Frage zu vordefinierten IPv4-Regeln

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Frage zu vordefinierten IPv4-Regeln

Beitrag von daniel337PVS »

Guten ABend,

ehrlich gesagt, mir sind die beiden standardmäßig vorhandenen Netzwerk-Regeln im VPN-Bereich nicht so richtig klar bzw. eben der Unterschied zwischen diesen beiden:

RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0
RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32


Hab auch im Handbuch nichts dazu finden können, und online steht bei den Anleitungen zu diversen VPN-Szenarien lediglich immer wieder, dass dieser oder dieser Parameter in Verbindung mit manueller Regelerzeugung zu wählen sei.

Wann ist welche Variante zu verwenden, kann mir jemand die Unterschiede vielleicht kurz und prägnant auf den Punkt bringen?

Gruß Daniel
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Frage zu vordefinierten IPv4-Regeln

Beitrag von GrandDixence »

Diese speziellen IPv4-Regeln kommen bei Einwahlverbindungen (Remote-Access-VPN => RAS) zum Einsatz:

https://www.elektronik-kompendium.de/si ... 907081.htm

Bei Einwahlverbindungen vergibt der VPN-Server dem VPN-Client per "IKE Config Mode" eine IP-Adresse (ähnlich dem DHCP-Server dem DHCP-Client). Da die genaue dem VPN-Client vergebene IP-Adresse im Voraus nicht bekannt ist, werden diese speziellen IPv4-Regeln bei Einwahlverbindungen eingesetzt:

0.0.0.0/0 => Alle IPv4-Adressen (Default-Route)
0.0.0.0/32 => Nur IPv4-Adresse des VPN-Clients

https://en.wikipedia.org/wiki/Classless ... IDR_blocks

Dank der Security Association (SA) werden nur die IP-Pakete durch den IPSec-VPN-Tunnel durchgelassen, welche die in der SA definierten Quell-IP-Adressbereich inklusive Quell-Port und Ziel-IP-Adressbereich inklusive Ziel-Port erfüllen. Mit den IPv4-Regeln werden genau diese SA konfiguriert. Pro Einwahlverbindung braucht es zwei SA. Eine SA für die Richtung vom VPN-Client zum VPN-Server und eine SA für die Richtung vom VPN-Server zum VPN-Client.

RAS-WITH-NETWORK-SELECTION: Bidirektional von allen IP-Adressen an alle IP-Adressen durch den VPN-Tunnel durchlassen. => Einwahl eines Netzwerkrouters
RAS-WITH-CONFIG-PAYLOAD: Bidirektional alle IP-Pakete durch den VPN-Tunnel durchlassen, welche entweder Quelle oder Ziel den VPN-Client haben. => Einwahl eines einzelnen Laptop/Mobilgerät

VPN Ausgehandelte SA's anzeigen:

Code: Alles auswählen

show vpn sadb
Für Beispiele siehe:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789

fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Benutzeravatar
daniel337
Beiträge: 54
Registriert: 16 Apr 2012, 15:40

Re: Frage zu vordefinierten IPv4-Regeln

Beitrag von daniel337 »

Prima, GrandDixence, vielen Dank für die Ausführungen!

Daniel
Antworten