VPN mit Android-Handys

[frankweier]

Hallo zusammen,

in unserer Firma wollen wir ein System testen mit dem die Baustellenleiter die Möglichkeit haben, vor Ort auf der Baustelle, die Stundenzettel der jeweiligen Mitarbeiter an ein System in unserer Firma zu übertragen. Dazu steht im lokalen LAN unserer Firma ein Web-Proxy der die Anfragen entgegen nimmt und an eine Datenbank auf einem anderen Server überträgt.

Die Verbindung in unser LAN habe ich per VPN (mit Android-Handys) realisiert. Dieser Teil funktioniert auch mittlerweile, allerdings können die Mitarbeiter auf das ganze LAN zugreifen. Wie kann ich es anstellen, das diese nur Zugrifff auf den Web-Proxy bekommen und sonst mit keinem anderen System im Netz?
Ausserdem suche ich noch nach einer Möglichkeit die VPN-Verbindung automatisch zu trennen, wenn nach ca. 10 Min. kein Datenverkehr mehr stattfindet.

Als VPN benutzen wir einen Lancom 1631E (soll demnächst ersetzt werden, da min. 10 VPN-Zugriffe nötig sind.
Im Netz befindet sich ausserdem ein GS-2326+.

Vielen Dank im Voraus und
viele Grüße
Frank

[tobiasr]

Eigentlich reicht es schon, wenn in der VPN SA (ab Firmware ca. 10.40 IPv4 Regel unter VPN->Allgemein statt Firewall-VPN-SA genannt) nur entsprechend den lokalen Webproxy beinhaltet.

Wenn du die Haltezeit auf 600 Sekunden statt 9999 stellst, sollte er eigentlich auch die Verbindung trennen.

[frankweier]

Hallo @tobiasr,

-- Erstmal vielen Dank für die schnelle Antwort --

aber
auch mit dieser Einstellung funktioniert es nicht...

Ich habe mal alle entspr. Regeln für VPN aus der Firewall/QoS entfernt und nur in VPN->Allgemein->Netzwerkregeln
unter IPv4-Regeln den Server (192.168.x.x/255.255.255.0) als lokales Netzwerk eingetragen.
Trotzdem kann ich mich mit anderen Geräten im LAN verbinden.

Die Sache mit der Haltezeit scheint allerdings zu funktionieren (teste gerade noch).

[tobiasr]

Du hast doch auch das ganze Netz mit allen 255 Adressen angegeben. Wenn du nur den Server haben willst, musst auch nur den Server eintragen. Sieht dann entweder 192.168.5.6/32 oder 192.168.5.6/255.255.255.255 aus. Weiß gerade nicht, in welchem Format er die Netzmaske haben will.

[frankweier]

Mmh,

habe die IP-Adresse nun auf 192.168.x.x/32 geändert mit dem Ergebnis:
die VPN-Verbindung funktioniert zwar, ich komme nun aber gar nicht mehr auf den Web-Proxy... Dieser wird mit dem Namen aufgerufen. Ich habe daraufhin den DNS-Server ebenfalls in die IPv4-Regeln aufgenommen. Habe dann eine Regel-Gruppe mit diesen beiden Einträgen erstellt und diese der VPN-Verbindung zugewiesen. Auch ohne Erfolg. Jetzt komme ich zwar auf den DNS-Server, aber nicht weiter...

[UKernchen]

Ich mache das über die IPv4-Regeln pro Verbindung.
Da gehen einzelne Stationen oder Subnetze.

[frankweier]

Hallo @UKernchen,

auch hiermit habe ich leider keinen Erfolg. Ich habe lt. dem Schema den DNS-Server und den Web-Proxy eingetragen. Im Browser des Handys erscheint nach einiger Zeit immer die Meldung:
Die DNS-Adresse von webproxy.xxx.local wurde nicht gefunden... --> DNS_PROBE_STARTED --> DNS_PROBE_FINISHED_NO_INTERNET

Anfangs habe ich das ganze über Firewall/QoS Regeln (Haken bei VPN/SA gesetzt) gemacht. Eine Regel um den DNS-Zugriff zu erlauben und eine Regel um den Zugriff auf den Web-Proxy zu erlauben.
Damit kam ich zumindest auf den Web-Proxy (per Name), allerdings auch auf alle anderen Server im Netz.
Eine zusätzliche DENY-Regel mit dem restlichen Netzwerkbereichen hatte keinerlei Auswirkung.

@tobiasr
Das mit der Haltezeit funktioniert nun einwandfrei - Danke

[Hagen2000]

Dein erster Ansatz gefällt mir besser.
Die VPN Netzwerkregeln sollten m.E. der VPN-Konfiguration entsprechen, also bei einer Client-To-Site Kopplung auch das ganze Netzwerk enthalten. Dann können sie wahrscheinlich auch auf „automatisch“ stehen und Du brauchst keine separaten Regeln konfigurieren.

Über die Firewall erlaubst Du die gewünschten Zugriffe.
Mit einer Deny-All-Regel für alle sonstigen Pakete, die über VPN (Haken „nur für VPN-Route“) kommen, kannst Du den Rest deines Netzes sperren.
Beim DNS gibt es noch eine Stolperfalle, in die ich selbst erst kürzlich gelaufen bin:

fragen-zum-thema-vpn-f14/blockierende-a ... ml#p116219

[frankweier]

So,

habe nun nach einigen erfolglosen/erfolgreichen Tests die folgende Konfiguration:

ALLOW_VPN_DNS - Quelle: VPN - Quelldienst: DNS - Ziel: Beliebig - Ziel-Dienst: DNS - Aktion: übertragen
ALLOW_VPN_WEB - VPN - HTTP, HTTPS - WEB-PROXY - HTTP, HTTPS - übertragen
DENY_VPN_INTRANET - VPN - Alle - IP-Bereiche - Alle - Zurückweisen

Bei allen drei Regeln ist der Haken für VPN/SA gesetzt.
Kann man bei diesen Regeln was optimieren?

Mit dieser Einstellung kommen die Handys auf den Webproxy und können arbeiten. Der Zugriff auf andere Server wird abgewiesen. Ledigilich der DNS-Server ist auch per HTTP/HTTPS aufrufbar (Ist ein Univention Corporate Server - mit einer Weboberfläche).
Jetzt suche ich nur noch nach einer Einstellung, damit die VPNs sich auch nur noch per DNS-Protokoll mit diesem Server verbinden können...

Danke für die hilfreichen Tipps

[Hagen2000]

Also die Spalte mit den Quelldiensten musst Du eigentlich stets auf "Alle" stellen, denn die Quell-Portnummern zählen ja dynamisch hoch. Es wundert mich gerade, dass es so überhaupt funktioniert.
Warum die Clients noch auf den DNS-Server per HTTP(S) zugreifen können, erschließt sich mit auch nicht, aber mit show filter (über die Web-Oberfläche unter "Extras" oder eben per SSH auf den Router) kannst Du dir die resultierende Filter-Liste anzeigen lassen.