Hallo,
folgendes soll umgesetzt werden (Router LANCOM 1800VA):
- Router IP 192.168.3.1
- Schnittstelle ETH-4 auf LAN4 konfiguriert (Private Mode) mit DHCPv4, Adressbereich 10.10.1.0 -> funktioniert
- Isolierter Zugriff via VPN (nur ein einziger bzw. definierter VPN-Tunnel) auf ETH-4 einrichten (kein Zugriff auf INTRANET 192.168.3.0 und Webinterface) -> funktioniert nicht
Ich habe schon diverse FW-Regeln erstellt - leider erlaubt der Router weiterhin den Zugriff auf alle Adressbereiche.
Wo ist mein Denk- oder Konfigurationsfehler?
Gerne auch ein Verweis auf die FAQ von LANCOM. Habe dort leider nichts passendes gefunden..
Danke für Feedback!
Viele Grüße
Markus
VPN auf ETH-4 isolieren
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: VPN auf ETH-4 isolieren
Site-to-Site VPN (IKEv2) oder VPN-Client?
Re: VPN auf ETH-4 isolieren
Es geht (nur) um einen VPN-Client.
Würde denn auch im Nachgang noch ein Site-to-Site gehen, der wiederum Zugriff auf alle Netzwerke hat oder torpediert man sich damit wieder die Isolation des VPN-Client?
Danke!
Würde denn auch im Nachgang noch ein Site-to-Site gehen, der wiederum Zugriff auf alle Netzwerke hat oder torpediert man sich damit wieder die Isolation des VPN-Client?
Danke!
Re: VPN auf ETH-4 isolieren
Hey Malaku,
könntest mal bitte auflisten, auf welchen Schnittstellen welche Netze konfiguriert sind und wer worauf Zugriff haben soll?
Stichworte die ggfs. zur Lösung beitragen können:
- Firewall
- Routing Tags
- VLAN
Aber wie gesagt: ich glaub der erste Schritt wäre, zu erfahren, was es an Netzen gibt auf welchen Schnittstellen und wer mit wem quatschen können soll.
S.
könntest mal bitte auflisten, auf welchen Schnittstellen welche Netze konfiguriert sind und wer worauf Zugriff haben soll?
Stichworte die ggfs. zur Lösung beitragen können:
- Firewall
- Routing Tags
- VLAN
Aber wie gesagt: ich glaub der erste Schritt wäre, zu erfahren, was es an Netzen gibt auf welchen Schnittstellen und wer mit wem quatschen können soll.
S.
Re: VPN auf ETH-4 isolieren
Hi,
im Grunde soll folgender Aufbau stattfinden:
- LAN-1 auf ETH-1 bis ETH-3 (freier Zugriff -> Internet + Untereinander)
- LAN-4 auf ETH-4 (isolierter Zugriff -> Internetzugriff frei; aber kein Zugriff auf LAN-1 und/oder Routeroberfläche)
- 1x VPN-Client auf LAN-4/ETH-4 (ohne Zugriffsmöglichkeit auf LAN-1 und/oder Routeroberflöche)
- Weitere VPN-Clients auf LAN-1 (freier Zugriff)
Der Router ist (quasi) noch komplett jungfräulich. Bisher ist kein sep. VLAN angelegt, die Firewall nur durch den VPN-Client angepasst.
Segment LAN-1: 192.168.3.0
Segment LAN-4: 10.10.1.0 (kann aber gerne noch angepasst werden)
Gruß
im Grunde soll folgender Aufbau stattfinden:
- LAN-1 auf ETH-1 bis ETH-3 (freier Zugriff -> Internet + Untereinander)
- LAN-4 auf ETH-4 (isolierter Zugriff -> Internetzugriff frei; aber kein Zugriff auf LAN-1 und/oder Routeroberfläche)
- 1x VPN-Client auf LAN-4/ETH-4 (ohne Zugriffsmöglichkeit auf LAN-1 und/oder Routeroberflöche)
- Weitere VPN-Clients auf LAN-1 (freier Zugriff)
Der Router ist (quasi) noch komplett jungfräulich. Bisher ist kein sep. VLAN angelegt, die Firewall nur durch den VPN-Client angepasst.
Segment LAN-1: 192.168.3.0
Segment LAN-4: 10.10.1.0 (kann aber gerne noch angepasst werden)
Gruß
Re: VPN auf ETH-4 isolieren
Ein ähnliches Setup läuft bei mir so (die Menüpunkte beziehen sich auf LANconfig):
Unter IPv4 / Allgemein / IP-Netzwerke sollten ja schon deine beiden Netzwerke existieren. Beiden vergibst Du ein beliebiges Tag, jeweils ungleich Null, also beispielsweise 123 und 4 in Anlehnung an die verwendeten Ethernet-Ports. Dadurch sind sie schon mal vollständig voneinander isoliert.
Um den Zugriff auf die Routeroberfläche zu verhindern, richtest Du unter Management / Admin / Zugriffseinstellungen die Zugriffs-Stationen ein, so dass beispielsweise nur das Netz 192.168.3.0/24 erlaubt ist (Vorsicht, nicht selbst aussperren!).
Durch die vergebenen Tags sind nun beide Netzwerke voneinander abgegrenzt und Du kannst später in der Routing-Tabelle Regeln erstellen, die für beide Netze gelten (Routing-Regel hat Tag 0) oder gezielt für eines deiner beiden Netze durch Angabe des entsprechenden Tags.
Unter IPv4 / Allgemein / IP-Netzwerke sollten ja schon deine beiden Netzwerke existieren. Beiden vergibst Du ein beliebiges Tag, jeweils ungleich Null, also beispielsweise 123 und 4 in Anlehnung an die verwendeten Ethernet-Ports. Dadurch sind sie schon mal vollständig voneinander isoliert.
Um den Zugriff auf die Routeroberfläche zu verhindern, richtest Du unter Management / Admin / Zugriffseinstellungen die Zugriffs-Stationen ein, so dass beispielsweise nur das Netz 192.168.3.0/24 erlaubt ist (Vorsicht, nicht selbst aussperren!).
Durch die vergebenen Tags sind nun beide Netzwerke voneinander abgegrenzt und Du kannst später in der Routing-Tabelle Regeln erstellen, die für beide Netze gelten (Routing-Regel hat Tag 0) oder gezielt für eines deiner beiden Netze durch Angabe des entsprechenden Tags.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen