Hallo Leute,
wir setzen einen Lancom 1821+ in Verbindung mit Shrew-Soft-VPN-Clients ein. Das funktioniert soweit auch hervorragend.
Nun möchte ich einen VPN-Client so beschränken, dass dieser nur auf eine einzige IP-Adresse im LAN Zugriff erhält. Dazu hatte ich die Firewall-Regel, die der Assistent zum Erstellen neuer VPN-Benutzer erstellt, dahingehend angepasst, dass von Seiten der Firewall nur diese eine IP-Adresse zugelassen ist.
Im Shrew-Soft-Client kann ich auf dem Register "Policy" aber nur IP-Netze angeben oder sagen "Obtain Topology automatically or Tunnel All". Egal welche der beiden Varianten ich verwende, in Verbindung mit der oben beschriebenen Firewall-Regel bricht die VPN-Verbindung beim ersten Zugriffsversuch auf das Remote-Netz weg.
Für den einen oder anderen Tipps wäre ich sehr dankbar.
Viele Grüße,
Steffen
Shrew Soft-VPN-Client: Zugriff auf einzelne IP beschränken
Moderator: Lancom-Systems Moderatoren
Hi,
im ShrewSoft würde ich das Netz eintragen, in dem die zu erreichende IP liegt (es sei denn, du willst sämtlichen Verkehr über den Tunnel routen). Um den Zugriff dann zu beschränken, sollte eine zusätzliche Firewall-Regel Client -> Ziel-IP (allow) ein übriges tun (falls du auf dem Lancom eine deny-all-Regel hast)
im ShrewSoft würde ich das Netz eintragen, in dem die zu erreichende IP liegt (es sei denn, du willst sämtlichen Verkehr über den Tunnel routen). Um den Zugriff dann zu beschränken, sollte eine zusätzliche Firewall-Regel Client -> Ziel-IP (allow) ein übriges tun (falls du auf dem Lancom eine deny-all-Regel hast)
Hallo abc987,
das hatte ich schon versucht, also eine Regel, die zunächst alle Pakete an das betreffende Netz zurückweist und eine weitere Regel, die den Zugriff auf die gewünschte IP-Adresse zulässt. Auch mit den Prioritäten der Regeln habe ich experimentiert, alles ohne Erfolg. Auf dem Client zeigt sich immer das eingangs beschriebene Verhalten.
das hatte ich schon versucht, also eine Regel, die zunächst alle Pakete an das betreffende Netz zurückweist und eine weitere Regel, die den Zugriff auf die gewünschte IP-Adresse zulässt. Auch mit den Prioritäten der Regeln habe ich experimentiert, alles ohne Erfolg. Auf dem Client zeigt sich immer das eingangs beschriebene Verhalten.
Hmm, du meinst den Verbindungsabbruch? Passiert das auch, wenn du diese Einschränkungsversuche auf die eine IP weglässt? Vielleicht ist am Client was nicht richtig konfiguriert?
Hier gibt's 'ne gute Hilfe:
http://www.lancom-forum.de/lhtopic,4835,0,0,asc,.html
Hier gibt's 'ne gute Hilfe:
http://www.lancom-forum.de/lhtopic,4835,0,0,asc,.html
Ja, die Verbindung kommt zunächst zustande, wenn ich dann aber einen Ping an das entfernte Netz sende, disconnected sich der Shrew-Soft-Client wieder. Das Verhalten tritt aber nur auf, wenn ich eine IP-Beschränkung in der Firewall konfiguriere, ansonsten läuft das mit dem Shrew-Soft-Client seit Monaten problemlos. Wie in dem von die genannten HowTo beschrieben bin auch ich vorgegangen.
Ich bin nicht sicher, wie deine Regeln im Lancom aussehen. Daher habe ich das jetzt mal clientseitig ausprobiert:
- es lassen sich auch einzelne IPs eintragen: z.B. 192.168.1.1 Netmask 255.255.255.255
- wenn ich das tue, bricht bei mir auch die Verbindung ab
- es muss offensichtlich zusätzlich die interne IP des Lancom eingetragen werden
(möglicherweise hast du auch mit deinen Firewall-Regeln den Zugriff auf die interne IP des Lancom gesperrt, was vermutlich zu dem gleichen Verhalten (Abbruch) geführt hat)
- es lassen sich auch einzelne IPs eintragen: z.B. 192.168.1.1 Netmask 255.255.255.255
- wenn ich das tue, bricht bei mir auch die Verbindung ab
- es muss offensichtlich zusätzlich die interne IP des Lancom eingetragen werden
(möglicherweise hast du auch mit deinen Firewall-Regeln den Zugriff auf die interne IP des Lancom gesperrt, was vermutlich zu dem gleichen Verhalten (Abbruch) geführt hat)
Vielen Dank für Deine Hinweise, ich habe zu kompliziert gedacht. Es reicht, in der Firewall eine einzige Regel zu erstellen, die lediglich den Zugriff auf die eine gewünschte IP-Adresse freigibt. Wichtig ist dabei aber, dass man diese IP im Shrew-Soft-Client dann entsprechend Deinem Hinweis eintragen muss (z.B. 192.168.1.1 Netmask 255.255.255.255). Ich musste bei meinen Test weder in der Firewall noch im Client das ganze Netz oder die interne IP des Lancoms eintragen; wie gesagt, nur die "erlaubte" IP, die aber auf beiden Seiten.