Moin. Wie muss ich einen Lancom Router konfigurieren, wenn ich einem User der sich über den Lancom VPN Advanced Client einwählt, nur Zugriff auf einen bestimmten PC im Netzwerk geben möchte, nicht aber auf andere Teile des Netzwerks? Richte ich dann in der Firewall eine Regel ein nach der der User nur auf eine bestimmte IP zugreifen darf oder was ist der beste Weg dafür?
Es gibt noch einen weiteren VPN Nutzer, der auf alle Bereiche des Netzwerks zugreifen darf, die Konfiguration muss so bestehen bleiben.
VPN Zugriff beschränken
Moderator: Lancom-Systems Moderatoren
Re: VPN Zugriff beschränken
Hi,
Du kannst also nicht, eine zweite VPN-Verbindung konfigurieren wo du dein lokales Netz eben nur auf diese Addresse beschränkst?
Denn ansonsten würde das IPSEC die Pakete zurückweisen.
Gruß
Du kannst also nicht, eine zweite VPN-Verbindung konfigurieren wo du dein lokales Netz eben nur auf diese Addresse beschränkst?
Denn ansonsten würde das IPSEC die Pakete zurückweisen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Zugriff beschränken
Hi Message,
Gruß
Backslash
Das *IST* der Weg... Bedenke, daß zu zwei Regeln brauchst, wenn du keine Deny-All-strategie fährst:Richte ich dann in der Firewall eine Regel ein nach der der User nur auf eine bestimmte IP zugreifen darf oder was ist der beste Weg dafür?
Code: Alles auswählen
Name: ALLOW-VPN-CLIENT
Aktion: übertragen
Quelle: Name der VPN-Client-Verbindung
Ziel: IP auf die der Zugriff die erlaubt sein soll
Dienste: alle Dienste
Name: DENY-VPN-CLIENT
Aktion: zurückseisen
Quelle: Name der VPN-Client-Verbindung
Ziel: alle Stationen
Dienste: alle Dienste
Backslash
Re: VPN Zugriff beschränken
@Backslash: Danke. Ich habe alles wie von dir vorgegeben konfiguriert, aber der VPN User hat weiterhin Zugriff auf das gesamte Netzwerk. Ich nehme an ich muss den Haken bei "Weitere Regeln beachten nachdem diese Regel zutrifft" setzen, damit beide Regeln nebeneinander arbeiten? Aber egal ob ich den Haken drin lasse oder nicht, der User kann auf alle IPs im Netzwerk zugreifen.
Re: VPN Zugriff beschränken
Hi Message,
Bist du sicher, daß du die Firwallregeln korrekt ertstellt hast? Wichtig bei den Regeln ist die Quelle - hier schreib ich "Name der VPN-Client-Verbindung"... Ich hätte vielleicht besser: "Eine bestimmte Gegenstelle, Gegenstellen-Name: Name der VPN-Client-Verbindung" schreiben sollen...
Gruß
Backslash
das kann nicht sein, denn wenn er eine andere IP, als die in der ALLOW-Regel erlaubte ansprechen will, dann matcht die DENY-Regel...ch habe alles wie von dir vorgegeben konfiguriert, aber der VPN User hat weiterhin Zugriff auf das gesamte Netzwerk.
Nein, dann dann greift bei Zugriff auf die erlaubte Adresse zwar auch brav die ALLOW-Regel, aber durch das gesetzte Häkchen wird die nächste passende Regel gesucht und das ist die DENY-Regel - Eregebnis: jetzt wird alles geblockt...ch nehme an ich muss den Haken bei "Weitere Regeln beachten nachdem diese Regel zutrifft" setzen, damit beide Regeln nebeneinander arbeiten?
Bist du sicher, daß du die Firwallregeln korrekt ertstellt hast? Wichtig bei den Regeln ist die Quelle - hier schreib ich "Name der VPN-Client-Verbindung"... Ich hätte vielleicht besser: "Eine bestimmte Gegenstelle, Gegenstellen-Name: Name der VPN-Client-Verbindung" schreiben sollen...
Gruß
Backslash
Re: VPN Zugriff beschränken
Die neu erzeugten Regeln waren ok. Das Problem war, dass es noch eine Regel mit höherer Priorität gab, die sämtlichen Verkehr via VPN erlaubt haben, da konnten die neuen Regeln natürlich nicht greifen. Jetzt scheint es zu passen, ich kann nurnoch auf die gewünschte lokale IP zugreifen nachdem die VPN Verbindung steht.
Was ich aber nicht verstehe ist, dass der Zugriff via Lanconfig auf die Konfiguration des Lancoms weiterhin möglich ist. Das müsste doch eigentlich auch unmöglich sein, da nur eine einzige IP für den Zugriff freigegeben ist. Gibts dafür noch eine versteckte Funktion? Im Admin Menü ist eingestellt, dass auf die Konfiguration ausschliesslich über VPN zugegriffen werden kann.
