Hallo, ich muss auf einem LC8011er einen neuen VPN Zugang einrichten. Dieser soll jetzt außnahmsweise beschränkt werden, da er für einen externen Dienstleister gedacht ist.
Eckdaten
8011er: 172.16.112.5 (Transfernetz)
VPN Gegenstelle: edvtest mit IP 172.19.1.62
benötigter Server: 172.16.2.216
Meine Strategie war folgende, Regeln von oben nach unten
Deny All: von Gegenstelle edvtest an alle Stationen
edvtest_out_allow: von Gegenstelle edvtest an 172.16.2.216; 172.16.112.0/24
edvtest_in_allow: von 172.16.2.216; 172.16.112.0/24 an Gegenstelle edvtest
Es erscheint hierbei die Meldung "keine Regel für IDs gefunden". Die Verbindung kommt nur zustande, wenn eine Regel:
von allen Stationen an Gegenstelle edvtest eingetragen ist.
Hat jemand eine Idee? Danke, sven
Bei DENY ALL funktioniert die VPN Einwahl nicht mehr
Moderator: Lancom-Systems Moderatoren
-
DerSenator
- Beiträge: 6
- Registriert: 05 Sep 2007, 17:31
Hi DerSenator
Trage im Client nur das das Netz ein, daß er erreichen können soll (wenn ich dich richtig verstehe, ist das nur der Server 172.16.2.216/32).
Im LANCOM stellst du für den Client die VPN-Regelerzeugung auf manuell um und setzt an der Regel edvtest_in_allow das Häkchen bei "Diese Regel wird zur Erzeuguzng von VPN-Regeln herangezogen)
Da der Client ja nur den Server erreichen soll, nimmst du am besten aus den beiden edvtest Regeln noch das 172.16.112.0/24 Netz heraus.
Wenn du die Regeln so anlegst, kannst du dir die Deny-Regel komplett sparen - das wird schon durch das VPN erledigt.
Gruß
Backslash
das liegt daran, daß die Gegenseite will, daß der gesamte Traffic durch den Tunnel geht, d.h. der VPN-Client ist falsch konfiguriert.Es erscheint hierbei die Meldung "keine Regel für IDs gefunden". Die Verbindung kommt nur zustande, wenn eine Regel:
von allen Stationen an Gegenstelle edvtest eingetragen ist.
Hat jemand eine Idee? Danke, sven
Trage im Client nur das das Netz ein, daß er erreichen können soll (wenn ich dich richtig verstehe, ist das nur der Server 172.16.2.216/32).
Im LANCOM stellst du für den Client die VPN-Regelerzeugung auf manuell um und setzt an der Regel edvtest_in_allow das Häkchen bei "Diese Regel wird zur Erzeuguzng von VPN-Regeln herangezogen)
Da der Client ja nur den Server erreichen soll, nimmst du am besten aus den beiden edvtest Regeln noch das 172.16.112.0/24 Netz heraus.
Wenn du die Regeln so anlegst, kannst du dir die Deny-Regel komplett sparen - das wird schon durch das VPN erledigt.
Gruß
Backslash
-
DerSenator
- Beiträge: 6
- Registriert: 05 Sep 2007, 17:31
Hi Backslash und danke für die Antwort. Ich hatte in meinem Text vergessen zu erwähnen, das der Kunde seinen eigenen Client verwendet. Es sind also Clientseitig keine Vorgaben möglich.
Auch wenn ich ihm unseren Client aufzwingen würde, könnte er ja die Config in seinem Client nachbauen. Es gibt in der Config ja keine Passwörter oder ähnliches, wir arbeiten mit Zertifikaten.
Auch wenn ich ihm unseren Client aufzwingen würde, könnte er ja die Config in seinem Client nachbauen. Es gibt in der Config ja keine Passwörter oder ähnliches, wir arbeiten mit Zertifikaten.
Hi DerSenator
Wenn der Client "mehr" möchte, kommt halt die Meldung: "keine Regel für IDs"...
So ist z.Zt der Client des Kunden offenbar so konfiguriert, daß er jeden Traffic durch den VPN-Tunnel schieben will (also auch den, der ins Internet gehen soll), d.h. er hat in seinem Client entweder gar kein entferntes Netz eingetragen oder das Netz 0.0.0.0/0.0.0.0 oder es gibt in seinem Client irgendwo ein Häkchen, mit dem er das eingestellt hat.
Egal was es ist: es ist eine Fehlkonfiguration auf Seite des Kunden!
Gruß
Backslash
das ändert aber alles nichts daran, daß er seinen Client nach euren Wünschen konfigurieren muß - und wenn der Kunde nur auf den Server zugreifen können soll, dan darf auch nur der Server im Client als entferntes "Netz" (IP des Servers, Netzmaske 255.255.255.255) konfiguriert sein. Und das kann man in jedem Client konfigurieren.Ich hatte in meinem Text vergessen zu erwähnen, das der Kunde seinen eigenen Client verwendet. Es sind also Clientseitig keine Vorgaben möglich.
Auch wenn ich ihm unseren Client aufzwingen würde, könnte er ja die Config in seinem Client nachbauen. Es gibt in der Config ja keine Passwörter oder ähnliches, wir arbeiten mit Zertifikaten
Wenn der Client "mehr" möchte, kommt halt die Meldung: "keine Regel für IDs"...
So ist z.Zt der Client des Kunden offenbar so konfiguriert, daß er jeden Traffic durch den VPN-Tunnel schieben will (also auch den, der ins Internet gehen soll), d.h. er hat in seinem Client entweder gar kein entferntes Netz eingetragen oder das Netz 0.0.0.0/0.0.0.0 oder es gibt in seinem Client irgendwo ein Häkchen, mit dem er das eingestellt hat.
Egal was es ist: es ist eine Fehlkonfiguration auf Seite des Kunden!
Gruß
Backslash