VPN Konfiguration mit ARF Netzen

[zickzack111]

Hallo,

ich bin auf der Suche nach dem einfachsten und sichersten Weg mehrere VPN Zugänge einzurichten. Bei der Suche im Internet und auch hier im Forum bin ich nicht
so wirklich fündig geworden, vielleicht kann mir hier ja jemand einen Tip geben.

Ich habe auf einem Lancom Router ein normales Lan Netz mit der 192.168.1.0 und noch 2 weitere Lan Netze mittels ARF und Tags auf 2 Lan Ports 10.0.0.0 und 10.0.1.0, diese Netze sind getrennt und können sich nicht erreichen. Desweiteren habe ich eine VPN Verbindung Site to Site auf einen weiteren Router eingerichtet, damit komme ich auf das 192 Netz was auch so passt. Jetzt würde ich gerne noch einige VPN Nutzer anlegen, diese sollen aber direkt den beiden 10er Netzen zugeordnet werden, eine 10er IP bekommen und nicht mit anderen Netzen kommunizieren können, wie kann man das am besten lösen? Wenn ich einen User anlege landet dieser immer im 192er Netz. Und wenn ich in der Routingtabelle die IP des Nutzers auf ein 10er Netz lege komme ich weiterhin auch ins 192er Netz.

Danke schon mal für eure Hilfe

Grüße
Marco

[Jirka]

Hi,

da musst Du eine Firewall-Regel anlegen, die ein Zugriff auf die anderen Netze verbietet. Quelle muss die Gegenstelle des VPN-Clients sein.

Viele Grüße,
Jirka

[zickzack111]

Danke Jirka,

ich habs fast schon befürchtet. Ich dachte es gebe eine einfache Tag Konfiguration die ohne Firewallregeln auskommt. Muss man bei Benutzung des Lancom Clients eigentlich auch die IP Adresse im Client auf das andere Netz anpassen?

Grüße
Marco

[Jirka]

Hallo Marco,

ich weiß nicht genau, was Du mit der Frage meinst, ich sage mal nein.

Wenn Du übrigens mit dem Assistenten eine VPN-Client-Verbindung einrichtest (die normale, kein 1-Klick-VPN), dann kannst Du den Zugriff des Clients auch gleich begrenzen lassen. Dann kannst Du angeben, welches IP-Netzwerk vom Client erreicht werden können soll und es wird eine entsprechende VPN-Regel erzeugt (mit den Netzbeziehungen; befindet sich in den Firewall-Regeln). Damit müsstest Du ziemlich schnell zum gewünschten Ergebnis kommen.

Viele Grüße,
Jirka

[backslash]

Hi zickzack111,

ich habs fast schon befürchtet. Ich dachte es gebe eine einfache Tag Konfiguration die ohne Firewallregeln auskommt.

das geht auch ohne Firewallregeln... Da gibt es prinzipiell zwei Möglichkeiten:

• Wenn die Zahl der VPN-Clients übersichtlich ist, erstellst du einfach passend getaggte Hostrouten zu den Clients - fertig...
• bei einer größeren Zahl von Clients kannst du über die WAN-Tag-Tabelle (unter Kommunikation -> Gegenstellen) mit Hilfe von Wildcards Usergruppen (z.B. "*@group") ein Tag und einen Adreßpool sowie DNS-Server zuweisen.

Muss man bei Benutzung des Lancom Clients eigentlich auch die IP Adresse im Client auf das andere Netz anpassen?

nein.

Gruß
Backslash

[zickzack111]

Hallo und vielen Dank für die hilfreichen Tipps.

@ backslash, was meinst du denn genau mit gettagten Hostrouten?, ich stehe da gerade etwas auf dem Schlauch aber es ist bestimmt die Lösung die ich gesucht habe.

[backslash]

Hi zickzack111

@ backslash, was meinst du denn genau mit gettagten Hostrouten?, ich stehe da gerade etwas auf dem Schlauch aber es ist bestimmt die Lösung die ich gesucht habe.

nun ja, Client-A aus Kontext (= Routing-Tag) 1 soll die 10.0.0.123 bekommen, Client-B aus Kontext 2 soll die 10.0.1.123 bekommen. Dann brauchts du halt zwei (Host-)Routen zu den Clients:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================------------------------------------------------------------
10.0.0.123       255.255.255.255  1        CLIENT-A          0         No          Yes
10.0.1.123       255.255.255.255  2        CLIENT-B          0         No          Yes

Gruß
Backslash