 |
|
|
|
| Autor |
Nachricht |
p0ddie
Anmeldungsdatum: 02.03.2009
Beiträge: 61
|
 Verfasst am:
Fr 25 Feb, 2011 16:57 |
  |
|
Hallo,
ich würde gerne bewerkstelligen, dass ich nach der Erstellung eines VPN-Logins mit dem Assistenten nachträglich noch per Hand eingeben kann, ob die Verbindung auf alle Netzwerke, ein Netzwerk (das geht ja auch schon im Assistenten), oder eben nur auf einen bestimmten Kreis eines Netzwerkes zugelassen wird.
Wenn ich nichts weiter im Assistenten einschränke, wird ja eine Firewallregel wie im Bild "Alle Netzwerke" erstellt. Gebe ich im Assistenten für das VPN ein bestimmtes Subnetz an, das erreicht werden darf, (Screenshot Ein Netzwerk), dann geht das ja auch und ich erreiche nur dieses Netzwerk.
Ich würde jetzt erwarten, dass ich mit den vorgefertigten Auswahlmöglichkeiten, wie im Screenshot Netzwerkbereich zu sehen, einschränken kann, dass die VPN-Verbindung nur auf bestimmte IPs zugreifen darf.
Ich habe auch die normale Regel (alle Netzwerke) stehen lassen und eine weitere Regel mit höherer Priorität erstellt, die die Pakete in die IP-Bereiche, die nicht erreicht werden sollen, blockt... Kein Erfolg.
Wie mache ich das?
Danke!  |
|
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Dr.Einstein
Anmeldungsdatum: 12.01.2010
Beiträge: 238
|
| Verfasst am:
Fr 25 Feb, 2011 20:44 |
|
|
Hey p0ddie,
IP-Adressbereiche bei VPN-Regeln funktionieren nicht. Vermutlich müsste das LCOS dann jede IP einzeln anpacken und zig SA's generieren.
Abhilfe zur Subnetz-VPN-Regel würde eine zusätzliche Firewallregel (Häckchen im Reiter "Allgemein" verändern) schaffen, die ungewollte IP-Bereiche sperrt.
Gruß Dr.Einstein |
|
|
|
|
p0ddie
Anmeldungsdatum: 02.03.2009
Beiträge: 61
|
| Verfasst am:
Fr 25 Feb, 2011 20:52 |
|
|
Verstehe... wie mache ich es denn dann am besten? |
|
|
|
|
Dr.Einstein
Anmeldungsdatum: 12.01.2010
Beiträge: 238
|
| Verfasst am:
Fr 25 Feb, 2011 21:00 |
|
|
1. Regel:
Name: DENY_VPN_Einwahl_xy
Diese Regel ist für die Firewall aktiv: ja
Diese Regel wird zur Erzeugung von VPN: nein
Priorität: 1
Aktion: REJECT
Stationen:
Quelle -> Gegenstelle -> VPN-Client
Ziel -> IP-Range
2. Regel:
Name: WIZ_VPN_Einwahl_xy
Diese Regel ist für die Firewall aktiv: nein
Diese Regel wird zur Erzeugung von VPN: ja
Priorität: 0
Aktion: ALLOW
Stationen:
Quelle -> Subnetz
Ziel: Gegenstelle VPN_Client
Das wäre mein Vorschlag. Wenn der Client nur auf 1..2 IP-Adressen kommen soll, z.B. Server, kannst du auch deine vom Wizard erstellte Regel kopieren, und als Quelle jeweils eine einzige IP eintragen.
Gruß Dr.Einstein |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Fr 25 Feb, 2011 21:04 |
|
|
Hallo,
Die SA Regel lässt Du so und generierst eine neue Regel
Deny
Von Gegenstelle : Dein VPN-Client
An Gegenstelle : das Nicht zu erreichende Netzwerk
Das ist dann eigentlich alles
Gruß ... 
Edit: PS: war Dr.Einstein schneller , so ist natürlich genauer .... |
|
|
|
|
p0ddie
Anmeldungsdatum: 02.03.2009
Beiträge: 61
|
| Verfasst am:
Fr 25 Feb, 2011 22:08 |
|
|
Ha, macht Sinn, teste ich bald aus - danke und schönes WE! |
|
|
|
|
|
|
|
|
| |
|
|
