Hallo,
nachdem meine Recherchen im Forum mich bisher nicht weitegebracht haben schildere ich hier mal mein Setup sowie das Problem in der Hoffnung auf eine Lösung.
Aktuelle Situation:
Ich habe einen LANCOM 1711+VPN Router hinter einem Telekom Speedport Modem im Einsatz. Dahinter hängt ein managed Switch von Linksys (SRW224G4) sowie dahinter weitere kleine unmanaged 5-8 Port Switche verschiedener Hersteller.
Die LAN Schnittstellen ETH1 - 4 sind jeweils mit dem Attribut Private Mode versehen. Dies soll dafür sorgen, dass die 3 vorhandenen LAN Bereiche Mitarbeiter (ETH1), Jugendliche (ETH2) und Verwaltung (ETH3) strikt voneinander getrennt sind. ETH4 ist derzeit noch nicht belegt.
Hinter ETH1 hängt der LINKSYS an dem auch NAS1 hängt.
Hinter ETH2 hängt an einem unmanagd Switch auch NAS2. Dieses befindet sich über seine feste IP (172.23.66.1), in einer im LANCOM definierten DMZ und ist aus allen Netzbereichen erreichbar.
Probleme mit Ressourcen von NAS1 bei VPN Einwahl
Nun habe ich das Problem, dass sich Kollegen von außerhalb per VPN einwählen sollen um auf Netzlaufwerke beider NAS Geräte zuzugreifen.
Die Einwahl über den Original LANCOM Client funktioniert soweit und der Zugriff auf die Netzwerkfreigaben des NAS2 in der DMZ funktioniert. Der Zugriff auf die Weboberfläche des NAS1 über seine lokale IP im Browser funktioniert ebenfalls. Der Zugriff auf die am entfernten PC gemounteten Freigabeordner von NAS1 funktioniert jedoch nicht. Was kann ich tun damit die Kollegen auch von außerhalb auf das NAS an ETH1 zugreifen können?
Hier noch ein paar weitere Konfigurationsdaten des LANCOM:
2 IP Netze
INTRANET - 172.23.56.1 ; 255.255.255.0 ; Typ Intranet ; VLAN ID 0 ; Schnittstelle Beliebig ; Adressprüfung flexibel ; Tag 0
DMZ - 172.23.66.1 ; 255.255.255.0 ; Typ DMZ ; VLAN ID 0; Schnittstelle Beliebig ; Adressprüfung flexibel ; Tag 0
Einwahl Zugang
172.23.56.201 - 211
DHCP ist für alle LAN Ports aktiviert
1 DHCP Netzwerk 172.23.56.1
IPV6 ist deaktiviert
IP-Router - Routing
172.23.56.201 ; 255.255.255.255 ; Tag 0 ; AN Sticky für RIP ; Router VPN_USERA ; Distanz 0 ; Maskierung AUS
Firewall ist aktiv, DENY ALL Policy aktiv
Regel VPN_USERA
Regel z. Erzeugen v VPN Benutzer verwenden aktiv
Regel hält Verbindungszustand aktiv
Aktion: sofort übertragen
Stationen: von allen an Gegenstelle VPN_USERA
Dienste: alle
VPN ist aktiviert
Nat-Traversal aktiv
IPSec over HTTPS annehmen aktiv
Aufbau SAs Jeder nach Bedarf
Verbindung
Halt 0 ; DPD 90 ; Extra / Gateway 0.0.0.0 ; Tag 0 ; Dyn nicht aktiv ; IKE ... Aggressive Mode ; OCSP aus ; IKE-CFG Server ; XAUTH aus ; IPSec-HTTPS aus ; Regel Manuell
NETBios über IP Routing aktiv ; INTRANET Proxy EIN
Ich hoffe meine Problemschilderung ist verständlich und die angefügten Daten reichen aus um eine Lösung aufzuzeigen. In der Firewall sind natürlich noch weitere Regeln aktiv - ich habe mich auf die aus meiner Sicht für das Problem relevante Regel beschränkt.
Da ich kein Profi in diesem Bereich bin bitte ich um etwas ausführlichere Lösungsbeschreibung.
Vielen Dank schon mal
VPN Zugriff auf Netzwerkfreigaben an NAS trotz Private Mode
Moderator: Lancom-Systems Moderatoren
Re: VPN Zugriff auf Netzwerkfreigaben an NAS trotz Private M
Hi,
Hast du dich mal durch die Traces gearbeitet und nachgeschaut?
http://www.lancom-forum.de/fragen-zum-t ... 14929.html
Gruß
Hast du dich mal durch die Traces gearbeitet und nachgeschaut?
http://www.lancom-forum.de/fragen-zum-t ... 14929.html
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Zugriff auf Netzwerkfreigaben an NAS trotz Private M
Hi,
da wird vermutlich eine entsprechende Firewall-Regel fehlen, die das erlaubt. In dem Dickicht der vielen Regeln wird das oft übersehen.
Die Regel, die Du da angegeben hast, ist lediglich für die VPN-Netzbeziehungen.
Was auch oft falsch gemacht wird, die Firewall-Regeln fürs Intranet, aus dem der VPN-Client eine IP hat, gelten von WAN-Seite aus nicht, die VPN-Gegenstelle muss daher als Quelle schon angegeben werden.
Viele Grüße,
Jirka
da wird vermutlich eine entsprechende Firewall-Regel fehlen, die das erlaubt. In dem Dickicht der vielen Regeln wird das oft übersehen.
Die Regel, die Du da angegeben hast, ist lediglich für die VPN-Netzbeziehungen.
Was auch oft falsch gemacht wird, die Firewall-Regeln fürs Intranet, aus dem der VPN-Client eine IP hat, gelten von WAN-Seite aus nicht, die VPN-Gegenstelle muss daher als Quelle schon angegeben werden.
Viele Grüße,
Jirka
Re: VPN Zugriff auf Netzwerkfreigaben an NAS trotz Private M
Hallo,Jirka hat geschrieben:Hi,
da wird vermutlich eine entsprechende Firewall-Regel fehlen, die das erlaubt. In dem Dickicht der vielen Regeln wird das oft übersehen.
Die Regel, die Du da angegeben hast, ist lediglich für die VPN-Netzbeziehungen.
Was auch oft falsch gemacht wird, die Firewall-Regeln fürs Intranet, aus dem der VPN-Client eine IP hat, gelten von WAN-Seite aus nicht, die VPN-Gegenstelle muss daher als Quelle schon angegeben werden.
Viele Grüße,
Jirka
verstehe ich richtig, dass ich zusätzlich zu der in meinem Post genannten Regel (hat der LANCOM Router über den Setup-Assistenten eingerichtet) eine Firewall Regel benötige, die etwa wie folgt aussieht:
ALLOW VPN_USERA_INBOUND ; Quelle VPN_USERA ; Quell-Dienst Alle ; Ziel INTRANET ; Ziel-Dienst alle ; Aktionen übertragen - "WINPA" ist im Bild der VPN Zugang VPN_USERA
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.