Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
czyk0ne
Beiträge: 4
Registriert: 31 Okt 2019, 19:04

Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Beitrag von czyk0ne »

Hallo,

ich möchte wie im KB
https://www2.lancom.de/kb.nsf/1275/0CD3 ... enDocument
zwei "lokale" Adressen von der Gegenstelle (Initator) erreichen.

Nun ist bei mir das VPN nur mit einer SA erstellt worden. DIe Regelerzeugung steht auf automatisch.

Jetzt finde ich verschieden Dokumentationen:
1. manuelle Regelerzeugung und IPV4-Regeln erstellen
2. Firewall Regeln welche für die VPN (SA) benötigt werden erstellen

Welche Variante ist denn zu wählen ?
Im Lancom KB steht auch:
bei manueller Regelerzeugung im Responder-Router eine Firewall VPN-Regel für zweites Netz anlegen, oder, je nach Konfiguration die Netzwerk-Regel in der Konfiguration der VPN-Verbindung anpassen.
Von welcher "Konfiguration" ist dies denn abhängig ?
Kann mir dies ein versiertert Lancom-Nutzer erklären.

Das gewünschte Ziel ist es 2 Netze am Lancom per VPN auf der Gegenseite zu benutzen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Beitrag von Jirka »

Hallo,

haben die zwei lokalen Netze denn beide das Schnittstellen-Tag 0? Dann brauchst Du nur auf der Seite mit dem einen Netz eine entsprechende Route in der IP-Routing-Tabelle auf das zweite Netz erstellen. Dazu nimmst du am besten die bereits vorhandene Route zu dem einen Netz, drückst kopieren, passt die Netzwerkadresse an und drückst dann ok.

Viele Grüße,
Jirka
czyk0ne
Beiträge: 4
Registriert: 31 Okt 2019, 19:04

Re: Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Beitrag von czyk0ne »

Moin,

in diesem Fall liegen die beiden Netze nicht auf dem Lancom-Router.
Hier die Ausgangssituation:

Netz 1: Lancom ETH1 192.168.66.0/24 - 192.168.66.254
Netz 2: Cisco INT7 192.168.65.0/24 - 192.168.65.1.
Der Cisco hat ein Bein im Lancom Netz INT6 mit 192.168.66.1

Der Lancom baut das VPN mit dem Kunden auf. Der Kunde ist Initatior und möchte das 192.168.65.116 erreichen.
Der Kunde hat 192.168.64.0/24.

Routen wie folgt:
Lancom: 192.168.64.0/24 -> VPN-KUNDEN-GW
Lancom: 192.168.65.0/24 -> 192.168.66.1

Cisco: 0.0.0.0/0.0.0.0 -> 192.168.66.254 (WAN-Route)
Cisco 192.168.65.0 <-> 192.168.66.0 bereits durch "connected" geroutet.
FW Seitig darf der Cisco zum Lancom.
Ein weiteres Netz auf dem Cisco realisiert ein "Gäste-WLAN" das funktioniert auch über den Lancom geroutet.

In die SAs muss das Zweite Netz rein. Der Kunde hat auf seine Seite einmal das 192.168.65.0/24 und einmal das 192.168.66.0/24 in Phase 2 eingetragen. (Checkpoint Firewall).

Muss ich nun eine IPv4-VPN Regel oder eine Firewall(SA)-Regeln erstellen ?
Was macht das eine anders als das andere ?
Wenn ich in der Firewall nur die default Konfig habe - kann ich mich durch eine Firewall(SA)-Regel aussperren ?

Im zweifel ausprobieren - würde nur gern den Unterschied verstehen ?

Gruß czyk0ne
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Beitrag von Jirka »

czyk0ne hat geschrieben: 03 Nov 2019, 10:09Muss ich nun eine IPv4-VPN Regel oder eine Firewall(SA)-Regeln erstellen ?
Das ist egal.
czyk0ne hat geschrieben: 03 Nov 2019, 10:09Was macht das eine anders als das andere ?
Das in der Firewall ist das ältere Konzept. Früher ging das nur dort. Die VPN-Regelliste (Netzwerk-Regeln) gibt es erst seit wenigen Jahren. Da wäre es vielleicht etwas sauberer getrennt von dem anderen und etwas besser strukturierbar (Regeln/Regelliste).
czyk0ne hat geschrieben: 03 Nov 2019, 10:09Wenn ich in der Firewall nur die default Konfig habe - kann ich mich durch eine Firewall(SA)-Regel aussperren ?
VPN-mäßig natürlich schon, wenn sie falsch ist. Aus dem Internet aber nicht, wenn nur der Haken bei SAs drin ist und für die Firewall aktiv eben nicht drin ist.

In diesem Fall, das war ja anfangs überhaupt nicht so sauber dargestellt, geht auf alle Fälle nur manuelle Regelerzeugung, weil die Automatik das so nicht erkennen kann.

Viele Grüße,
Jirka
czyk0ne
Beiträge: 4
Registriert: 31 Okt 2019, 19:04

Re: Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Beitrag von czyk0ne »

Hallo,

das ist dann mal verständlich warum Lancom zwei Möglich Wege beschreibt.
"Alt und Neu"

Ok - dann werde ich mir einfach mal den WAN-Port https zugänlgich machen und baue dann eine VPN-Regel mit manueller Regelerzeugung.

Da dürfte dann ja nichts scheif gehen - und ich kann mich nicht aussperren :)

Vielen dank für die Info.
Gruß
czyk0ne
Beiträge: 4
Registriert: 31 Okt 2019, 19:04

Re: Unterscheid:VPN Regel oder Firewall(VPN)-Regel

Beitrag von czyk0ne »

Hallo,
zur Vollständigkeit:

Das hinzufügen einer Netzwerk-Regel (VPN->Allgemein->IPv4-Regeln...) mit zwei Netzen als lokales Netze 192.168.64.0/24, 192.168.65.0/24 hat funktoniert. Innerhalb des VPNS habe ich dann die Regelerzeugung auf manuell gestellt und meine erstellte Regeln hinzugfeügt.
Nach erneutem Aufbau passt das. Ich habe dann auch im "show vpn" zwei SAs.

Vielen Dank.
Antworten