 |
|
|
|
| Autor |
Nachricht |
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
 Verfasst am:
Mi 20 Apr, 2011 10:34 |
  |
|
Hallo,
kann ich eine VPn-Verbindung dahingehend einschränken das der "Einwähler" nur Zugriff auf eine bestimmte IP-Adresse im LAN hat und nicht alles mögliche sehen kann?
thx
NW |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mi 20 Apr, 2011 12:31 |
|
|
Hi Netzverwalter,
du kannst über die Firewall einschränken, was der Client sehen darf (Adressen, Protokolle, Ports)
Gruß
Backslash |
|
|
|
|
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
| Verfasst am:
Mo 02 Mai, 2011 12:46 |
|
|
Okej, hast du es ein wenig genauer? Ich bin leider noch nicht so firm in diesen Dingen.
thx
NW |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mo 02 Mai, 2011 14:14 |
|
|
Hi Netzverwalter,
am einfachsten geht das mit einer Deny-All-Regel und dann speziellen Allow-Regeln, für alles, was erlaubt sein soll:
| Code:
|
Name: ALLOW
Aktion: übertragen
Quelle: VPN-Gegenstelle
Ziel: IP(s) die erlaubt sein soll(en)
Dienste: alle Dienste oder Dienste, die erlaubt sein sollen
Name: DENY
Aktion: zurückweisen
Quelle: VPN-Gegenstelle
Ziel: alle Stationen
Dienste: alle Dienste
|
Gruß
Backslash |
|
|
|
|
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
| Verfasst am:
Mi 04 Mai, 2011 21:58 |
|
|
Hmm,
das hilfr mir jetzt leider nicht weiter. Bin absoluter Newbie in sachen LANCOM 
Habe hier den LANconfig installiert . . . .
Doppelklick auf den Router bringt eine neues Fenster mit KONFIGURATION
Hier gibts nen Unterpunkt FIREWALL/QoS
Darunter dann einen mit REGELN - hier dann ein Button mit REGELN
Da sehe ich dann die Verbindungen die ich mit dem Wizard erstellt habe . . . weiss aber nicht was ich hier jetzt einrichten soll?!
Möchte gerne das die Verbindung WIZ_VPN-Home nur auf den Server an 172.20.20.1 mit RDP zugreifen kann.
H I L F E ! |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Do 05 Mai, 2011 07:58 |
|
|
|
|
|
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
| Verfasst am:
Do 05 Mai, 2011 11:57 |
|
|
Hmmm . . . das ist schon ganz nett, auch wenn ich es wohl nicht vollständig verstanden habe. Wenn ich das richtig lese ist es so das ich Geräten HINTER der Firewall bestimmte Dinge erlauben oder verbieten kann. Soweit so gut. Aber ich habe hier ca. 20 Geräte die was ins WAN/LAN etc. können sollen. Muss ich die ALLLE in der Firewall konfigurieren?
Ich möchte gerne das jemand der mit dem Lancom-Client sich einwählt nur auf einen Server und nur auf den Dienst RDP zugreifen kann. Sowas kann man doch bestimmt auch irgendwie einstellen.
Also nicht allen (20) Geräten alles verbieten, sondern nur einem Einwähler bestimmte Dinge erlauben.
Das ist doch Objektorientiert. Wie kann ich dem Objekt VPN-Einwähler nur eine funktion erlauben????
Danke für eure Mühe . . . . ich bin das totale Greenhorn |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 05 Mai, 2011 12:31 |
|
|
Hi Netzverwalter
richte doch einfach die beiden Regeln so ein, wie ich sie oben beschrieben habe... Oder willst du dafür jetzt noch Screenshots? Dann könnte ich auch nur noch RTFM sagen...
Gruß
Backslash |
|
|
|
|
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
| Verfasst am:
Mo 09 Mai, 2011 12:36 |
|
|
Hmmm . . . also Bilder (Screenshots) würden die Sache deutlich vereinfachen. Bin mir bei deiner Antwort noch nichtmal sicher ob ich die Frage richtig gestellt habe.
Also kurzum: Bitte schick mir einige Screenshots 
thx |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Di 10 Mai, 2011 11:16 |
|
|
Hallo "Netzverwalter",
ein bischen Eigeninitiative ist hier glaub ich schon gefragt.
Einfach mal auf die Lancomseite unter Hilfe *Firewall* eingeben, da werden Sie geholfen.
Dann überlegst Du ob Du die richtige Frage gestellt hast zu unseren Antworten.... 
Nicht böse gemeint nur wenn Du nicht weist was Du erreichen willst dann können wir es auch nicht !
