VPN Site-to-Site Verbindung - Deny All Regel in Firewall

[LancomF]

Guten Abend,

ich habe eine VPN Site-to-Site Verbindung zwischen 2 Lancoms.
In der Firewall ist eine Deny All Regel eingetragen.

Warum kann ich trotzdem problemlos auf das entfernte Netz zugreifen?
Wie gelingt es mir, Zugriffe über VPN einzuschränken (auf bestimmte IPs und Ports)?


Vielen Dank für die Hilfe.

[LancomF]

Fehler wurde gefunden.

Nachdem ich die "Deny All" Regel nach Lancom Vorgaben erstellt hatte
(https://www2.lancom.de/kb.nsf/1275/DD08 ... enDocument)
war dort als Aktionen "No-Internet" ausgewählt.
Deshalb zählt die Regel natürlich nur für die Default-Route.

Deshalb stellt sich für mich grundsätzlich die Frage, ob man nicht lieber bei der "Deny All" Regel "REJECT" auswählt.


Grüße

[backslash]

Hi LancomF

Deshalb stellt sich für mich grundsätzlich die Frage, ob man nicht lieber bei der "Deny All" Regel "REJECT" auswählt.

das ist letztlich eine Frage der eigenen Paranoia...

In dem Knowledgebase-Eintrag geht es um ein genau umrissenens Beispiel, nämlich dieses hier:

Anhand einer Musterregel wird das Erstellen der Objekte, das Verknüpfen zu einer gültigen Firewallregel demonstriert und die neue Ansicht in der Regeltabelle erläutert.

- DENY-ALL Richtung Internet
- Freigeben von HTTP(S), DNS und MAIL
- Station "NAS" darf im Backup-Fall nur 25% der maximalen Bandbreite für den Dienst "FTP" verwenden

d.h. nur zum Inetrent soll die DENY-ALL-Regel gelten...

Gruß
Backsalsh

[LancomF]

Guten Abend,

hier noch eine interessante Anmerkung vom Lancom Support:

Wählte man als Default "REJECT", so antwortete der Router nochmal aktiv auf jedes Paket, was unnötige Netzlast verursachte. Aus diesem Grund ist "DROP" die sinnvollere Variante.