 |
|
|
|
| Autor |
Nachricht |
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
 Verfasst am:
Mi 03 Aug, 2005 19:30 |
  |
|
Hallo,
gerade frage ich mich, wie es sich mit folgendem verhält: Konfiguriert ist eine VPN-Einwahl zum Zugriff eines Heimrechners ins LAN hinter dem Router. Die VPN-Gegenstelle erhält in der jetzigen Konfiguration eine IP im LAN mit Proxy-ARP, IPSec-Zielnetz ist das LAN.
Der entfernte Rechner soll jedoch keinen freien Zugriff ins LAN haben, sondern erstmal nur auf den Remote-Desktop-Port eines Rechners im LAN. Dafür möchte ich eine Firewallregel verwenden, die RDP durchläßt. Jedoch setzt ein Paketfilter doch prinzipiell nur beim Routen zwischen Netzen an, oder? Evtl. wäre es in dieser Konstellation also sinnlos, eine Firewallregeln "Zielport 3389 erlauben" mit Quelle VPN-Gegenstelle (logisch bereits im LAN) und Ziel lokales Netz zu erstellen? Oder sind VPN-Gegenstellen ein Ffall, bei dem dies funktioniert?
Eine Alternative wäre, der VPN-Gegenstelle eine IP in der DMZ zu geben (IPSec-Zielnetz wäre weiterhin das LAN). Würde eine Firewallregel wie oben genannt dann seinen Zweck erfüllen?
Gruß,
omd |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 03 Aug, 2005 19:40 |
|
|
Hi omd,
die Firewall greift bei allem, was über den Router läuft, also auch bei über Proxy-ARP angebundenen Gegenstellen - egal ab die über ISDN, PPTP oder VPN kommen...
Gruß
Backslash |
|
|
 |
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Mi 03 Aug, 2005 20:01 |
|
|
Danke, das ist für mich eine gute Nachricht. Dann sollte meine DENY-ALL Regel auch dort greifen.
Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr? Hätte nämlich gerne per E-Mail-Benachrichtigung gewusst, wer so aus dem Internet auf den Router zugreift.
Gruß,
omd |
|
|
|
|
maikel_b
Moderator
Anmeldungsdatum: 04.03.2005
Beiträge: 21
Wohnort: Aachen
|
| Verfasst am:
So 07 Aug, 2005 21:46 |
|
|
Hi omd,
| Zitat:
|
|
Danke, das ist für mich eine gute Nachricht. Dann sollte meine DENY-ALL Regel auch dort greifen.
|
du sagst es. Die sollte dort greifen, muss aber net.
Um dies festzustellen solltest du mal in deiner deny_all regel schauen ob diese nicht nur bei zugriffen über die default-route greift.
Sollte dies nämich der Fall sein, werden Pakete, die über die RAS, PPPTP und IPSec Einwahlen reinkommen nich von der deny_all gefiltert.
Das kannst du bei der Paketaktion nachschauen.
| Zitat:
|
|
Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr?
|
Meinst du jetzt auf die Konfiguration des Routers ?
Gruß
maikel_b |
|
|
 |
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
So 07 Aug, 2005 23:37 |
|
|
Hallo Maikel,
| maikel_b hat folgendes geschrieben:
|
| Zitat:
|
|
Danke, das ist für mich eine gute Nachricht. Dann sollte meine DENY-ALL Regel auch dort greifen.
|
du sagst es. Die sollte dort greifen, muss aber net.
|
Okay, die Regel ist/war erstmal ohne Einschränkungen gültig. Hab' es auch ausprobiert. 
| Zitat:
|
| Zitat:
|
|
Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr?
|
Meinst du jetzt auf die Konfiguration des Routers ?
|
Damit meine ich grundsätzlich jede Art von Verbindungen. Z.B. auch wenn jemand mit der IPSec-Implementierung plaudert (was ja grundsätzlich jedem möglich ist).
Mittlerweile ist der Router im Einsatz. Bei der Einrichtung des VPN daheim am Einsatzort gab es nochmal eine Schrecksekunde der Ungewissheit. Man sollte die zum Testen ausgestellten Zertifikate nicht so nennen wie die später mit der "echten" CA signierten Dateien....
Gruß,
omd |
|
|
|
|
|
|
|
|
| |
|
|
