VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
michl85
Beiträge: 5
Registriert: 23 Sep 2019, 06:38

VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von michl85 »

Hallo Freunde,

ich habe einen Lancom 17841VA mit Einwahlzugang über VPN mit Advanced VPN Client (Notebook) sowie ein Smartphone mit konfiguriertem VPN. Default-Route ins Internet über ETH-1 (Kabelmodem) passt.
Die Einwahl der VPN-Clients funktioniert seit Jahren einwandfrei.

Nur ist es so, dass ich seit dem ich die "Deny-All"-Strategie in der Firewall konfiguriert habe, vom VPN-Client aus nicht mehr über den Lancom ins Internet komme.
Da greift jedes Mal die Deny-All-Regel, egal was ich vorher freigebe.

Auch ist es so, dass ich ein zweites internes Netz habe. Auf dieses Netz speziell habe ich auch nochmal eine Deny-All-Regel drin (Deny all von any nach 2. Netz). Wenn ich die aktiviert habe, kann ich vom VPN-Client aus nicht auf das zweite interne Netz zugreifen - auch wenn ich vorher z. B. ALLOW-All für die VPN-Gegenstelle konfiguriere (allow all von vpn nach 2. Netz).

Meine Frage:
Was muss ich für die VPN-Clients einstellen, dass für sie "Allow"-Firewallregeln gelten?
Den Haken "Diese Regel wird für die Erzeugung von VPN-Netzbeziehungen (SA) verwendet" bei der Konfiguration der einzelnen Firewall-Regeln hatte ich schon aktiviert - brachte aber nichts.
Die Regelerzeugung bei den Einstellungen zur jeweiligen VPN-Gegenstelle habe ich auf "Manuell" stehen.

Es scheint mir so, als wenn das Problem mit den nicht-funktionierenden Allow-Firewall-Regeln nur bei VPN besteht. In den beiden internen Netzen funktionieren die Regeln.


Könnt ihr mir helfen?

Viele Grüße
Michael
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von ua »

Hi,
Den Haken "Diese Regel wird für die Erzeugung von VPN-Netzbeziehungen (SA) verwendet" bei der Konfiguration der einzelnen Firewall-Regeln hatte ich schon aktiviert - brachte aber nichts
Diese Einträge dienen nur der SA-Aushandlung für das VPN und haben nichts mit "normalen" Paketen zu tuen.

Bei Dir ist folgende, zusätzliche Regel nötig:

Permit <IP-Adresse VPN-Client (alternativ die "Station")> mit den gewünschten Quell-Ports/Protokollen (meist any) nach <Netzt 1 und/oder Netz 2> mit den gewünschten Ziel-Ports/Protokollen.

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
michl85
Beiträge: 5
Registriert: 23 Sep 2019, 06:38

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von michl85 »

Hallo Udo!

Super! Vielen Dank für deine schnelle Hilfe!
Das wars!

Ich habe den IP-Adressbereich für die RAS-Einwahlteilnehmer als Quelle eingetragen - funktioniert!

Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss? Ich habe viele Anleitungen und KB-Artikel gelesen, konnte das aber wirklich nicht herausfinden... :oops:


Viele Grüße und nochmals besten Dank!
Michael
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von GrandDixence »

michl85 hat geschrieben: 23 Sep 2019, 17:34 Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss?
Siehe:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von backslash »

Hi michl85,
Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss?
es sollte eigentlich auch mit der VPN-Gegenstelle funktionieren. es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat. Ab der nächsten Firmware (vermutlich 10.32RU1) sollte es wieder zuverlässig funktionieren...

Gruß
Backslash
michl85
Beiträge: 5
Registriert: 23 Sep 2019, 06:38

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von michl85 »

Hallo Backslash!
backslash hat geschrieben: 24 Sep 2019, 18:34
es sollte eigentlich auch mit der VPN-Gegenstelle funktionieren. es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat. Ab der nächsten Firmware (vermutlich 10.32RU1) sollte es wieder zuverlässig funktionieren...
Danke für die Info, das ist dann tatsächlich ein Bug.

Ich nutze momentan 10.30.0167RU1 vom 09.07.2019.
Da besteht das Problem noch. Aber wenn man es weiß, dass man z. B. die IP-Adressen anstatt der Gegenstellen eintragen muss, dann klappts wunderbar :wink:

Werde aber das neue LCOS bei Gelgenheit testen und kurz Bescheid geben.

Danke für euren super Support, das ist echt ein sehr interessantes Forum!

Viele Grüße
Michael
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht

Beitrag von Bernie137 »

Hallo Backslash,
backslash hat geschrieben: 24 Sep 2019, 18:34 es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat.
Ja, das habe ich auch schon festgestellt, kann ich bestätigen. Mit den IP-Adressen geht es dann in der LCOS 10.30.0167RU1.

Gruß Bernie
Man lernt nie aus.
Antworten