Standortkopplung nur für einzelne Remote-Hosts

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
klickibunti
Beiträge: 15
Registriert: 01 Jan 2017, 15:22

Standortkopplung nur für einzelne Remote-Hosts

Beitrag von klickibunti »

Hallo ins Forum,
ich habe einige Standortkopplungen mit LC1781 am Laufen.
Generiert habe ich sie jeweils über den Assistenten und bin seit Jahren sehr zufrieden damit.
Das ist natürlich eine sehr oberflächliche Herangehensweise aber es war eben sehr bequem.
Nun muß ich mich näher damit befassen, weil ich nicht mehr will, daß alle Hosts im "Remote-Netzwerk" auf die "Zentrale" zugreifen können.
Ich möchte das limitieren und den "Zentrale-LC" so konfigurieren , daß nur ganz bestimmte IP-Adressen aus dem Remote-LAN auf die Zentrale zugreifen können. Am besten so, daß die bestehenden Tunnel bestehen bleiben können.
Wie muß ich das "anfassen".
Danke und viele Grüße!

Jens
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Standortkopplung nur für einzelne Remote-Hosts

Beitrag von backslash »

Hi klickibunti,
Wie muß ich das "anfassen".
dazu brauchst du eigentlich nur zwei Firewallregeln... Eine, die den Traffic aus den Filialen in die Zentrale komplett verbietet und eine, die den gewünschten Hosts den Zugriff auf die Zentrale erlaubt...
Entweder einmal in der Zentrale oder - wenn du unnötigen Traffic bereits verhindern willst - einen passenden Satz in jeder Filiale.

Gruß
Backslash
klickibunti
Beiträge: 15
Registriert: 01 Jan 2017, 15:22

Re: Standortkopplung nur für einzelne Remote-Hosts

Beitrag von klickibunti »

Danke Backslash.
Leider fehlt mir dazu der konkrete technische Background.
Ich kann die LC nur anfassen, wenn ich genau weiß was ich tue (und das ist in diesem Fall nicht so).
Sie sind alle im täglichen Dauereinsatz und ich kann dabei ohne einen konkreten (!!) Plan nichts (mit Halbwissen) "probieren".
Gibt es dazu einen Link mit weiteren Informationen oder ein HowTo von LC?
Die LC Assistenten funktionieren für mich so gut, daß ich die "Handarbeit" etwas aus den Augen verloren habe.
Vielleicht sollte ich mir ggf. einen Testtunnel mit zwei LC (zu Hause+Firma) aufbauen.....
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Standortkopplung nur für einzelne Remote-Hosts

Beitrag von backslash »

Hi klickibunti

OK hier eine Schritt für Schritt Anleitung:

als estes legst du Stations-Objekte für die Zentrale und die erlaubten Rechner an:

Firewall/Qos -> IPv4-Regeln -> Stations-Objekte -> Hinzufügen:

Code: Alles auswählen

-> Name des Objekts: NET-ZENTRALE
-> Stationen 
   -> Hinzufügen
      (*) Eine  ganzes IP-Netzwerk
          IP-Adresse: Netzadresse der Zentrale
          Netzmaske:  Netzmaske der Zentrale 

Code: Alles auswählen

-> Name des Objekts: ALLOWED-HOSTS
-> Stationen 
   -> Hinzufügen (für jede Adresse wiederholen)
      (*) Eine IP-Adresse oder eion Bereich von Adressen
          Von IP-Adresse  <IP-Adresse eines erlaubten Rechners>
          Bis IP-Adresse  <leer>
und dann legst du die beiden Firewallregeln an

Firewall/Qos -> IPv4-Regeln -> Regeln -> Hinzufügen:

Code: Alles auswählen

-> Name:      DENY-ZENTRALE
-> Aktion:    REJECT
-> Stationen: Quelle: (*) Verbindungen von allen Stationen
              Ziel:   (*) Verbindungen an folgende Stationen:
                       -> Hinzufügen -> NET-ZENTRALE
Dinste:   alle Protokolle/Dienste

Code: Alles auswählen

Name:      ALLOW-ZENTRALE
Aktion:    ACCEPT
Stationen: Quelle: (*) Verbindungen con folgende Stationen:
                       -> Hinzufügen -> ALLOWED-HOSTS
           Ziel:   (*) Verbindungen an folgende Stationen:
                       -> Hinzufügen -> NET-ZENTRALE
Dinste:   alle Protokolle/Dienste
fertig


Gruß
Backslash
Antworten