Mach dir eine Sicherung vom IST-Zustand und dann schaust Du was Backslash oben geschrieben hat zu den Regeln, wenn Du parralell noch unter Firewall eine neue Regel erzeugst werden Dir dort auch der ein oder andere Begriff wieder unterkommen 
Viel Spass beim üben ! Wenn Du dann nicht weiter kommst dann haben wir auch eine Grundlage . OK !
Gruss ...  |
|
|
|
|
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
| Verfasst am:
Mi 11 Mai, 2011 11:05 |
|
|
Hallo zusammen,
danke für den Versuch mir zu helfen.
Ich habe jetzt mal angefangen die Firewall zu konfigurieren. Was habe ich gemacht:
Erstmal eine "Alles verbieten" - Regel erstellt, was auch funktioniert. Jetzt kommt niemand mehr ins Internet, Mail, FTP etc. pp.
Dann habe ich mehrere "Erlaube-etwas" - Regeln gemacht. Auch das funktioniert. Man kann wieder surfen, mailen etc. pp.
Aber jetzt zu meinem WIRKLICH ernsthaften Verständnisproblem:
Alle diese Regeln wirken ja von INNEN nach AUSSEN, soll heißen das ich jedem einzelnen Client in der firewall sagen kann was er darf und was eben nicht.
Soweit habe ich das mit der Firewall verstanden, aber es ist nicht das was ich eigentlich machen will. Ich möchte einem von AUSSEN kommenden Client nur einen bestimmten Dienst auf einem bestimmten Client zur Verfügung stellen.
Ich könnte natürlich jetzt JEDEN Client in der Firewall anlegen und ihm bestimmte Dinge erlauben oder verbieten, aber das ist bei der Menge der Clients einfach ein riesiger Aufwand.
Also nochmal meine Bitte: Wie stelle ich das ein das ein bestimmter VPN-Client nur an einen bestimmten Porteines bestimmten Client zugreifen kann?
Und noch ne Frage. Kann ich z.B. FTP auch ohne einen VPN-Tunnel verwenden?
Gruß
Netzverwalter |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mi 11 Mai, 2011 11:20 |
|
|
Hi Netzverwalter
| Zitat:
|
|
Alle diese Regeln wirken ja von INNEN nach AUSSEN,
|
nein... Die Regeln wirken von der QUELLE zum ZIEL...
| Zitat:
|
|
Ich möchte einem von AUSSEN kommenden Client nur einen bestimmten Dienst auf einem bestimmten Client zur Verfügung stellen.
|
setze den von aussen kommenden Client als QUELLE und den Server, der den Dienst anbietet, als ZIEL... und schon kommst du zu der ALLOW-Regel in meinem ersten Posting...
Gruß
Backlsash |
|
|
|
|
Netzverwalter
Anmeldungsdatum: 20.04.2011
Beiträge: 7
|
| Verfasst am:
Mi 11 Mai, 2011 11:48 |
|
|
Das klappt hier alles nicht - hab jetzt mal alles an regeln etc. rausgeschmissen. Einzig diese hier schon vorgegebene WINS-regel ist noch da.
Dann geh ich auf Firewall/QoS->Regeln->Regeln->Hinzufügen
Name dieser Regel: RDP-ALLOW -> Haken bei "Diese regel ist für Fire......" und "Diese Regel hält die verbindungs...."
Aktionen: Objekt - ACCEPT --- Trigger - SOFORT --- Aktion - Übertragen
QoS: nix eingestellt
Stationen: Verbindungsquelle: Verbindung von folgenden...: Gegenstelle XYZ
Verbindungsziel: Verbindung an folgende ....: IP-Adresse:xxx.xxx.xxx.xxx
Dienste: alles auf alles
Was passiert? Der Advance VPN Client baut keine Verbindung mehr auf und bricht mit dem Fehler "VPN-Gateway antwortet nicht - warte auf MSG2" ab.
Was mach ich falsch? |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 12 Mai, 2011 11:59 |
|
|
Hi Netzverwalter
während des VPN-Verbidnungsaufbaus ist die Firewall überhaupt nicht im Spiel. Da redet der AVC direkt mit dem LANCOM und die Firewall ist aussen vor... Abgesehen davon: wenn du nur die Allow- ohne zusätzliche Deny-Regel hinzufügst, dann ändert sich eh nichts - alles ist erlaubt, bis auf NetBIOS...
Da mußt du erstmal schauen, warum die VPN-Verbindung nicht aufgebaut wird. bevor du dich an die Firewal begibst... Mach mal einem VPN-Status-Trace
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
