Zugriff auf Router Webinterface per VPN

[marcobln]

Hallo @all,

ich habe ein kleines Problem mit den Firewall Einstellungen im Lancom.

Ausgangssituation:
- Lancom 1711+ VPN mit fester externer IP-Adresse
- VPN Einwahl mittels Lancom AVC und Shrewsoft-Client
- Firewall-Regeln per Deny-All Prinzip

Die VPN Einwahlnutzer sollen nur auf bestimmte Dienste eines definierten Servers im internen Netz zugreifen dürfen.
Es ist also eine SA eingerichtet, die nur diese eine IP [SERVER] (192.168.100.10) erlaubt. Die eingewählten VPN Gegenstellen bekommen automatisch eine IP-Adresse aus einem festgelegten Pool [VPN-POOL] (192.168.200.20 - 30). Weiterhin ist eine Firewallregel eingerichtet, die die Kommunikation aus dem VPN-POOL auf den SERVER für bestimmte Dienste (HTTP, HTTPS usw.) erlaubt.
Soweit funktioniert das auch gut.

Der Lancom verwaltet jedoch auch die internen DNS Einträge und es wäre ja schön, wenn die auch über die VPN-Einwahl funktionieren würden.

Ich habe dazu in der Firewall-Regel für die VPN-SAs die interne IP [LANCOM](192.168.100.254) des Lancom hinzugefügt, damit die VPN-Clients eine SA dorthin aufbauen können. Weiterhin eine weitere Firewallregel eingefügt, welche die Kommunikation von [VPN-POOL] nach [LANCOM] für die Dienste DNS und NetBIOS erlaubt.

Das Problem:
Die VPN-Einwähler können auch per HTTPS auf das Webmanagement des Lancom zugreifen. Obwohl in den Firewall-Regeln der Port überhaupt nicht freigeschaltet ist.

Eventuell habe ich einen Denkfehler und sehe ihn nicht?!

PS: Unter Management-> Admin ist der Zugriff über VPN auf HTTPS zwar erlaubt, das wird auch für das Remotemanagement benötigt. Allerdings hatte ich gehofft, den Zugriff auf das Webinterface für bestimmte VPN-Einwahlen über die FW komplett unterbinden zu können.

[backslash]

Hi marcobln

Die VPN-Einwähler können auch per HTTPS auf das Webmanagement des Lancom zugreifen. Obwohl in den Firewall-Regeln der Port überhaupt nicht freigeschaltet ist.

Eventuell habe ich einen Denkfehler und sehe ihn nicht?!

Die Firewall im LANCOM stellt nur den Forwarding-Zweig dar... Der Inbound-Zweig wird über Zugriffslisten abgedeckt. Unter Management -> Admin -> Zugriffsrechte kannst du global angeben, welche Dienste aus lokalen und entfernten Netzen erlaubt sind. In der Tabelle Zugriffs-Stationen kannst du dann den Zugriff auf die generell erlaubten Konfigurations-Dienste weiter einschränken. Wenn die Tabelle leer ist, darf jeder die Dienste nutzen. Sobald sich ein Eintrag in der Tabelle befindet, dürfen nur noch IP-Adressen aus den dort eingetragenen Netzen zugreifen...
Trage dort also einfach den LAN ein (192.168.100.0/255.255.255.0) und schon sind die VPN-Clients raus...

Gruß
Backslash

[marcobln]

Hi backslash,

vielen Dank für die schnelle Antwort!
Wenn ich das richtig verstehe, kann ich also bei der Verwendung dynamischer VPN IPs den Zugriff auf das Management des Lancom nicht auf bestimmte Gegenstellen einschränken.
Wenn ich also wie gesagt für bestimmte VPN Gegenstellen (die Admins) die Konfiguration über VPN erlauben will, muß ich allen VPN Gegenstellen feste IP-Adressen zuweisen, damit ich dann die wichtigen in den Zugriffs-Stationen freischalten kann.

Liege ich richtig?

Grüße aus Berlin,
Marco

[backslash]

Hi marcobln

Wenn ich also wie gesagt für bestimmte VPN Gegenstellen (die Admins) die Konfiguration über VPN erlauben will, muß ich allen VPN Gegenstellen feste IP-Adressen zuweisen, damit ich dann die wichtigen in den Zugriffs-Stationen freischalten kann.

nein... nur die Admins brauchen feste IPs, damit du sie in der Accessliste aufnehmen kannst. Nimm die Admin-Adressen einfach aus einem weiteren Netz, z.B. 192.168.150.x, dann kannst du dieses Netz in der Access-Liste mit aufnehmen (oder du mußt alle Admins einzeln in der Acccessliste führen).

Über die WAN-Tagging-Tabelle kannst du den Admins auch in einen eigenen Pool zuweisen - solange du ihren Usernamen zuweist, die einen konstanten Teil haben, den du in der WAN-Tag-Tabelle über Wildcards abbilden kannst. Dann kannst du auch den Admin-Pool in der Accessliste zulassen

Gruß
Backslash