DSL/I-1611 Office: VPN-Ausnahme für einen Host

[JTSB]

Hallo!

Ich habe folgendes Problem - äh, Herausforderung:
Stand jetzt:
Zwei LANCOMS bauen ein VPN zwischen einer Aussenstelle und der Zentrale auf. Sämtlicher Traffic der Aussenstellen-PCs/Drucker/... läuft über dieses VPN, alles, was direkt ins Internet will, wird geblockt (DENY_ALL). Soweit, sogut

Nun wird an der Aussenstelle ein Terminal installiert. Dieses Terminal (feste interne IP) muss sich nun "über UDP-Port 500" mit einem im Internet befindlichen Rechner verbinden; feste IP dieses PC ist bekannt.

Wie konfiguriere ich nun diese eine explizite Ausnahme, so dass nur dieser eine Rechner direkt mit nur der einen Gegenstelle im Internet nur über den Port 500 kommunizieren darf? Und vor allem ohne mir mein schönes funktionierendes VPN zu zerschiessen oder unnötig aufzulockern...


Danke schonmal im Voraus, Jan.

[backslash]

Hi JTSB

Wie konfiguriere ich nun diese eine explizite Ausnahme, so dass nur dieser eine Rechner direkt mit nur der einen Gegenstelle im Internet nur über den Port 500 kommunizieren darf? Und vor allem ohne mir mein schönes funktionierendes VPN zu zerschiessen oder unnötig aufzulockern...

in dem du zwei Firewallregeln einrichtest: Die erste blockiert alles für diesen Rechner und die zweite läßt nur genau die eine Verbindung zu. Bei der Allow-Regel mußt du aber neben dem Port 500 auch noch den Port 4500 (NAT-T) oder des IP-Protokoll 50 (ESP) erlauben, weil der Client sonst keine Verbindung aufgebaut bekommt...

Code: Alles auswählen

Name:       Client-Deny-All
Aktion:     zurückweisen
Quelle:     IP des Clients
Ziel:       alle Stationen
Dienst:     alle Dienste

Name:       Client-Alow-VPN
Aktion:     übertragen
Quelle:     IP des Clients
Ziel:       alle Stationen
Dienst:     Protokoll: UDP, Zielports 500, 4500
            Protokoll: 50

Gruß
Backslash

[JTSB]

Hallo, Backslash!

Erstmal vielen Dank für die schnelle Antwort!

Und diese zwei Regeln lege ich in der Priorität höher als die vorhandenen - also:
- höchste Prio: neue Allow-Regel für den einen Rechner (diese würde ich dann aber besser auch nur auf die eine feste Ziel-IP und nicht auf "alle Stationen" beziehen, oder?)
-zweithöchste: Deny-Regel für den einen Rechner.
Wenn ich die Deny-Regel weglassen würde, käme der Rechner über die vorhandenen VPN-Regeln (diese sind auf Subnetz-Ebene eiungeschränkt) bis zur Zentrale durch, richtig?

Der Haken bei "Diese Regel ist für die Firewall aktiv" muss rein;
der Haken bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" und "Diese Regel hält die Verbindungszustände nach" auch?

Muss ich eigentlich keine neuen VPN-Gegenstellen definieren - reicht das in der FW aus??

Danke, Gruß, Jan.

[backslash]

Hi JTSB

höchste Prio: neue Allow-Regel für den einen Rechner

korrekt

(diese würde ich dann aber besser auch nur auf die eine feste Ziel-IP und nicht auf "alle Stationen" beziehen, oder?)

wenn sich die IP nie ändert: ja

-zweithöchste: Deny-Regel für den einen Rechner.

ja

Wenn ich die Deny-Regel weglassen würde, käme der Rechner über die vorhandenen VPN-Regeln (diese sind auf Subnetz-Ebene eiungeschränkt) bis zur Zentrale durch, richtig?

richtig

Der Haken bei "Diese Regel ist für die Firewall aktiv" muss rein;

ja, denn sonst würde die Firewall die Pakete ja ignorieren

der Haken bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"

nein, denn das geht ja nicht durch das VPN sondern einfach ins Internet

und "Diese Regel hält die Verbindungszustände nach" auch?

das sollte wieder an sein

Muss ich eigentlich keine neuen VPN-Gegenstellen definieren - reicht das in der FW aus??

Der Client macht doch selbst VPN mit dem externen Server. Da ist das VPN des LANCOMs komplett aussen vor und deshalb muß da auch nichts weiteres konfiguriert werden.

Gruß
Backslash

[JTSB]

Hallo, Backslash!

Habe es gerade eingerichtet - funktioniert einwandfrei!
Besten Dank!

JTSB