Hallo zusammen,
Ich hätte gerne, dass der Router generell nicht auf VPN Anfragen reagiert - außer sie kommen von bestimmten, festgelegten Gegenstellen. (Entweder bei Übereinstimmung mit einer Festen IP oder wenn der Absender zu einem festgelegten DNS-Namen aufgelöst werden kann). Ich möchte damit verhindern, dass ein Angreifer von außen feststellen kann, ob der Router VPN Verbindungen unterhält / akzeptiert.
Hocke hier grade im Homelab und versuche das einmal anhand eines Testaufbaus nachzustellen. Leider scheint es schon an einer DENY-INBOUND Regel zu scheitern. Der Router nimmt trotzdem noch fleißig die Anfragen der Testgegenstelle - und generell aus dem WAN an.
Habe dann dieses Schaubild hier gefunden:
https://www.lancom-systems.de/docs/LCOS ... 64962.html
Werde da aber auch noch nicht ganz schlau draus. VPN müsste ja ein sog. "interner Dienst" sein. Habe dann den entsprechenden Haken im Routing gesetzt, damit die Internen Dienste auch geroutet werden (und somit über die Firewall laufen).
Hat aber irgendwie auch nix gebracht. Bin Ratlos. Hat hier jemand nen Tipp?
[1793VAW] Internen VPN Responder abschotten
Moderator: Lancom-Systems Moderatoren
-
GrandDixence
- Beiträge: 1185
- Registriert: 19 Aug 2014, 22:41
Re: [1793VAW] Internen VPN Responder abschotten
VPN-Gegenstelle DEFAULT entfernen:
fragen-zum-thema-vpn-f14/keine-ikev2-ve ... ml#p104295
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Aber Vorsicht: Mit dem Entfernen der VPN-Gegenstelle DEFAULT ist kein Einwahl-VPN (RAS) mehr möglich!
Weiter sollte das IKEv2 Session Cookie als Schutz vor DDoS-Attacken verwendet werden:
fragen-zum-thema-vpn-f14/vpn-anfragen-v ... ml#p114109
fragen-zum-thema-vpn-f14/keine-ikev2-ve ... ml#p104295
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Aber Vorsicht: Mit dem Entfernen der VPN-Gegenstelle DEFAULT ist kein Einwahl-VPN (RAS) mehr möglich!
Weiter sollte das IKEv2 Session Cookie als Schutz vor DDoS-Attacken verwendet werden:
fragen-zum-thema-vpn-f14/vpn-anfragen-v ... ml#p114109