VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Alle allgemeinen Fragen zum VPN Thema.

Moderator: Lancom-Systems Moderatoren

Antworten
michl85
Beiträge: 3
Registriert: 23 Sep 2019, 06:38
Kontaktdaten:

VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von michl85 » 23 Sep 2019, 06:57

Hallo Freunde,

ich habe einen Lancom 17841VA mit Einwahlzugang über VPN mit Advanced VPN Client (Notebook) sowie ein Smartphone mit konfiguriertem VPN. Default-Route ins Internet über ETH-1 (Kabelmodem) passt.
Die Einwahl der VPN-Clients funktioniert seit Jahren einwandfrei.

Nur ist es so, dass ich seit dem ich die "Deny-All"-Strategie in der Firewall konfiguriert habe, vom VPN-Client aus nicht mehr über den Lancom ins Internet komme.
Da greift jedes Mal die Deny-All-Regel, egal was ich vorher freigebe.

Auch ist es so, dass ich ein zweites internes Netz habe. Auf dieses Netz speziell habe ich auch nochmal eine Deny-All-Regel drin (Deny all von any nach 2. Netz). Wenn ich die aktiviert habe, kann ich vom VPN-Client aus nicht auf das zweite interne Netz zugreifen - auch wenn ich vorher z. B. ALLOW-All für die VPN-Gegenstelle konfiguriere (allow all von vpn nach 2. Netz).

Meine Frage:
Was muss ich für die VPN-Clients einstellen, dass für sie "Allow"-Firewallregeln gelten?
Den Haken "Diese Regel wird für die Erzeugung von VPN-Netzbeziehungen (SA) verwendet" bei der Konfiguration der einzelnen Firewall-Regeln hatte ich schon aktiviert - brachte aber nichts.
Die Regelerzeugung bei den Einstellungen zur jeweiligen VPN-Gegenstelle habe ich auf "Manuell" stehen.

Es scheint mir so, als wenn das Problem mit den nicht-funktionierenden Allow-Firewall-Regeln nur bei VPN besteht. In den beiden internen Netzen funktionieren die Regeln.


Könnt ihr mir helfen?

Viele Grüße
Michael

ua
Beiträge: 465
Registriert: 29 Apr 2005, 12:29
Kontaktdaten:

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von ua » 23 Sep 2019, 12:50

Hi,
Den Haken "Diese Regel wird für die Erzeugung von VPN-Netzbeziehungen (SA) verwendet" bei der Konfiguration der einzelnen Firewall-Regeln hatte ich schon aktiviert - brachte aber nichts
Diese Einträge dienen nur der SA-Aushandlung für das VPN und haben nichts mit "normalen" Paketen zu tuen.

Bei Dir ist folgende, zusätzliche Regel nötig:

Permit <IP-Adresse VPN-Client (alternativ die "Station")> mit den gewünschten Quell-Ports/Protokollen (meist any) nach <Netzt 1 und/oder Netz 2> mit den gewünschten Ziel-Ports/Protokollen.

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...

michl85
Beiträge: 3
Registriert: 23 Sep 2019, 06:38
Kontaktdaten:

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von michl85 » 23 Sep 2019, 17:34

Hallo Udo!

Super! Vielen Dank für deine schnelle Hilfe!
Das wars!

Ich habe den IP-Adressbereich für die RAS-Einwahlteilnehmer als Quelle eingetragen - funktioniert!

Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss? Ich habe viele Anleitungen und KB-Artikel gelesen, konnte das aber wirklich nicht herausfinden... :oops:


Viele Grüße und nochmals besten Dank!
Michael

GrandDixence
Beiträge: 530
Registriert: 19 Aug 2014, 22:41

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von GrandDixence » 23 Sep 2019, 21:04

michl85 hat geschrieben:
23 Sep 2019, 17:34
Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss?
Siehe:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

backslash
Moderator
Moderator
Beiträge: 6000
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen
Kontaktdaten:

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von backslash » 24 Sep 2019, 18:34

Hi michl85,
Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss?
es sollte eigentlich auch mit der VPN-Gegenstelle funktionieren. es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat. Ab der nächsten Firmware (vermutlich 10.32RU1) sollte es wieder zuverlässig funktionieren...

Gruß
Backslash

michl85
Beiträge: 3
Registriert: 23 Sep 2019, 06:38
Kontaktdaten:

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von michl85 » 08 Okt 2019, 12:49

Hallo Backslash!
backslash hat geschrieben:
24 Sep 2019, 18:34

es sollte eigentlich auch mit der VPN-Gegenstelle funktionieren. es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat. Ab der nächsten Firmware (vermutlich 10.32RU1) sollte es wieder zuverlässig funktionieren...
Danke für die Info, das ist dann tatsächlich ein Bug.

Ich nutze momentan 10.30.0167RU1 vom 09.07.2019.
Da besteht das Problem noch. Aber wenn man es weiß, dass man z. B. die IP-Adressen anstatt der Gegenstellen eintragen muss, dann klappts wunderbar :wink:

Werde aber das neue LCOS bei Gelgenheit testen und kurz Bescheid geben.

Danke für euren super Support, das ist echt ein sehr interessantes Forum!

Viele Grüße
Michael

Benutzeravatar
Bernie137
Beiträge: 1670
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz
Kontaktdaten:

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von Bernie137 » 08 Okt 2019, 15:18

Hallo Backslash,
backslash hat geschrieben:
24 Sep 2019, 18:34
es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat.
Ja, das habe ich auch schon festgestellt, kann ich bestätigen. Mit den IP-Adressen geht es dann in der LCOS 10.30.0167RU1.

Gruß Bernie
Man lernt nie aus.

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag

Zurück zu „Fragen zum Thema VPN“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste