Remote-Access-VPN => RAS) zum Einsatz:
https://www.elektronik-kompendium.de/si ... 907081.htm
Bei Einwahlverbindungen vergibt der VPN-Server dem VPN-Client per "IKE Config Mode" eine IP-Adresse (ähnlich dem DHCP-Server dem DHCP-Client). Da die genaue dem VPN-Client vergebene IP-Adresse im Voraus nicht bekannt ist, werden diese speziellen IPv4-Regeln bei Einwahlverbindungen eingesetzt:
0.0.0.0/0 => Alle IPv4-Adressen (Default-Route)
0.0.0.0/32 => Nur IPv4-Adresse des VPN-Clients
https://en.wikipedia.org/wiki/Classless ... IDR_blocks
Dank der Security Association (SA) werden nur die IP-Pakete durch den IPSec-VPN-Tunnel durchgelassen, welche die in der SA definierten Quell-IP-Adressbereich inklusive Quell-Port und Ziel-IP-Adressbereich inklusive Ziel-Port erfüllen. Mit den IPv4-Regeln werden genau diese SA konfiguriert. Pro Einwahlverbindung braucht es zwei SA. Eine SA für die Richtung vom VPN-Client zum VPN-Server und eine SA für die Richtung vom VPN-Server zum VPN-Client.
RAS-WITH-NETWORK-SELECTION: Bidirektional von allen IP-Adressen an alle IP-Adressen durch den VPN-Tunnel durchlassen. => Einwahl eines Netzwerkrouters
RAS-WITH-CONFIG-PAYLOAD: Bidirektional alle IP-Pakete durch den VPN-Tunnel durchlassen, welche entweder Quelle oder Ziel den VPN-Client haben. => Einwahl eines einzelnen Laptop/Mobilgerät
VPN Ausgehandelte SA's anzeigen:
Für Beispiele siehe:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
https://www.elektronik-kompendium.de/si ... 907081.htm
Bei Einwahlverbindungen vergibt der VPN-Server dem VPN-Client per "IKE Config Mode" eine IP-Adresse (ähnlich dem DHCP-Server dem DHCP-Client). Da die genaue dem VPN-Client vergebene IP-Adresse im Voraus nicht bekannt ist, werden diese speziellen IPv4-Regeln bei Einwahlverbindungen eingesetzt:
0.0.0.0/0 => Alle IPv4-Adressen (Default-Route)
0.0.0.0/32 => Nur IPv4-Adresse des VPN-Clients
https://en.wikipedia.org/wiki/Classless ... IDR_blocks
Dank der Security Association (SA) werden nur die IP-Pakete durch den IPSec-VPN-Tunnel durchgelassen, welche die in der SA definierten Quell-IP-Adressbereich inklusive Quell-Port und Ziel-IP-Adressbereich inklusive Ziel-Port erfüllen. Mit den IPv4-Regeln werden genau diese SA konfiguriert. Pro Einwahlverbindung braucht es zwei SA. Eine SA für die Richtung vom VPN-Client zum VPN-Server und eine SA für die Richtung vom VPN-Server zum VPN-Client.
RAS-WITH-NETWORK-SELECTION: Bidirektional von allen IP-Adressen an alle IP-Adressen durch den VPN-Tunnel durchlassen. => Einwahl eines Netzwerkrouters
RAS-WITH-CONFIG-PAYLOAD: Bidirektional alle IP-Pakete durch den VPN-Tunnel durchlassen, welche entweder Quelle oder Ziel den VPN-Client haben. => Einwahl eines einzelnen Laptop/Mobilgerät
VPN Ausgehandelte SA's anzeigen:
Code: Alles auswählen
show vpn sadbfragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Re: Frage zu vordefinierten IPv4-Regeln
Prima, GrandDixence, vielen Dank für die Ausführungen!
Daniel
Daniel