[gelöst] Zugriff auf 1783VA per VPN nicht mehr möglich

[zelda]

Hallo,

vielleicht hat ja jemand einen Tip meinen plötzlich auftretenden Fehler beheben zu können.
Wie lange der Fehler/die Zugriffsverweigerung existiert ist schwer zu sagen, da der Lancom Router für eine Konfiguration von außen nur recht selten benutzt wird. Fest steht aber, der Zugriff war möglich, weil er mit den konfigurierbaren Lancom Routern anderer Netzwerke in der Liste der LANCONFIG Programms immer noch eingetragen ist (mittlerweile als 'Unbekannt', aber der Zugriff verweigert wird.....ebenso der Zugriff über den Web-Browser.
Ein Zugriff lokal von den Rechnern im dortigen Netzwerk funktioniert einwandfrei.

NUR wenn ich mich via Lancom/Bintec VPN in das Netzwerk einwähle wird mir der Zugriff auf den 1783VA Router verwehrt. Alle anderen Web-Zugriffe für eine Konfiguration wie z.B. IP Drucker, IP Telefon etc. sind via VPN Verbindung in dem Netzwerk möglich.

Ein PING auf die IP des 1783VA geht auch anstandslos durch. Aber beim Zugriff via Browser erhalte ich statt der Login-Aufforderung nur ACCESS Denied.

Firewall & Defender auch schon auf der Gegenseite temporär deaktiviert....aber weiterhin erfolgt eine Zugriffsverweigerung.
Neue VPN Einwahl generiert....ebenso....nur beim Lancom Router kein Zugang möglich.
Zusätzliches Notebook mit Lancom VPN Einwahl erstellt....weiterhin nur beim 1783VA Router keine Einwahl/Zugang möglich.

Momentan weiß ich wirklich nicht wo ich den Fehler suchen soll....

Vielen Dank im Voraus für jeden zusätzlichen Tip
Andi

[Hagen2000]

Vielleicht hast Du unter Management - Admin - Zugriffsstationen den Zugriff auf LAN-Teilnehmer beschränkt?

Ansonsten müsstest Du bitte nochmal etwas genauer ausführen, wie die VPN-Verbindung hergestellt wird bzw. welche Geräte dabei alles im Spiel sind.

[tstimper]

Welche Firmware Version hat der 1783VA?
Siehst Du in Deiner Config Backup History auffällige Änderungen?
Also wurde bei den Access Settings was geändert?

In Lanconfig > Management > Admin > Access settings > Access rights > From WAN
und > Management > Admin > Access settings > Access stations

Viele Grüße

ts

[zelda]

Die VPN Einwahl erfolgt mit einem erstellten (sowie zur Probe noch einmal neu erstelltem) IKEV2C Zugang. Funktioniert ja auch für alle Geräte via Web-Config und auch alle Remotedesktop PCs zur Einwahl und Verbindung im entfernten Netzwerk.

Unter Admin sind für LAN alle Berechtigungen auf erlaubt. Die Funktion ist zumindest auch tätig, denn wenn man eines der Protokolle HTTP oder FTP auf nein setzt, kann man auch keine Verbindung mehr von einem lokalen PC (mit dem man per VPN und Remotedesktop verbunden ist) im entfernten Netzwerk den Router erreichen.

Die Firmware vom Lancom ist 10.40.0414RU3

[tstimper]

Unter Admin sind für LAN alle Berechtigungen auf erlaubt.

Für den Zugriff aus dem WAN über VPN ist bei WAN der Zugriff auf "nur über VPN" einzustellen

Die Firmware vom Lancom ist 10.40.0414RU3

Vielleicht kommt da Dein Problem her?
hast Du an der CLI das Password geändert? Es s gab ein Problem,
siehe CVE-2021-33903 "Lancom LCOS changing root password via CLI does not change root password for SNMPv3"
https://www.nmedv.de/wp-content/uploads ... 21-001.txt

Nimm mindestens v10.42.0611-ru4, aber auch dannach gab es ettliche Security Fixes.

Viele Grüße

ts

PS: Config Backup nicht vergessen ....

[zelda]

Vielen Dank....zumindest war das update plausibel...und ich lasse nun auch die Firmware 10.50 installiert.
Sollten noch zusätzlich Störungen auftreten, kann ich ja die Config von 10.40 wieder zurückspielen.

Bei der Abfrage nach Firmwareupdates online checken, gab es immer nur die Antwort: Keine updates verfügbar.
D.h. bei Lancom selbst auf der Support Seite habe ich dann erst die Firmware 10.42 und 10.50 gesehen.

Leider ist auch mit der 10.50 Version zumindest der Zugriff auf den Router via VPN immer noch blockiert und im Lanconfig
erscheint die Meldung -Keine Antwort- ...weiterhin ist ein PING bei bestehender VPN Verbindung auf die IP des Lancom Routers ohne Fehler möglich.

Viele Grüße

[Hagen2000]

Wenn Du über VPN auf den LANCOM Router zugreifst, behandelt er das wie einen Zugriff über WAN (auch wenn Du seine LAN-IP ansprichst). tstimper hat ja schon geschrieben, was Du noch prüfen musst.

[zelda]

Ja, so funktioniert es wieder.

Ganz lieben Dank für die Hilfestellung....ich war wirklich fehlgeleitet von der Annahme, dass bei VPN die LAN Freigabe ausreicht. Das trifft auch auf alle anderen IP-Geräte im entfernten Netzwerk zu, aber der Lancom selbst benötigt für den Zugriff auch die WAN Freigabe.

Perfekt!