Hallo,
die VPN Verbindung zwischen den Routern (R883VAW v10.20.0482 und R884VA v10.20.0482) wurde mit 1-click eingerichtet und funtioniert. Wie kann man konfigurieren, dass nur einzelne PCs übder das VPN geroutet werden, z.B. anhand der MAC Adresse?
partielles VPN von R883VAW auf R884VA
Moderator: Lancom-Systems Moderatoren
partielles VPN von R883VAW auf R884VA
Zuletzt geändert von Bogie am 23 Okt 2019, 13:16, insgesamt 2-mal geändert.
Gruß
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Re: partielles VPN von R883VAW auf R884VA
Hallo,
das macht man mit der Firewall. Da kann man Regeln erfassen, die gewisse Sachen verbieten oder erlauben. So könnte man jetzt entweder eine Regel erfassen, die gewissen Clients den Zugriff verbietet oder, vermutlich besser, eine Regel, die grundsätzlich allen den Zugriff verbietet und dann eine zweite Regel, die gewissen Clients den Zugriff erlaubt. Arbeitet man mit IP-Adressen, muss man dafür sorgen, dass es für diese IP-Adressen im DHCP-Server feste IP-Adresszuweisungen gibt.
Ein völlig anderer Ansatz wäre es zwei lokale Netze zu erstellen, eines in dem die Clients Zugriff auf die VPN haben, ein anderes, die keinen Zugriff auf die VPN haben.
Viele Grüße,
Jirka
das macht man mit der Firewall. Da kann man Regeln erfassen, die gewisse Sachen verbieten oder erlauben. So könnte man jetzt entweder eine Regel erfassen, die gewissen Clients den Zugriff verbietet oder, vermutlich besser, eine Regel, die grundsätzlich allen den Zugriff verbietet und dann eine zweite Regel, die gewissen Clients den Zugriff erlaubt. Arbeitet man mit IP-Adressen, muss man dafür sorgen, dass es für diese IP-Adressen im DHCP-Server feste IP-Adresszuweisungen gibt.
Ein völlig anderer Ansatz wäre es zwei lokale Netze zu erstellen, eines in dem die Clients Zugriff auf die VPN haben, ein anderes, die keinen Zugriff auf die VPN haben.
Viele Grüße,
Jirka
Re: partielles VPN von R883VAW auf R884VA
Hallo Jirka,
gibt es hierfür irgendwo Beispiele, um typische Fehler zu vermeiden?
gibt es hierfür irgendwo Beispiele, um typische Fehler zu vermeiden?
Gruß
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Re: partielles VPN von R883VAW auf R884VA
Keine Ahnung, da ich mir sowas seit Jahren nicht mehr anschaue.
Was meinst Du denn jetzt konkret? Das mit der Firewall? Da könntest Du das hier lesen
https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument
und dann auf Deine entsprechende Situation mit den VPNs zuschneiden, eine Deny-All-Regel würde dann nicht alles verbieten sondern nur alles, was als Ziel die VPN-Verbindung hat.
Zur Netztrennung sind ansonsten auch jede Menge Dokumente in der Knowledgebase zu finden.
Viele Grüße,
Jirka
Was meinst Du denn jetzt konkret? Das mit der Firewall? Da könntest Du das hier lesen
https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument
und dann auf Deine entsprechende Situation mit den VPNs zuschneiden, eine Deny-All-Regel würde dann nicht alles verbieten sondern nur alles, was als Ziel die VPN-Verbindung hat.
Zur Netztrennung sind ansonsten auch jede Menge Dokumente in der Knowledgebase zu finden.
Viele Grüße,
Jirka
Re: partielles VPN von R883VAW auf R884VA
Danke, das hilft schon mal.
Gruß
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Re: partielles VPN von R883VAW auf R884VA
Wie kann man unter den Filterregeln die Dienste auf VPN beschränken? VPN steht in den Diensten nicht zur Auswahl.
Gruß
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Re: partielles VPN von R883VAW auf R884VA
Es gibt unter Aktionen einen Haken "für VPN-Route". Den würde ich Dir aber überhaupt nicht empfehlen.
Viel besser und einfacher ist es, unter Stationen -> Verbindungs-Ziel die entsprechende VPN-Verbindung unter "Eine bestimmte Gegenstelle" anzugeben.
Viel besser und einfacher ist es, unter Stationen -> Verbindungs-Ziel die entsprechende VPN-Verbindung unter "Eine bestimmte Gegenstelle" anzugeben.
Re: partielles VPN von R883VAW auf R884VA
Den Haken hatte ich schon gesehen und gesetzt. Was macht der, wenn er nicht zu empfehlen ist?
Die Gegenstelle hatte ich auch schon ausgewählt.
Einen VPN Dienst gibt es nicht?
Die Gegenstelle hatte ich auch schon ausgewählt.
Einen VPN Dienst gibt es nicht?
Gruß
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Re: partielles VPN von R883VAW auf R884VA
fragen-zum-thema-firewall-f15/firewall- ... 17541.htmlBogie hat geschrieben: 23 Okt 2019, 16:08Den Haken hatte ich schon gesehen und gesetzt. Was macht der, wenn er nicht zu empfehlen ist?
Doch schon, aber das würde verhindern, dass ein Client eine VPN aufbauen kann. Hier baut aber Dein Router schon die VPN auf, d. h. die besteht schon und folglich kannst Du über die Firewall jetzt regeln, wer oder welche Dienste zur gegenüberliegenden Seite, also über die VPN, zugreifen dürfen. Und einen VPN-Dienst will man an dieser Stelle normal weder explizit verbieten noch erlauben.
Re: partielles VPN von R883VAW auf R884VA
Danke für die Unterstützung, die Firewallregeln funktionieren wie erwartet. 
Gruß
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Bogie
"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius