Hallo,
kann ich eine VPn-Verbindung dahingehend einschränken das der "Einwähler" nur Zugriff auf eine bestimmte IP-Adresse im LAN hat und nicht alles mögliche sehen kann?
thx
NW
VPN-Tunnel nur an bestimmte IP-Adresse
Moderator: Lancom-Systems Moderatoren
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
Hi Netzverwalter,
am einfachsten geht das mit einer Deny-All-Regel und dann speziellen Allow-Regeln, für alles, was erlaubt sein soll:
Gruß
Backslash
am einfachsten geht das mit einer Deny-All-Regel und dann speziellen Allow-Regeln, für alles, was erlaubt sein soll:
Code: Alles auswählen
Name: ALLOW
Aktion: übertragen
Quelle: VPN-Gegenstelle
Ziel: IP(s) die erlaubt sein soll(en)
Dienste: alle Dienste oder Dienste, die erlaubt sein sollen
Name: DENY
Aktion: zurückweisen
Quelle: VPN-Gegenstelle
Ziel: alle Stationen
Dienste: alle Dienste
Backslash
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
Hmm,
das hilfr mir jetzt leider nicht weiter. Bin absoluter Newbie in sachen LANCOM
Habe hier den LANconfig installiert . . . .
Doppelklick auf den Router bringt eine neues Fenster mit KONFIGURATION
Hier gibts nen Unterpunkt FIREWALL/QoS
Darunter dann einen mit REGELN - hier dann ein Button mit REGELN
Da sehe ich dann die Verbindungen die ich mit dem Wizard erstellt habe . . . weiss aber nicht was ich hier jetzt einrichten soll?!
Möchte gerne das die Verbindung WIZ_VPN-Home nur auf den Server an 172.20.20.1 mit RDP zugreifen kann.
H I L F E !
das hilfr mir jetzt leider nicht weiter. Bin absoluter Newbie in sachen LANCOM
Habe hier den LANconfig installiert . . . .
Doppelklick auf den Router bringt eine neues Fenster mit KONFIGURATION
Hier gibts nen Unterpunkt FIREWALL/QoS
Darunter dann einen mit REGELN - hier dann ein Button mit REGELN
Da sehe ich dann die Verbindungen die ich mit dem Wizard erstellt habe . . . weiss aber nicht was ich hier jetzt einrichten soll?!
Möchte gerne das die Verbindung WIZ_VPN-Home nur auf den Server an 172.20.20.1 mit RDP zugreifen kann.
H I L F E !
Hallo Netzverwalter,
hier ne kleine Anleitung,
sonst einfach so machen wie backslash beschrieben hat
http://www2.lancom.de/kb.nsf/1275/DD08B ... enDocument
Gruß ...
hier ne kleine Anleitung,
sonst einfach so machen wie backslash beschrieben hat
http://www2.lancom.de/kb.nsf/1275/DD08B ... enDocument
Gruß ...
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
Hmmm . . . das ist schon ganz nett, auch wenn ich es wohl nicht vollständig verstanden habe. Wenn ich das richtig lese ist es so das ich Geräten HINTER der Firewall bestimmte Dinge erlauben oder verbieten kann. Soweit so gut. Aber ich habe hier ca. 20 Geräte die was ins WAN/LAN etc. können sollen. Muss ich die ALLLE in der Firewall konfigurieren?
Ich möchte gerne das jemand der mit dem Lancom-Client sich einwählt nur auf einen Server und nur auf den Dienst RDP zugreifen kann. Sowas kann man doch bestimmt auch irgendwie einstellen.
Also nicht allen (20) Geräten alles verbieten, sondern nur einem Einwähler bestimmte Dinge erlauben.
Das ist doch Objektorientiert. Wie kann ich dem Objekt VPN-Einwähler nur eine funktion erlauben????
Danke für eure Mühe . . . . ich bin das totale Greenhorn
Ich möchte gerne das jemand der mit dem Lancom-Client sich einwählt nur auf einen Server und nur auf den Dienst RDP zugreifen kann. Sowas kann man doch bestimmt auch irgendwie einstellen.
Also nicht allen (20) Geräten alles verbieten, sondern nur einem Einwähler bestimmte Dinge erlauben.
