Hallo zusammen,
folgende Situation:
Es existiert ein Router "hinter" dem drei Netzwerke sitzen, diese sind duch einen VLAN fähigen Switch getrennt.
Kunde 1 = VLAN 1
Kunde 2 = VLAN 2
Kunde 3 = VLAN 3
Jeder Kunde kommt vom Switch über ETH4 auf den Lancom ins Internet, die Netze sind getrennt.
Jetzt die Frage:
Wenn Kunde 1 ein VPN zum Lancom aufbaut, wie sperre ich diese Sitzung so sein, das die Packete nurnoch an VLAN 1 gehen?
Und weiter - wie richte ich verschiedene DHCP Bereiche für die VPN Clients der verschiendenen Kunden ein?
VIelen Dank für eure Hilfe!
subby
VPN Clients mit unterschiedlichen DHCP Servern Daten trennen
Moderator: Lancom-Systems Moderatoren
Hi subby
hier heißt das Stichwort "ARF"... Gib den LANs verschiedene Interface-Tags, so daß sie sich schonmal Gegenseitig nicht sehen.
Dann trägst du in der "WAN-Tag-Tabelle" (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle) die VPN-Clients ein gibst ihnen dort das Tag, daß zu dem LAN gehört, das sie sehen dürfen. Gleichzeitig kannst du dort auch den "DHCP"-Adreßbereich angeben. Achte darauf, daß sich die Bereiche nicht überlappen - sowas kann häßliche Nebenwirkungen haben
Die Tabelle verkraftet bei den Namen Wildcards, so daß du die VPN-Gegenstellen der einzelnen Kunden zusammenfassen kanns, z.B. *@kunde1, *@kunde2 - natürlich mußt du dann die VPN-Gegenstellen nach eben diesem Shema benamen: user1@kunde1, user2@kunde1, etc...
Gruß
Backslash
hier heißt das Stichwort "ARF"... Gib den LANs verschiedene Interface-Tags, so daß sie sich schonmal Gegenseitig nicht sehen.
Dann trägst du in der "WAN-Tag-Tabelle" (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle) die VPN-Clients ein gibst ihnen dort das Tag, daß zu dem LAN gehört, das sie sehen dürfen. Gleichzeitig kannst du dort auch den "DHCP"-Adreßbereich angeben. Achte darauf, daß sich die Bereiche nicht überlappen - sowas kann häßliche Nebenwirkungen haben
Die Tabelle verkraftet bei den Namen Wildcards, so daß du die VPN-Gegenstellen der einzelnen Kunden zusammenfassen kanns, z.B. *@kunde1, *@kunde2 - natürlich mußt du dann die VPN-Gegenstellen nach eben diesem Shema benamen: user1@kunde1, user2@kunde1, etc...
Gruß
Backslash
Hallo Backslash,
vielen Dank für die Hilfe.
Es gibt noch zwei Probleme auf meiner Seite:
1. Wenn ich die IP Adresse in die WAN-Tag-Tabelle einfüge, bekommt der Client diese zugewiesen, jedoch sehe ich keine Möglichkeit DNS Server oder Gateways zu konfugurieren, muss ich die Einstellungen noch an anderer Stelle vornehmen?
2. Komischer Weise finden auf die von dir vorgschlagene Art eingebundene Clients den Weg ins interne Netz nicht mehr.
Wenn ich es auf der "Voreinstellung" vom Wizzard belasse, bekommen alle VPN Clients eine IP und Gateway etc das unter "Konfiguration -> Ipv4 -> Adressen" hier kann ich den Router vom VPN aus anpingen, auch Stationen im LAN die sich im selben IP Bereich befinden sind erreichbar.
Sobald ich in die WAN-Tag-Tabelle Einträge vornehme geht der Ping auch auf den Router nicht mehr durch.
Mit der Firewall habe ich experimentiert, bin jedoch zu keinem gescheiten Ergebniss gekommen.
Vielen Vielen Dank!
subby
vielen Dank für die Hilfe.
Es gibt noch zwei Probleme auf meiner Seite:
1. Wenn ich die IP Adresse in die WAN-Tag-Tabelle einfüge, bekommt der Client diese zugewiesen, jedoch sehe ich keine Möglichkeit DNS Server oder Gateways zu konfugurieren, muss ich die Einstellungen noch an anderer Stelle vornehmen?
2. Komischer Weise finden auf die von dir vorgschlagene Art eingebundene Clients den Weg ins interne Netz nicht mehr.
Wenn ich es auf der "Voreinstellung" vom Wizzard belasse, bekommen alle VPN Clients eine IP und Gateway etc das unter "Konfiguration -> Ipv4 -> Adressen" hier kann ich den Router vom VPN aus anpingen, auch Stationen im LAN die sich im selben IP Bereich befinden sind erreichbar.
Sobald ich in die WAN-Tag-Tabelle Einträge vornehme geht der Ping auch auf den Router nicht mehr durch.
Mit der Firewall habe ich experimentiert, bin jedoch zu keinem gescheiten Ergebniss gekommen.
Vielen Vielen Dank!
subby
Hi subby
Den zuzuweisenden DNS-Server kannst du in den DHCP-Einstellungen für das jeweilige LAN (ARF-Netz) eintragen - ggf. mußt du da einfach die IP-Adresse des LANCOMs in diesem Netz eintragen. Ab der nächsten Version, wirst du die DNS-Server auch direkt in der WAN-Tag-Tabelle zuweisen können...
Gruß
Backslash
Gateway ist nicht nötig, da es sich um eine Punkt-Zu-Punkt-Verbindung handelt.1. Wenn ich die IP Adresse in die WAN-Tag-Tabelle einfüge, bekommt der Client diese zugewiesen, jedoch sehe ich keine Möglichkeit DNS Server oder Gateways zu konfugurieren, muss ich die Einstellungen noch an anderer Stelle vornehmen?
Den zuzuweisenden DNS-Server kannst du in den DHCP-Einstellungen für das jeweilige LAN (ARF-Netz) eintragen - ggf. mußt du da einfach die IP-Adresse des LANCOMs in diesem Netz eintragen. Ab der nächsten Version, wirst du die DNS-Server auch direkt in der WAN-Tag-Tabelle zuweisen können...
Dadurch, daß du den Clients Tags zugeweisen hast, greifen die Sichtbarkeitsregeln des ARF, d.h. die Clients können nur noch Netze sehen, die das gleiche Tag besitzen... Sollen sie auch andere Netzes sehen können, mußt du dies über Firewallregeln explizit erlauben. Diese Regeln müssen dann einkommende Pakete mit dem passenden Routing-Tag versehen. Dabei ist ein ganz wichtiger Punkt zu beachten: Wenn du die Pakete auf das Tag 0 umtaggen willst, mußt du in der Firewall 65535 eintragen, da ein Tag 0 an einer Firewallregel bedeutet, daß ein etwaig vorhandenes Tag nicht geändert wird.2. Komischer Weise finden auf die von dir vorgschlagene Art eingebundene Clients den Weg ins interne Netz nicht mehr.
Gruß
Backslash