Hallo Freunde,
ich habe einen Lancom 17841VA mit Einwahlzugang über VPN mit Advanced VPN Client (Notebook) sowie ein Smartphone mit konfiguriertem VPN. Default-Route ins Internet über ETH-1 (Kabelmodem) passt.
Die Einwahl der VPN-Clients funktioniert seit Jahren einwandfrei.
Nur ist es so, dass ich seit dem ich die "Deny-All"-Strategie in der Firewall konfiguriert habe, vom VPN-Client aus nicht mehr über den Lancom ins Internet komme.
Da greift jedes Mal die Deny-All-Regel, egal was ich vorher freigebe.
Auch ist es so, dass ich ein zweites internes Netz habe. Auf dieses Netz speziell habe ich auch nochmal eine Deny-All-Regel drin (Deny all von any nach 2. Netz). Wenn ich die aktiviert habe, kann ich vom VPN-Client aus nicht auf das zweite interne Netz zugreifen - auch wenn ich vorher z. B. ALLOW-All für die VPN-Gegenstelle konfiguriere (allow all von vpn nach 2. Netz).
Meine Frage:
Was muss ich für die VPN-Clients einstellen, dass für sie "Allow"-Firewallregeln gelten?
Den Haken "Diese Regel wird für die Erzeugung von VPN-Netzbeziehungen (SA) verwendet" bei der Konfiguration der einzelnen Firewall-Regeln hatte ich schon aktiviert - brachte aber nichts.
Die Regelerzeugung bei den Einstellungen zur jeweiligen VPN-Gegenstelle habe ich auf "Manuell" stehen.
Es scheint mir so, als wenn das Problem mit den nicht-funktionierenden Allow-Firewall-Regeln nur bei VPN besteht. In den beiden internen Netzen funktionieren die Regeln.
Könnt ihr mir helfen?
Viele Grüße
Michael
VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Moderator: Lancom-Systems Moderatoren
Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Hi,
Bei Dir ist folgende, zusätzliche Regel nötig:
Permit <IP-Adresse VPN-Client (alternativ die "Station")> mit den gewünschten Quell-Ports/Protokollen (meist any) nach <Netzt 1 und/oder Netz 2> mit den gewünschten Ziel-Ports/Protokollen.
Viele Grüße
Udo
Diese Einträge dienen nur der SA-Aushandlung für das VPN und haben nichts mit "normalen" Paketen zu tuen.Den Haken "Diese Regel wird für die Erzeugung von VPN-Netzbeziehungen (SA) verwendet" bei der Konfiguration der einzelnen Firewall-Regeln hatte ich schon aktiviert - brachte aber nichts
Bei Dir ist folgende, zusätzliche Regel nötig:
Permit <IP-Adresse VPN-Client (alternativ die "Station")> mit den gewünschten Quell-Ports/Protokollen (meist any) nach <Netzt 1 und/oder Netz 2> mit den gewünschten Ziel-Ports/Protokollen.
Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Hallo Udo!
Super! Vielen Dank für deine schnelle Hilfe!
Das wars!
Ich habe den IP-Adressbereich für die RAS-Einwahlteilnehmer als Quelle eingetragen - funktioniert!
Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss? Ich habe viele Anleitungen und KB-Artikel gelesen, konnte das aber wirklich nicht herausfinden...
Viele Grüße und nochmals besten Dank!
Michael
Super! Vielen Dank für deine schnelle Hilfe!
Das wars!
Ich habe den IP-Adressbereich für die RAS-Einwahlteilnehmer als Quelle eingetragen - funktioniert!
Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss? Ich habe viele Anleitungen und KB-Artikel gelesen, konnte das aber wirklich nicht herausfinden...
Viele Grüße und nochmals besten Dank!
Michael
-
GrandDixence
- Beiträge: 1149
- Registriert: 19 Aug 2014, 22:41
Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Siehe:michl85 hat geschrieben: 23 Sep 2019, 17:34 Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss?
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html
viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Hi michl85,
Gruß
Backslash
es sollte eigentlich auch mit der VPN-Gegenstelle funktionieren. es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat. Ab der nächsten Firmware (vermutlich 10.32RU1) sollte es wieder zuverlässig funktionieren...Steht das eigentlich auch irgendwo in der Anleitung, dass man nicht die VPN-Gegenstelle als Quelle, sondern die IP-Adresse bzw. ein ganzes Netzwerk eintragen muss?
Gruß
Backslash
Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Hallo Backslash!
Ich nutze momentan 10.30.0167RU1 vom 09.07.2019.
Da besteht das Problem noch. Aber wenn man es weiß, dass man z. B. die IP-Adressen anstatt der Gegenstellen eintragen muss, dann klappts wunderbar
Werde aber das neue LCOS bei Gelgenheit testen und kurz Bescheid geben.
Danke für euren super Support, das ist echt ein sehr interessantes Forum!
Viele Grüße
Michael
Danke für die Info, das ist dann tatsächlich ein Bug.backslash hat geschrieben: 24 Sep 2019, 18:34
es sollte eigentlich auch mit der VPN-Gegenstelle funktionieren. es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat. Ab der nächsten Firmware (vermutlich 10.32RU1) sollte es wieder zuverlässig funktionieren...
Ich nutze momentan 10.30.0167RU1 vom 09.07.2019.
Da besteht das Problem noch. Aber wenn man es weiß, dass man z. B. die IP-Adressen anstatt der Gegenstellen eintragen muss, dann klappts wunderbar
Werde aber das neue LCOS bei Gelgenheit testen und kurz Bescheid geben.
Danke für euren super Support, das ist echt ein sehr interessantes Forum!
Viele Grüße
Michael
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: VPN-Einwahl - Firewall-Regel ACCEPT greift nicht
Hallo Backslash,
Gruß Bernie
Ja, das habe ich auch schon festgestellt, kann ich bestätigen. Mit den IP-Adressen geht es dann in der LCOS 10.30.0167RU1.backslash hat geschrieben: 24 Sep 2019, 18:34 es hat aber in der 10.20/1030 einen Bug gegeben, durch den das nicht immer funktioniert hat.
Gruß Bernie
Man lernt nie aus.