 |
|
|
|
| Autor |
Nachricht |
FMS
Anmeldungsdatum: 25.08.2008
Beiträge: 32
|
 Verfasst am:
Do 05 März, 2009 11:40 |
  |
|
Hallo
Ich habe nicht viel Erfahrung mit einer Firewall Konfig. Folgendes möchte ich einrichten. Wir haben 2 Geschäftsstellen mit einer VPN Verbindung gekoppelt (Beides Lancom Router). Momentan ist aber alles für jeden offen. Nun möchte ich das die Aussenstelle nur auf einen Bestimmten Server am Hauptsitz zugreifen kann und das ganze auch nur auf einen bestimmten Port beschränken (Citrix: Port-1494). Der Verkehr vom Hauptsitz zur Filiale soll nicht eingeschränkt werden.
Kann mir jemand ein Paar Tipps geben wie ich das Realisieren kann?
Muss das am Router von der Filiale oder an dem vom Hauptsitz eingestellt werden?
Ich hab da schon mal ein bisschen experimentiert aber leider hat es nicht geklappt.
Danke
Gruß FMS |
|
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
powder8
Anmeldungsdatum: 26.03.2008
Beiträge: 109
|
| Verfasst am:
Do 05 März, 2009 11:48 |
|
|
Hy,
erstelle 2 neue Firewall Regeln. Auf dem Router der Hauptstelle
1. Regel Deny any vom Netz der Filiale zum Netz der Hauptstelle
Regel gilt für VPN Verbindungen
2. Regel Art Übertragen vom Netz der Filiale zum Hauptnetz (und oder nur IP des Citrix) und hier nur den Port 1494 zulassen.
Jetzt kann die Filiale nur auf Port 1494 zugreifen, jedoch die Hauptstelle auf alles im Netz der Filiale |
|
|
|
|
FMS
Anmeldungsdatum: 25.08.2008
Beiträge: 32
|
| Verfasst am:
Do 05 März, 2009 11:57 |
|
|
Hallo powder8
Danke für die schnelle Antwort. Werde ich gleich mal testen.
Gruß FMS
Edit:
Funktioniert! Danke nochmal |
|
|
|
|
lcadm
Anmeldungsdatum: 07.10.2009
Beiträge: 4
|
| Verfasst am:
Mi 07 Okt, 2009 11:49 |
|
|
Hallo,
ich habe ein ähnliches Problem und schon einiges probiert.
FMS hat eine LAN-LAN-Kopplung über VPN.
Ich versuche die gleiche Zugriffsrealisierung (Client darf nur auf bestimmten Rechner auf bestimmten Port) mittels VPN-Client.
Eine Person sitzt irgendwo im stillen Kämmerchen und verbindet sich mit dem Shrewsoft-VPN-Client mit dem Firmennetz und soll nur Citrix (Port 1494) an einem bestimmten Server nutzen
Dazu nutze ich den Shrewsoft-Client (www.shrew.net). Die Einrichtung des Clients und des Routers zum Versbindungsaufbau war einfach (ist auch im Forum hier beschrieben). D.h. der Client kann, da ich die Netzauswahl auf einen Rechner beschränkt habe, tatsächlich nur auf den einen Rechner zugreifen, aber leider auf alle Ports.
Wie bekomme ich es nun hin, dass nur ein Port genutzt wird?
Erfolglose Versuche:
Bei der VPN-Regel nur den Rechner mit dem eine Port anzugeben.
Bei der normalen Firewallregel ein Denyall und dann ein allow für den zugriff auf den einen Rechner.
PS: Ich habe auch das Forum soweit durchsucht, aber keine Fragestellung exakt dieser Art gefunden. Vielleicht hat da ja jemand eine Idee oder einen Verweis wo im Forum evtl. schon eine Lösung geschildert wurde.
PS2: Als Alternativtest habe ich auch mal eine Regel erzeugt, nach der ein Port nicht zugänglich sein sollte, aber leider war er dennoch erreichbar.
D.h. wenn es zur Lösungsfindung beiträgt, kann auch mitgeteilt werden, wie es zu schaffen ist, exakt einen Port zu sperren bei einer VPN-Clientverbindung (Shrewsoft-Client) ohne dass dadurch entweder die VPN-Verbindung nicht zustandekommt oder bei einem Ping abbricht (was bei meinen erfolglosen Einschränkungsversuchen passiert ist) |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 07 Okt, 2009 14:16 |
|
|
Hi lcadm
| Zitat:
|
|
Wie bekomme ich es nun hin, dass nur ein Port genutzt wird?
|
in dem du in der Allow-Regel für den Rechner nur den einen Port (als Zielport) zuläßt...
| Zitat:
|
Erfolglose Versuche:
Bei der VPN-Regel nur den Rechner mit dem eine Port anzugeben
|
dann muß du auch auf dem Client eine Regel erstellen, die nur den port zuläßt, sonst kommt der Tunnel gar nicht erst zustande
| Zitat:
|
|
Bei der normalen Firewallregel ein Denyall und dann ein allow für den zugriff auf den einen Rechner.
|
und genau in der allo trägst du den Port als Zielport ein - der Quellport bleibt auf "alle Ports"...
| Zitat:
|
|
PS2: Als Alternativtest habe ich auch mal eine Regel erzeugt, nach der ein Port nicht zugänglich sein sollte, aber leider war er dennoch erreichbar.
|
wie hast du den Port denn eingetragen? Als Zielport oder als Quellport oder beides? Du darfst ihn *nur* als Zielport eintragen, dann greift die Regel auch
| Zitat:
|
|
D.h. wenn es zur Lösungsfindung beiträgt, kann auch mitgeteilt werden, wie es zu schaffen ist, exakt einen Port zu sperren bei einer VPN-Clientverbindung (Shrewsoft-Client) ohne dass dadurch entweder die VPN-Verbindung nicht zustandekommt oder bei einem Ping abbricht (was bei meinen erfolglosen Einschränkungsversuchen passiert ist)
|
Wenn du auch noch pingen willst, dann mußt du eine weiter allow-Regel erstellen, die auch ICPM zuläßt.
Instgesamt brauchst du also folgende Regeln:
| Code:
|
Name: ALLOW_VPN_CLIENT_CITRIX
Aktion: übetragen
Quelle: Gegenstelle: VPN-Client-Gegenstelle
Ziel: IP des PCs
Dienste: TCP, Zielport 1494
Name: ALLOW_VPN_CLIENT_PING
Aktion: übetragen
Quelle: Gegenstelle: VPN-Client-Gegenstelle
Ziel: IP des PCs
Dienste: ICMP
Name: DENY_VPN_CLIENT
Aktion: zurückweisen
Quelle: Gegenstelle: VPN-Client-Gegenstelle
Ziel: alle Stationen
Dienste: alle Dienste
|
Gruß
Backslash |
|
|
|
|
lcadm
Anmeldungsdatum: 07.10.2009
Beiträge: 4
|
| Verfasst am:
Mi 07 Okt, 2009 21:00 |
|
|
Super Beschreibung und Hilfe.
Danke.
Jetzt hat alles geklappt.
Mein Fehler bei meinen Tests war, dass ich anstatt bei der Quelle beim Ziel die VPN-Client-Gegenstelle eintrug.
Da nun die VPN-Clientverbindungsvariante und die LAN-LAN-Kopplungs-Variante von FMS in einem Bereich zusammen erklärt wird, sind die Beiträge zu "VPN Verbindung einschränken (Firewall)" bestimmt sehr nützlich. |
|
|
|
|
|
|
|
|
| |
|
|
