Hallo,
gerade frage ich mich, wie es sich mit folgendem verhält: Konfiguriert ist eine VPN-Einwahl zum Zugriff eines Heimrechners ins LAN hinter dem Router. Die VPN-Gegenstelle erhält in der jetzigen Konfiguration eine IP im LAN mit Proxy-ARP, IPSec-Zielnetz ist das LAN.
Der entfernte Rechner soll jedoch keinen freien Zugriff ins LAN haben, sondern erstmal nur auf den Remote-Desktop-Port eines Rechners im LAN. Dafür möchte ich eine Firewallregel verwenden, die RDP durchläßt. Jedoch setzt ein Paketfilter doch prinzipiell nur beim Routen zwischen Netzen an, oder? Evtl. wäre es in dieser Konstellation also sinnlos, eine Firewallregeln "Zielport 3389 erlauben" mit Quelle VPN-Gegenstelle (logisch bereits im LAN) und Ziel lokales Netz zu erstellen? Oder sind VPN-Gegenstellen ein Ffall, bei dem dies funktioniert?
Eine Alternative wäre, der VPN-Gegenstelle eine IP in der DMZ zu geben (IPSec-Zielnetz wäre weiterhin das LAN). Würde eine Firewallregel wie oben genannt dann seinen Zweck erfüllen?
Gruß,
omd
LAN gegen VPN-Einwähler absichern
Moderator: Lancom-Systems Moderatoren
Danke, das ist für mich eine gute Nachricht. Dann sollte meine DENY-ALL Regel auch dort greifen.
Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr? Hätte nämlich gerne per E-Mail-Benachrichtigung gewusst, wer so aus dem Internet auf den Router zugreift.
Gruß,
omd
Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr? Hätte nämlich gerne per E-Mail-Benachrichtigung gewusst, wer so aus dem Internet auf den Router zugreift.
Gruß,
omd
Hi omd,
Um dies festzustellen solltest du mal in deiner deny_all regel schauen ob diese nicht nur bei zugriffen über die default-route greift.
Sollte dies nämich der Fall sein, werden Pakete, die über die RAS, PPPTP und IPSec Einwahlen reinkommen nich von der deny_all gefiltert.
Das kannst du bei der Paketaktion nachschauen.
Gruß
maikel_b
du sagst es. Die sollte dort greifen, muss aber net.Danke, das ist für mich eine gute Nachricht. Dann sollte meine DENY-ALL Regel auch dort greifen.
Um dies festzustellen solltest du mal in deiner deny_all regel schauen ob diese nicht nur bei zugriffen über die default-route greift.
Sollte dies nämich der Fall sein, werden Pakete, die über die RAS, PPPTP und IPSec Einwahlen reinkommen nich von der deny_all gefiltert.
Das kannst du bei der Paketaktion nachschauen.
Meinst du jetzt auf die Konfiguration des Routers ?Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr?
Gruß
maikel_b
Hallo Maikel,
Mittlerweile ist der Router im Einsatz. Bei der Einrichtung des VPN daheim am Einsatzort gab es nochmal eine Schrecksekunde der Ungewissheit. Man sollte die zum Testen ausgestellten Zertifikate nicht so nennen wie die später mit der "echten" CA signierten Dateien....
Gruß,
omd
Okay, die Regel ist/war erstmal ohne Einschränkungen gültig. Hab' es auch ausprobiert.maikel_b hat geschrieben:du sagst es. Die sollte dort greifen, muss aber net.Danke, das ist für mich eine gute Nachricht. Dann sollte meine DENY-ALL Regel auch dort greifen.
Damit meine ich grundsätzlich jede Art von Verbindungen. Z.B. auch wenn jemand mit der IPSec-Implementierung plaudert (was ja grundsätzlich jedem möglich ist).Meinst du jetzt auf die Konfiguration des Routers ?Bei Zugriffen direkt auf die öffentliche IP meines Routers habe ich aber keine Chance zu filtern, oderr?
Mittlerweile ist der Router im Einsatz. Bei der Einrichtung des VPN daheim am Einsatzort gab es nochmal eine Schrecksekunde der Ungewissheit. Man sollte die zum Testen ausgestellten Zertifikate nicht so nennen wie die später mit der "echten" CA signierten Dateien....
Gruß,
omd