VPN-Client auf bestimmtes Netz beschränken

[retrofreak]

Hallo zusammen,

ich habe in meinem Lancom 1781VA im wesentlichen folgendes Setup:

IP-Netz "INTERN", 192.168.10.0/23, Schnittstellen-Tag 0
IP-Netz "MITARBEITER", 192.168.20.0/23, Schnittstellen-Tag 20

Ich habe mehrere VPN-Clients eingerichtet (IKEv1), die auf alle Netze zugreifen dürfen sollen.

Nun möchte ich weitere VPN-Clients einrichten, die auf das Mitarbeiter-Netz beschränkt sind.

Ich dachte, es würde - wie lokal auch -, genügen, den Verbindungen das Tag 20 zu geben. Aber der Client hat Zugriff auf alle Netze.
So richtig schlau bin ich aus den Feldern in LANConfig nicht geworden; muss ich in dem Fall per Firewall die Pakete, die vom VPN-Client kommen, noch explizit markieren?

Mit entsprechenden Firewall-Regeln konnte ich jedenfalls den Zugriff dann letztlich einschränken, aber gibt es nicht einen eleganten Weg, dass die Netzbeziehung zu dem Client direkt so eingeschränkt eingerichtet wird, dass sie nur für das Mitarbeiter-Netz gilt?

[backslash]

hi retrofreak,

Ich dachte, es würde - wie lokal auch -, genügen, den Verbindungen das Tag 20 zu geben. Aber der Client hat Zugriff auf alle Netze.

das sollte auch ausreichen - wo hast du denn tas Tag vergeben?
Du muß es in der WAN-Tag-Tabelle (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle) setzen. Wenn du den eingeschränkten Cliente dann noch einen "gemeinamen" Namensteil gibst, dann kannst du da sogar Wildcards nutzen

Gruß
Backslash

[retrofreak]

Hallo Backslash,

es hat leider etwas gedauert, bis ich mich dem Thema wieder widmen konnte.

wo hast du denn das Tag vergeben?

In IPv4-Routing-Tabelle und der VPN-Verbindungsliste.

In der WAN-Tag-Tabelle stand bisher nichts drin, das habe ich nachgeholt, jetzt klappt's

Die Sache mit den Wildcards ist ein guter Hinweis, danke!