VPN an bestimmtes IP Netz binden

theroot · Beitrag von **theroot** » 19 Apr 2012, 13:06

Hallo zusammen,

ich habe in einem Lancom Router 2 IP Netzwerke definiert.
192.168.1.0 auf LAN-1 und 192.168.2.0 auf LAN-2
und damit eine Netztrennung erreicht.

Jetzt habe ich eine VPN von dem Router zu einen anderen Standort (192.168.3.0) definiert und will das nur LAN-1 erreichbar ist. Soweit funktioniert das auch, da ich an dem anderen Router als Adressbereich der Gegenstellen nur LAN-1 angegeben habe.

Im LAN Monitor erscheinen aber immer Fehler:
Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]

Wenn ich nun mit show vpn im Router schaue will auch immer beide IP Netzwerke an die VPN binden.

Connection #1 192.168.1.0 <-> 192.168.3.0
Connection #2 192.168.2.0 <-> 192.168.3.0

Wo kann ich einstellen, dass ich nur LAN-1 an die VPN binden will?

Dank im voraus.

Gruss
theroot

backslash · Beitrag von **backslash** » 19 Apr 2012, 14:20

Hi theroot

Wo kann ich einstellen, dass ich nur LAN-1 an die VPN binden will?

Du kannst Routing-Tags verwenden (z.B. LAN-1 -> Tag 1, LAN-2 -> Tag 2 und VPN-Route -> Tag 1), da VPN-Reglen nur zwischen gleich getaggten Netzen erstellt werden. Die Verwendung von Routinbg-Tags führt gleichzeitig dazu, daß kein Traffic mehr zwischen LAN-1 und LAN-2 läuft.

Wenn du doch zwischen den LANs routen willst, mußt du das mit Firewallregeln, die Pakete passend umtaggen, wieder zulassen...

Code: Alles auswählen

Routing-Tag: Tag für LAN-2
Aktion:      übertragen
Quelle:      lokales Netz LAN-1
Ziel:        lokales Netz LAN-2
Dienste:     alle Dienste


Routing-Tag: Tag für LAN-1
Aktion:      übertragen
Quelle:      lokales Netz LAN-2
Ziel:        lokales Netz LAN-1
Dienste:     alle Dienste

Du kannst auch LAN-2 als DMZ deklarieren - dann wird es nicht in die VPN-Regeln aufgenommen.

Oder du stellst die VPN-Verbindung die Regelerzeugung auf "manuell" um und erstellst eine passende VPN-Regel in der Fireall:

Code: Alles auswählen

[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:   übertragen
Quelle:   Lokales Netz LAN-1
Ziel:     VPN-Gegenstelle
Dienste:  alle Dienste

In den beiden letzten Fällen solltest du noch verhindern, daß Pakete aus LAN-2 in Richtung des VPNs geschickt werden (auch wenn sie dort aufgrund einer fehlenden Regel verworfen werden, erpart es unnötiges suchen nach nicht vorhandenen VPN-Regeln...). Dies kannst du über eine weitere Firewallregel erreichen:

Code: Alles auswählen

[x] Diese Regel ist für die Firewall aktiv
[ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:   zurückweisen
Quelle:   Lokales Netz LAN-2
Ziel:     VPN-Gegenstelle
Dienste:  alle Dienste

Gruß
Backslash

theroot · Beitrag von **theroot** » 19 Apr 2012, 20:45

Hallo backslash,

Dank für deine Antwort.

Mit den Tag's wird es schwer, da mehrere VPNs am Router anliegen und manche auch beide Netze verwenden. Eine Kommunikation zwischen Lan-1 und Lan-2 ist aktuell nur möglich, wenn eine Firewallregel erstellt ist.

Ich werde wohl die Möglichkeit der manuellen Regelerzeugung probieren.
Oder kann man einer VPN auch zwei Tag's zuordnen und einer anderen nur einen?

Gruss theroot

backslash · Beitrag von **backslash** » 20 Apr 2012, 12:28

Hi theroot

Oder kann man einer VPN auch zwei Tag's zuordnen und einer anderen nur einen?

jain... es ist zwar möglich auf einem VPN-Tunnmel mehrere Tags zu vereinen, da aber das VPN selbst keine Tags kennt, außer daß bei der automatischen Regelerstellung zu einer getaggten Route alle LANs mit dem gleichen Tag in einer VPN-Regel zusammegefaßt werden, bleiben die getaggten Netzbeziehungen auch durch das VPN hindurch getrennt

In so einem Fall wirst du um manuelle Regelerstellung nicht herum kommen.

Gruß
Backslash