Das ist doch Objektorientiert. Wie kann ich dem Objekt VPN-Einwähler nur eine funktion erlauben????
Danke für eure Mühe . . . . ich bin das totale Greenhorn
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
Hallo "Netzverwalter",
ein bischen Eigeninitiative ist hier glaub ich schon gefragt.
Einfach mal auf die Lancomseite unter Hilfe *Firewall* eingeben, da werden Sie geholfen.
Dann überlegst Du ob Du die richtige Frage gestellt hast zu unseren Antworten....
Nicht böse gemeint nur wenn Du nicht weist was Du erreichen willst dann können wir es auch nicht !
Mach dir eine Sicherung vom IST-Zustand und dann schaust Du was Backslash oben geschrieben hat zu den Regeln, wenn Du parralell noch unter Firewall eine neue Regel erzeugst werden Dir dort auch der ein oder andere Begriff wieder unterkommen
Viel Spass beim üben ! Wenn Du dann nicht weiter kommst dann haben wir auch eine Grundlage . OK !
Gruss ...
ein bischen Eigeninitiative ist hier glaub ich schon gefragt.
Einfach mal auf die Lancomseite unter Hilfe *Firewall* eingeben, da werden Sie geholfen.
Dann überlegst Du ob Du die richtige Frage gestellt hast zu unseren Antworten....
Nicht böse gemeint nur wenn Du nicht weist was Du erreichen willst dann können wir es auch nicht !
Mach dir eine Sicherung vom IST-Zustand und dann schaust Du was Backslash oben geschrieben hat zu den Regeln, wenn Du parralell noch unter Firewall eine neue Regel erzeugst werden Dir dort auch der ein oder andere Begriff wieder unterkommen
Viel Spass beim üben ! Wenn Du dann nicht weiter kommst dann haben wir auch eine Grundlage . OK !
Gruss ...
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
Hallo zusammen,
danke für den Versuch mir zu helfen.
Ich habe jetzt mal angefangen die Firewall zu konfigurieren. Was habe ich gemacht:
Erstmal eine "Alles verbieten" - Regel erstellt, was auch funktioniert. Jetzt kommt niemand mehr ins Internet, Mail, FTP etc. pp.
Dann habe ich mehrere "Erlaube-etwas" - Regeln gemacht. Auch das funktioniert. Man kann wieder surfen, mailen etc. pp.
Aber jetzt zu meinem WIRKLICH ernsthaften Verständnisproblem:
Alle diese Regeln wirken ja von INNEN nach AUSSEN, soll heißen das ich jedem einzelnen Client in der firewall sagen kann was er darf und was eben nicht.
Soweit habe ich das mit der Firewall verstanden, aber es ist nicht das was ich eigentlich machen will. Ich möchte einem von AUSSEN kommenden Client nur einen bestimmten Dienst auf einem bestimmten Client zur Verfügung stellen.
Ich könnte natürlich jetzt JEDEN Client in der Firewall anlegen und ihm bestimmte Dinge erlauben oder verbieten, aber das ist bei der Menge der Clients einfach ein riesiger Aufwand.
Also nochmal meine Bitte: Wie stelle ich das ein das ein bestimmter VPN-Client nur an einen bestimmten Porteines bestimmten Client zugreifen kann?
Und noch ne Frage. Kann ich z.B. FTP auch ohne einen VPN-Tunnel verwenden?
Gruß
Netzverwalter
danke für den Versuch mir zu helfen.
Ich habe jetzt mal angefangen die Firewall zu konfigurieren. Was habe ich gemacht:
Erstmal eine "Alles verbieten" - Regel erstellt, was auch funktioniert. Jetzt kommt niemand mehr ins Internet, Mail, FTP etc. pp.
Dann habe ich mehrere "Erlaube-etwas" - Regeln gemacht. Auch das funktioniert. Man kann wieder surfen, mailen etc. pp.
Aber jetzt zu meinem WIRKLICH ernsthaften Verständnisproblem:
Alle diese Regeln wirken ja von INNEN nach AUSSEN, soll heißen das ich jedem einzelnen Client in der firewall sagen kann was er darf und was eben nicht.
Soweit habe ich das mit der Firewall verstanden, aber es ist nicht das was ich eigentlich machen will. Ich möchte einem von AUSSEN kommenden Client nur einen bestimmten Dienst auf einem bestimmten Client zur Verfügung stellen.