Was ich aber nicht verstehe ist, dass der Zugriff via Lanconfig auf die Konfiguration des Lancoms weiterhin möglich ist. Das müsste doch eigentlich auch unmöglich sein, da nur eine einzige IP für den Zugriff freigegeben ist. Gibts dafür noch eine versteckte Funktion? Im Admin Menü ist eingestellt, dass auf die Konfiguration ausschliesslich über VPN zugegriffen werden kann.
Re: VPN Zugriff beschränken
Hi Message,
Gruß
Backslash
da rennst du jetzt in den Punkt, daß die IPv4-Firewallregeln im LANCOM nur den Forwarding-Zweig abdecken. Für die Konfig aber wären Inbound-Regeln zuständig. Die gibt es momentan aber nur in der IPv6-Firewall. Für die zugriffstkontrolle auf die Konfig ist unter IPv4 eine spezielle Rechetverwaltung zuständig - zu finden unter Management -> Admin -> Zugriffs-Einstellungen... Dort gibt es mehrere Tabellen für den Konfig-Zugriff:Was ich aber nicht verstehe ist, dass der Zugriff via Lanconfig auf die Konfiguration des Lancoms weiterhin möglich ist. Das müsste doch eigentlich auch unmöglich sein, da nur eine einzige IP für den Zugriff freigegeben ist.
- Zugriffsrechte: Hier wird generell festgelegt, welche über Protokolle auf LAN- oder WAN-Schnittstellen zugegriffen werden darf
- Zugriffs-Stationen: Hier werden IP-Adressen oder Netze hinterlegt, von denen der Zugriff erfolgen darf. Ist die Tabelle leer, dann darf jeder zugreifen
Gruß
Backslash
Re: VPN Zugriff beschränken
Dann lasse ich das Sperren der Konfiguration, ist ja durchs Passwort hoffentlich gut genug geschützt. Danke.
Kannst du mir noch sagen wie der Lancom Advantage VPN Client zu konfigurieren ist, damit nur Zugriffe auf eine einzige IP über die VPN Verbindung laufen und alles andere am Client vorbei läuft?
Kannst du mir noch sagen wie der Lancom Advantage VPN Client zu konfigurieren ist, damit nur Zugriffe auf eine einzige IP über die VPN Verbindung laufen und alles andere am Client vorbei läuft?
Re: VPN Zugriff beschränken
Hi Message,
hier lautet das Stichwort "Split Tunneling"... Trage im Profil dort einfach die Adresse zusammen mit der Netzmaske 255.255.255.255 ein...
Gruß
Backslash
hier lautet das Stichwort "Split Tunneling"... Trage im Profil dort einfach die Adresse zusammen mit der Netzmaske 255.255.255.255 ein...
Gruß
Backslash
Re: VPN Zugriff beschränken
Danke. Kann man noch irgendwo einstellen, dass man benachrichtigt wird wenn ein bestimmter VPN Tunnel aufgebaut wird?
Re: VPN Zugriff beschränken
Hi Message,
mach dir einen Eintrag für die VPN Gegenstelle in die Aktionstabelle...
Hier eine Anleitung als Unterstützung:
https://www2.lancom.de/kb.nsf/1275/21FC ... enDocument
admin@name.de ersetzt du einfach durch eine Mail-Adresse von dir.
Beachte aber das du dazu eine Mail-Adresse am LANCOM einrichten musst, damit der Mailversand klappt, dafür siehe
https://www.lancom-systems.de/docs/LCOS ... count.html
Mittels TestMail kannst du dann von der CLI aus testen ob der Mailversand klappt, siehe
https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument
Sollte es nicht klappen, liegt es oft an einer nicht erlaubten Absender-Email-Adresse (die kannst du aber ruhig leer lassen in der Konfig), oder an den Ports 465 und 587, da dann mal probieren welcher geht
In der CLI siehst du mehr mit einem "trace # smtp"
Grüße & viel Erfolg
ecox
mach dir einen Eintrag für die VPN Gegenstelle in die Aktionstabelle...
Hier eine Anleitung als Unterstützung:
https://www2.lancom.de/kb.nsf/1275/21FC ... enDocument
Code: Alles auswählen
Name: VERBINDUNGSAUFBAU
Gegenstelle: zu überwachende Gegenstelle (in diesem Beispiel die Gegenstelle für die Internetverbindung)
Sperrzeit: 0
Ereignis: Aufbau
Aktion: mailto:admin@name.de?subject=%c wurde aufgebaut?body=IP-Adresse: %a, Datum/Uhrzeit: %tBeachte aber das du dazu eine Mail-Adresse am LANCOM einrichten musst, damit der Mailversand klappt, dafür siehe
https://www.lancom-systems.de/docs/LCOS ... count.html
Mittels TestMail kannst du dann von der CLI aus testen ob der Mailversand klappt, siehe
https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument
Sollte es nicht klappen, liegt es oft an einer nicht erlaubten Absender-Email-Adresse (die kannst du aber ruhig leer lassen in der Konfig), oder an den Ports 465 und 587, da dann mal probieren welcher geht
In der CLI siehst du mehr mit einem "trace # smtp"
Grüße & viel Erfolg
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN