VPN-Verbindung auf bestimmte ETH-Ports beschränken

[DeusExMachina]

Liebe Kollegen

an mich wurde eine Aufgabe herangtragen, bei der ich mangels ausreichender LANCOM-Kenntnisse momentan nicht weiter weiß und vielleicht hat ja der eine oder andere von Euch Lust und Zeit sich die Sache mal anzuschauen.

Ausgangslage:
Das besagte Problemumfeld besteht aus vier Abteilungen in denen jeweils diverse Maschinen, Geräte und Prozessleitsysteme vorhanden sind, die abteilungsintern via LAN kommunizieren müssen und von je einem Admin/Operator überwacht und gesteuert werden.
All diese Clients befinden sich im Adressraum 172.28.x.x/16, sollen jedoch abteilungsübergreifend nicht kommunizieren können.
Die Vernetzung der Abteilung wurde kürzlich erneuert, und endet auf einem Switch (LANCOM GS-3628X), der die Trennung der Abteilungskommunikation mittels VLAN 1-4 realsiert.

Problemstellung:
Die Admins sollen nun befähigt werden ihre Überwachung- und Steuerungstätigkeiten von zu Hause aus durchführen zu können (Homeoffice). Dazu soll ein bereits vorhandener Router (LANCOM 1781VAW), der einen Internetzugang und eine feste öffentliche IP besitzt, genutzt werden. Mittels LANCOM Advanced VPN Client soll sich auf dem Router eingewählt werden.
Allerding soll sichergestellt werden, dass jeder Abteilungsoperator nur auf seine Abteilung zugreifen kann.
Gemäß "LANCOM Techpaper - Advanced Routing and Forwarding (ARF)" sollte dies mittels Schnittstellen-Tag möglich sein: "Für jede Filiale wird ein eigenes IP-Netzwerk mit jeweils einem eigenen Schnittstellen-Tag aufgesetzt. Dabei können beide IP-Netze sogar den gleichen IP-Adresskreis nutzen,..."
Ich habe nun VPN-Profile erstellt, finde eine solche Einstellung zur Separierung der Interfaces allerdings nicht.
Möglcherweise ist die Sache ja völlig trivial, aber die Frage für mich ist nun, kann man am 1781VAW mittels VPN-Profil eine Solche Restriktion auf einen bestimmten ETH-Port realisieren?

Ich habe zur Veranschaulichung der Sachlage mal eine Grafik angehängt.

Vielen Dank für Eure Zeit.

DEM

[tobiasr]

Gibt es eine Notwendigkeit, mehrere überlappende /16er Netze zu fahren, anstatt die Netze rapide zu verkleinern? Das macht zumindest das Verständnis leichter.

Ich habe bisher VPN Verbindungen (SA Beziehungen) nur über IPs gemacht. Theoretisch (wenn im 1. Schritt jeder mit jedem kann) könnte man das auch über die Firewall (die soweit ich weiß auch Netzwerke kann) einschränken.

[UKernchen]

in der VPN (IKE v2) Verbindungsliste kannst du in jeder Verbindung unter "IPv4-Regeln" genau festlegen,
welche lokalen und welche entfernten Adressen die jeweilige Verbindung erreichen darf.

[Dr.Einstein]

Auch wenn ich den Aufbau für furchtbar halte, schon alleine 4 Kabel auf den Lancom, was für ein Blödsinn aber egal:

Wenn du 4x den gleichen IP-Adressbereich hast, dann gibst du jedem Netz ein eigenes Schnittstellentag. Beim Anlegen eines VPN-Clients vergibst du via Wizard dem Client eine IP-Adresse (nicht OneClick). Im Anschluss editierst du die Routing Tabelle und gibst dem Client das Schnittstellentag aus dem entsprechenden Netzwer. Evtl. muss man dem VPN über die WAN-Tag-Tabelle ebenfalls das Tag zuweisen.

[DeusExMachina]

Vielen Dank für Euer Feedback,

Gibt es eine Notwendigkeit, mehrere überlappende /16er Netze zu fahren, anstatt die Netze rapide zu verkleinern? Das macht zumindest das Verständnis leichter.

Leider ist das wie so häufig, die Adress- und Netzvergabe ist vorgegeben und soll möglichst nicht angefasst werden, Subnetting ist nicht erwünscht und zusätzliche Kosten, durch Hardware-Neubeschaffung, sollen nicht entstehen.

Theoretisch (wenn im 1. Schritt jeder mit jedem kann) könnte man das auch über die Firewall (die soweit ich weiß auch Netzwerke kann) einschränken.

Gute Idee, da aber alle im gleichen Netz sind, fällt mir keine Regel ein.

in der VPN (IKE v2) Verbindungsliste kannst du in jeder Verbindung unter "IPv4-Regeln" genau festlegen,
welche lokalen und welche entfernten Adressen die jeweilige Verbindung erreichen darf.

Ich könnte das mal im IKE Config Mode mittels Adresspool versuchen.

Vielen Dank für die Impulse.

DEM

[tobiasr]

Gute Idee, da aber alle im gleichen Netz sind, fällt mir keine Regel ein.

Unterscheide bitte zwischen LANCOM Netz (Liste interne ARF Netze) und IP Range (Netz aus IP Sicht). Die Lancom Firewall kann auch nach Netz unterscheiden.