Hallo ins Forum,
ich habe einige Standortkopplungen mit LC1781 am Laufen.
Generiert habe ich sie jeweils über den Assistenten und bin seit Jahren sehr zufrieden damit.
Das ist natürlich eine sehr oberflächliche Herangehensweise aber es war eben sehr bequem.
Nun muß ich mich näher damit befassen, weil ich nicht mehr will, daß alle Hosts im "Remote-Netzwerk" auf die "Zentrale" zugreifen können.
Ich möchte das limitieren und den "Zentrale-LC" so konfigurieren , daß nur ganz bestimmte IP-Adressen aus dem Remote-LAN auf die Zentrale zugreifen können. Am besten so, daß die bestehenden Tunnel bestehen bleiben können.
Wie muß ich das "anfassen".
Danke und viele Grüße!
Jens
Standortkopplung nur für einzelne Remote-Hosts
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 15
- Registriert: 01 Jan 2017, 15:22
Re: Standortkopplung nur für einzelne Remote-Hosts
Hi klickibunti,
Entweder einmal in der Zentrale oder - wenn du unnötigen Traffic bereits verhindern willst - einen passenden Satz in jeder Filiale.
Gruß
Backslash
dazu brauchst du eigentlich nur zwei Firewallregeln... Eine, die den Traffic aus den Filialen in die Zentrale komplett verbietet und eine, die den gewünschten Hosts den Zugriff auf die Zentrale erlaubt...Wie muß ich das "anfassen".
Entweder einmal in der Zentrale oder - wenn du unnötigen Traffic bereits verhindern willst - einen passenden Satz in jeder Filiale.
Gruß
Backslash
-
- Beiträge: 15
- Registriert: 01 Jan 2017, 15:22
Re: Standortkopplung nur für einzelne Remote-Hosts
Danke Backslash.
Leider fehlt mir dazu der konkrete technische Background.
Ich kann die LC nur anfassen, wenn ich genau weiß was ich tue (und das ist in diesem Fall nicht so).
Sie sind alle im täglichen Dauereinsatz und ich kann dabei ohne einen konkreten (!!) Plan nichts (mit Halbwissen) "probieren".
Gibt es dazu einen Link mit weiteren Informationen oder ein HowTo von LC?
Die LC Assistenten funktionieren für mich so gut, daß ich die "Handarbeit" etwas aus den Augen verloren habe.
Vielleicht sollte ich mir ggf. einen Testtunnel mit zwei LC (zu Hause+Firma) aufbauen.....
Leider fehlt mir dazu der konkrete technische Background.
Ich kann die LC nur anfassen, wenn ich genau weiß was ich tue (und das ist in diesem Fall nicht so).
Sie sind alle im täglichen Dauereinsatz und ich kann dabei ohne einen konkreten (!!) Plan nichts (mit Halbwissen) "probieren".
Gibt es dazu einen Link mit weiteren Informationen oder ein HowTo von LC?
Die LC Assistenten funktionieren für mich so gut, daß ich die "Handarbeit" etwas aus den Augen verloren habe.
Vielleicht sollte ich mir ggf. einen Testtunnel mit zwei LC (zu Hause+Firma) aufbauen.....
Re: Standortkopplung nur für einzelne Remote-Hosts
Hi klickibunti
OK hier eine Schritt für Schritt Anleitung:
als estes legst du Stations-Objekte für die Zentrale und die erlaubten Rechner an:
Firewall/Qos -> IPv4-Regeln -> Stations-Objekte -> Hinzufügen:
und dann legst du die beiden Firewallregeln an
Firewall/Qos -> IPv4-Regeln -> Regeln -> Hinzufügen:
fertig
Gruß
Backslash
OK hier eine Schritt für Schritt Anleitung:
als estes legst du Stations-Objekte für die Zentrale und die erlaubten Rechner an:
Firewall/Qos -> IPv4-Regeln -> Stations-Objekte -> Hinzufügen:
Code: Alles auswählen
-> Name des Objekts: NET-ZENTRALE
-> Stationen
-> Hinzufügen
(*) Eine ganzes IP-Netzwerk
IP-Adresse: Netzadresse der Zentrale
Netzmaske: Netzmaske der Zentrale
Code: Alles auswählen
-> Name des Objekts: ALLOWED-HOSTS
-> Stationen
-> Hinzufügen (für jede Adresse wiederholen)
(*) Eine IP-Adresse oder eion Bereich von Adressen
Von IP-Adresse <IP-Adresse eines erlaubten Rechners>
Bis IP-Adresse <leer>
Firewall/Qos -> IPv4-Regeln -> Regeln -> Hinzufügen:
Code: Alles auswählen
-> Name: DENY-ZENTRALE
-> Aktion: REJECT
-> Stationen: Quelle: (*) Verbindungen von allen Stationen
Ziel: (*) Verbindungen an folgende Stationen:
-> Hinzufügen -> NET-ZENTRALE
Dinste: alle Protokolle/Dienste
Code: Alles auswählen
Name: ALLOW-ZENTRALE
Aktion: ACCEPT
Stationen: Quelle: (*) Verbindungen con folgende Stationen:
-> Hinzufügen -> ALLOWED-HOSTS
Ziel: (*) Verbindungen an folgende Stationen:
-> Hinzufügen -> NET-ZENTRALE
Dinste: alle Protokolle/Dienste
Gruß
Backslash