Hallo Liebe Forum Nutzer,
wir betreiben mit einem Lancom 1900EF (VPN100 Lizenz) LCOS 10.92RU1 erfolgreich VPN Verbindungen mit dem Lancom Advanced VPN Client per OTP.
Das entspricht sehr exakt dieser Anleitung: https://knowledgebase.lancom-systems.de ... Cr+Windows
Problem: Wir möchten eine saubere Trennung zwischen Mitarbeitenden und externen Supportfirmen hinbekommen. Die im weiteren Verlauf in der nachgeschalteten LANCOM R&S®Unified Firewall anhand ihrer IP unterschiedlich behandelt werden.
Einziges Problem: Wie bewerkstellige ich es, dass ich zwei verschiedene IPv4 Pools betreiben kann? Im Eintrag VPN → IKEv2/IPSec → Verbindungs-Liste → DEFAUL Eintrag wird ja ein IPv4 Pool fest zugewiesen gemäß der Anleitung von oben. Momentan behelfen wir uns mit dem Radius-Attribute 'Framed-IP-Address', aber das hat den Nachteil, dass ich allen VPN-Clients einen Wert zuweisen muss, sonst erhalten Mitarbeitende zufällig die IP für externe Firmen. Irgendwann verliert man den Überblick, wenn man über 100 IP-Adressen fest vergibt. Das geht doch bestimmt eleganter, aber mir fehlt gerade die Phantasie...
Die Radius-Attribute: https://www.lancom-systems.de/docs/LCOS ... butes.html
Viele Grüße,
Bernie
Funktionierende Zwei-Faktor-Authentifizierung mit Advanced VPN Client: Wie 2 verschiedene IPv4 Pools?
Moderator: Lancom-Systems Moderatoren
-
Frühstücksdirektor
- Beiträge: 220
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: Funktionierende Zwei-Faktor-Authentifizierung mit Advanced VPN Client: Wie 2 verschiedene IPv4 Pools?
Hallo Bernie,
meine erste spontane Idee:
- konfiguriere einen allgemeinen IPv4-Adresspool
- nur bestimmte Clients erhalten auf dem RADIUS-Server eine Framed-IP-Address
So bekommt ein Client ohne Framed-IP-Address eine Adresse aus dem Pool.
Damit kombiniert man die Funktion der lokalen Konfiguration mit der RADIUS-Logik. So eine Logik gibt es an anderen Stellen im LCOS.
Bin mir aber nicht 100% sicher, ob das hier auch so klappt. Kommt auf einen Versuch an...
Edit:
https://www.lancom-systems.com/docs/LCO ... ikev2.html
Bei IKEv2 wird der "Framed-Pool" unterstützt. Das ist der Name des IKEv2-Address-Pools.
Damit sollte man auch einen anderen Pool wählen können als den mit der DEFAULT-Gegenstelle verknüpften.
Viele Grüße,
Frühstücksdirektor
meine erste spontane Idee:
- konfiguriere einen allgemeinen IPv4-Adresspool
- nur bestimmte Clients erhalten auf dem RADIUS-Server eine Framed-IP-Address
So bekommt ein Client ohne Framed-IP-Address eine Adresse aus dem Pool.
Damit kombiniert man die Funktion der lokalen Konfiguration mit der RADIUS-Logik. So eine Logik gibt es an anderen Stellen im LCOS.
Bin mir aber nicht 100% sicher, ob das hier auch so klappt. Kommt auf einen Versuch an...
Edit:
https://www.lancom-systems.com/docs/LCO ... ikev2.html
Bei IKEv2 wird der "Framed-Pool" unterstützt. Das ist der Name des IKEv2-Address-Pools.
Damit sollte man auch einen anderen Pool wählen können als den mit der DEFAULT-Gegenstelle verknüpften.
Viele Grüße,
Frühstücksdirektor