VPN in DMZ

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
awado
Beiträge: 47
Registriert: 22 Aug 2012, 11:34

VPN in DMZ

Beitrag von awado »

Hallo!

Dank Eurer Hilfe habe ich folgendes Setup neulich hinbekommen:

- Standort A: 1811n mit mehreren festen WAN-IPs. In der DMZ sitzt ein Server, der über eine der WAN-IPs von aussen erreichbar ist. Kurzer Thread dazu: http://www.lancom-forum.de/lancom-syste ... 15222.html.

- Standort B: 1781er, der ein LAN-LAN-VPN zu Standort A aufbaut und permanent hält.

Nun komme ich an Standort B wunderbar in das Intranet von Standort A, aber nicht in dessen DMZ. An Standort A kann ich aber durchaus ins DMZ, wenn ich mich dort an Switch hinhänge. Ist das ein Firewall- oder Routing-Problem?

Danke schon mal.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN in DMZ

Beitrag von backslash »

Hi awado

für eine DMZ werden keine automatischen VPN-Regeln erstellt. Wenn durch den Tunnel auf die DMZ zugegriffen werden soll, dann muß auf der entfernten Seite eine Route zur DMZ durch den VPN-Tunnel zeigen und auf der lopkalen Seite (also der, mit der DMZ) müssen manuell VPN-Regeln in der Firewall angelegt werden:

Code: Alles auswählen

Name:       ALLOW_VPN_DMZ

[ ]  Diese Regel ist für die Firewall aktiv
[x]  Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
[ ]  ...
[ ]  ...


Aktion:     übertragen
Quelle:     loakels Netzwerk <Name der DMZ>
Ziel:       Gegenstelle <Name der VPN-Verbindung>
Dienste:    alle Dienste
Und wenn du in der Firewall eine Deny-All-Regel hast, dann mußt du natürlich den Traffic durch den Tunnel mit passenden Allow-Regeln erlauben, z.B.

Code: Alles auswählen

Name:       ALLOW_MAIL_SERVER_VPN

[x]  Diese Regel ist für die Firewall aktiv
[ ]  Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
[ ]  weitere Regeln beachten, nachdem diese Regel zutrifft
[x]  Diese Regel hält Verbindungszustände nach


Aktion:     übertragen
Quelle:     Gegenstelle <Name der VPN-Verbindung>
Ziel:       IP des Mail-Servers
Dienste:    TCP, Zielport 25

Gruß
awado
Beiträge: 47
Registriert: 22 Aug 2012, 11:34

Re: VPN in DMZ

Beitrag von awado »

Merci, Backslash! Ich hatte vorher schon mal ne Firewall-Regel angelegt, aber dummerweise in der falschen Richtung. Argh! Ich hätte aber drauf kommen können, da die Pings ins Leere gingen, statt einer Meldung a la "No route to host". Jetzt klappt's jedenfalls.
Antworten