Ich könnte natürlich jetzt JEDEN Client in der Firewall anlegen und ihm bestimmte Dinge erlauben oder verbieten, aber das ist bei der Menge der Clients einfach ein riesiger Aufwand.
Also nochmal meine Bitte: Wie stelle ich das ein das ein bestimmter VPN-Client nur an einen bestimmten Porteines bestimmten Client zugreifen kann?
Und noch ne Frage. Kann ich z.B. FTP auch ohne einen VPN-Tunnel verwenden?
Gruß
Netzverwalter
Hi Netzverwalter
Gruß
Backlsash
nein... Die Regeln wirken von der QUELLE zum ZIEL...Alle diese Regeln wirken ja von INNEN nach AUSSEN,
setze den von aussen kommenden Client als QUELLE und den Server, der den Dienst anbietet, als ZIEL... und schon kommst du zu der ALLOW-Regel in meinem ersten Posting...Ich möchte einem von AUSSEN kommenden Client nur einen bestimmten Dienst auf einem bestimmten Client zur Verfügung stellen.
Gruß
Backlsash
-
Netzverwalter
- Beiträge: 7
- Registriert: 20 Apr 2011, 10:29
Das klappt hier alles nicht - hab jetzt mal alles an regeln etc. rausgeschmissen. Einzig diese hier schon vorgegebene WINS-regel ist noch da.
Dann geh ich auf Firewall/QoS->Regeln->Regeln->Hinzufügen
Name dieser Regel: RDP-ALLOW -> Haken bei "Diese regel ist für Fire......" und "Diese Regel hält die verbindungs...."
Aktionen: Objekt - ACCEPT --- Trigger - SOFORT --- Aktion - Übertragen
QoS: nix eingestellt
Stationen: Verbindungsquelle: Verbindung von folgenden...: Gegenstelle XYZ
Verbindungsziel: Verbindung an folgende ....: IP-Adresse:xxx.xxx.xxx.xxx
Dienste: alles auf alles
Was passiert? Der Advance VPN Client baut keine Verbindung mehr auf und bricht mit dem Fehler "VPN-Gateway antwortet nicht - warte auf MSG2" ab.
Was mach ich falsch?
Dann geh ich auf Firewall/QoS->Regeln->Regeln->Hinzufügen
Name dieser Regel: RDP-ALLOW -> Haken bei "Diese regel ist für Fire......" und "Diese Regel hält die verbindungs...."
Aktionen: Objekt - ACCEPT --- Trigger - SOFORT --- Aktion - Übertragen
QoS: nix eingestellt
Stationen: Verbindungsquelle: Verbindung von folgenden...: Gegenstelle XYZ
Verbindungsziel: Verbindung an folgende ....: IP-Adresse:xxx.xxx.xxx.xxx
Dienste: alles auf alles
Was passiert? Der Advance VPN Client baut keine Verbindung mehr auf und bricht mit dem Fehler "VPN-Gateway antwortet nicht - warte auf MSG2" ab.
Was mach ich falsch?
Hi Netzverwalter
während des VPN-Verbidnungsaufbaus ist die Firewall überhaupt nicht im Spiel. Da redet der AVC direkt mit dem LANCOM und die Firewall ist aussen vor... Abgesehen davon: wenn du nur die Allow- ohne zusätzliche Deny-Regel hinzufügst, dann ändert sich eh nichts - alles ist erlaubt, bis auf NetBIOS...
Da mußt du erstmal schauen, warum die VPN-Verbindung nicht aufgebaut wird. bevor du dich an die Firewal begibst... Mach mal einem VPN-Status-Trace
Gruß
Backslash
während des VPN-Verbidnungsaufbaus ist die Firewall überhaupt nicht im Spiel. Da redet der AVC direkt mit dem LANCOM und die Firewall ist aussen vor... Abgesehen davon: wenn du nur die Allow- ohne zusätzliche Deny-Regel hinzufügst, dann ändert sich eh nichts - alles ist erlaubt, bis auf NetBIOS...
Da mußt du erstmal schauen, warum die VPN-Verbindung nicht aufgebaut wird. bevor du dich an die Firewal begibst... Mach mal einem VPN-Status-Trace
Gruß
Backslash