PPTP via Firewall auf bestimmte Quell-IPs beschränken

[tbc233]

Ich war aus verschiedenen Gründen gezwungen bei einem Lancom 1711 einen PPTP Zugang für einen externen Dienstleister einzurichten. Da hier ja nur unverschlüsseltes PPTP unterstützt wird, würde ich gerne zumindest den Zugriff auf die Verbindung auf die öffentliche IP des Dienstleisters beschränken, niemand anders soll sich verbinden können.

Dazu wollte ich eigentlich eine DENY_PPTP Regel anlegen die generell eingehende PPTP Verbindungen ablehnt und darüber eine Regel, die das einwählen von der IP des Dienstleisters erlaubt.

Leider funktioniert das nicht. Ich hab jetzt schon alle Varianten probiert, habe als Ziel sowohl die interne als auch die externe IP des Lancoms eingegeben, habe als Ziel Port 1723 verwendet und alternativ auch das vorgegebene PPTP Objekt. Nichts scheint zu greifen.

Kann es sein, dass die Firewall diesen Verbindungsaufbau gar nicht "sieht"? Wie könnte man das lösen?

Danke im voraus für eure Meinungen

[backslash]

Hi tbc233,

Kann es sein, dass die Firewall diesen Verbindungsaufbau gar nicht "sieht"?

richtig, weil die Firewall nur den Forwarding-Zweig beachtet...

Wie könnte man das lösen?

Wenn der Dienstleister eine feste IP-Adresse hat, dann kannst du sie einfach in der PPTP-Tabelle für die Verbindung angeben. Solange dort kein Eintrag mit einer 0.0.0.0 als IP-Adresse vorhanden ist, darf nur von den IP-Adressen eine Verbindung aufgebaut werden, die in der Tabelle stehen. Zusätzlich wird während der PPP-Verhandlung nochmal geprüft, ob der User, der sich da gerade anmeldet auch von der IP-Adresse kommt, die für ihn in der Tabelle steht.

Zusätzlich gilt: Solange es keinen DEFAULT-Eintrag in der PPTP-Tabelle gibt, dürfen sich auch nur die User über PPTP-Einwählen, die in der Tabelle aufgeführt sind

Gruß
Backslash

[tbc233]

Alles Klar, Danke.

Im Moment hab ich allerdings noch das komische Zusatzproblem, dass anscheinend Vista Rechner keine PPTP Verbindungen aufbauen können. Auf XP klappts wunderbar...