Liebe Kollegen
an mich wurde eine Aufgabe herangtragen, bei der ich mangels ausreichender LANCOM-Kenntnisse momentan nicht weiter weiß und vielleicht hat ja der eine oder andere von Euch Lust und Zeit sich die Sache mal anzuschauen.
Ausgangslage:
Das besagte Problemumfeld besteht aus vier Abteilungen in denen jeweils diverse Maschinen, Geräte und Prozessleitsysteme vorhanden sind, die abteilungsintern via LAN kommunizieren müssen und von je einem Admin/Operator überwacht und gesteuert werden.
All diese Clients befinden sich im Adressraum 172.28.x.x/16, sollen jedoch abteilungsübergreifend nicht kommunizieren können.
Die Vernetzung der Abteilung wurde kürzlich erneuert, und endet auf einem Switch (LANCOM GS-3628X), der die Trennung der Abteilungskommunikation mittels VLAN 1-4 realsiert.
Problemstellung:
Die Admins sollen nun befähigt werden ihre Überwachung- und Steuerungstätigkeiten von zu Hause aus durchführen zu können (Homeoffice). Dazu soll ein bereits vorhandener Router (LANCOM 1781VAW), der einen Internetzugang und eine feste öffentliche IP besitzt, genutzt werden. Mittels LANCOM Advanced VPN Client soll sich auf dem Router eingewählt werden.
Allerding soll sichergestellt werden, dass jeder Abteilungsoperator nur auf seine Abteilung zugreifen kann.
Gemäß "LANCOM Techpaper - Advanced Routing and Forwarding (ARF)" sollte dies mittels Schnittstellen-Tag möglich sein: "Für jede Filiale wird ein eigenes IP-Netzwerk mit jeweils einem eigenen Schnittstellen-Tag aufgesetzt. Dabei können beide IP-Netze sogar den gleichen IP-Adresskreis nutzen,..."
Ich habe nun VPN-Profile erstellt, finde eine solche Einstellung zur Separierung der Interfaces allerdings nicht.
Möglcherweise ist die Sache ja völlig trivial, aber die Frage für mich ist nun, kann man am 1781VAW mittels VPN-Profil eine Solche Restriktion auf einen bestimmten ETH-Port realisieren?
Ich habe zur Veranschaulichung der Sachlage mal eine Grafik angehängt.
Vielen Dank für Eure Zeit.
DEM
VPN-Verbindung auf bestimmte ETH-Ports beschränken
Moderator: Lancom-Systems Moderatoren
-
DeusExMachina
- Beiträge: 2
- Registriert: 06 Dez 2023, 12:50
VPN-Verbindung auf bestimmte ETH-Ports beschränken
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: VPN-Verbindung auf bestimmte ETH-Ports beschränken
Gibt es eine Notwendigkeit, mehrere überlappende /16er Netze zu fahren, anstatt die Netze rapide zu verkleinern? Das macht zumindest das Verständnis leichter.
Ich habe bisher VPN Verbindungen (SA Beziehungen) nur über IPs gemacht. Theoretisch (wenn im 1. Schritt jeder mit jedem kann) könnte man das auch über die Firewall (die soweit ich weiß auch Netzwerke kann) einschränken.
Ich habe bisher VPN Verbindungen (SA Beziehungen) nur über IPs gemacht. Theoretisch (wenn im 1. Schritt jeder mit jedem kann) könnte man das auch über die Firewall (die soweit ich weiß auch Netzwerke kann) einschränken.
Re: VPN-Verbindung auf bestimmte ETH-Ports beschränken
in der VPN (IKE v2) Verbindungsliste kannst du in jeder Verbindung unter "IPv4-Regeln" genau festlegen,
welche lokalen und welche entfernten Adressen die jeweilige Verbindung erreichen darf.
welche lokalen und welche entfernten Adressen die jeweilige Verbindung erreichen darf.
-
Dr.Einstein
- Beiträge: 3239
- Registriert: 12 Jan 2010, 14:10
Re: VPN-Verbindung auf bestimmte ETH-Ports beschränken
Auch wenn ich den Aufbau für furchtbar halte, schon alleine 4 Kabel auf den Lancom, was für ein Blödsinn aber egal:
Wenn du 4x den gleichen IP-Adressbereich hast, dann gibst du jedem Netz ein eigenes Schnittstellentag. Beim Anlegen eines VPN-Clients vergibst du via Wizard dem Client eine IP-Adresse (nicht OneClick). Im Anschluss editierst du die Routing Tabelle und gibst dem Client das Schnittstellentag aus dem entsprechenden Netzwer. Evtl. muss man dem VPN über die WAN-Tag-Tabelle ebenfalls das Tag zuweisen.
Wenn du 4x den gleichen IP-Adressbereich hast, dann gibst du jedem Netz ein eigenes Schnittstellentag. Beim Anlegen eines VPN-Clients vergibst du via Wizard dem Client eine IP-Adresse (nicht OneClick). Im Anschluss editierst du die Routing Tabelle und gibst dem Client das Schnittstellentag aus dem entsprechenden Netzwer. Evtl. muss man dem VPN über die WAN-Tag-Tabelle ebenfalls das Tag zuweisen.
-
DeusExMachina
- Beiträge: 2
- Registriert: 06 Dez 2023, 12:50
Re: VPN-Verbindung auf bestimmte ETH-Ports beschränken
Vielen Dank für Euer Feedback,
Vielen Dank für die Impulse.
DEM
Leider ist das wie so häufig, die Adress- und Netzvergabe ist vorgegeben und soll möglichst nicht angefasst werden, Subnetting ist nicht erwünscht und zusätzliche Kosten, durch Hardware-Neubeschaffung, sollen nicht entstehen.tobiasr hat geschrieben: 07 Dez 2023, 18:26 Gibt es eine Notwendigkeit, mehrere überlappende /16er Netze zu fahren, anstatt die Netze rapide zu verkleinern? Das macht zumindest das Verständnis leichter.
Gute Idee, da aber alle im gleichen Netz sind, fällt mir keine Regel ein.tobiasr hat geschrieben: 07 Dez 2023, 18:26 Theoretisch (wenn im 1. Schritt jeder mit jedem kann) könnte man das auch über die Firewall (die soweit ich weiß auch Netzwerke kann) einschränken.
Ich könnte das mal im IKE Config Mode mittels Adresspool versuchen.UKernchen hat geschrieben: 08 Dez 2023, 07:57 in der VPN (IKE v2) Verbindungsliste kannst du in jeder Verbindung unter "IPv4-Regeln" genau festlegen,
welche lokalen und welche entfernten Adressen die jeweilige Verbindung erreichen darf.
Vielen Dank für die Impulse.
DEM
Re: VPN-Verbindung auf bestimmte ETH-Ports beschränken
Unterscheide bitte zwischen LANCOM Netz (Liste interne ARF Netze) und IP Range (Netz aus IP Sicht). Die Lancom Firewall kann auch nach Netz unterscheiden.DeusExMachina hat geschrieben: 08 Dez 2023, 10:54 Gute Idee, da aber alle im gleichen Netz sind, fällt mir keine Regel ein.