Hallo,
stehe auf dem Schlauch und brauche mal einen Schubs in die richtige Richtung:
Ein bestimmter VPN-Nutzer soll nur auf einen bestimmten Port einer bestimmten Adresse dürfen (adv. VPN Klient).
Der VPN Tunnel funktioniert, anschliessend habe ich dann versucht über die FW den Zugriff zu begrenzen:
Src (Name_der_VPN_Verb) Dst (IP-Adresse) Permit mit entsprechenden Ports, dabei habe ich sowohl das Häckchen für "Aktiv bei VPN" gesetzt als auch nicht gesetzt. Der Benutzer konnte alles machen.
Hat jemand ´ne Idee in welche Richtung mein Denkfehler liegt?
Viele Grüße aus der verregneten OBC
Udo
VPN Zugriff für Klient auf bestimmte Adresse/Port begrenzen
Moderator: Lancom-Systems Moderatoren
VPN Zugriff für Klient auf bestimmte Adresse/Port begrenzen
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Hallo das sidn zwei paar Schuhe,
zu einem die VPN Regelerzeugung mit dem Zugang Adv. VPN Client dort steht in der Verbindungsliste Regelerzeugung manuell.
D.h. dass du die SAD / SPD für den IPSec Tunnel manuell per Firewall Regel erstellen must. Hierbei ist es wichtig, dass er Haken Regel wird für VPN Regelerzegung hinzugezogen angehakt ist, aonsten wird die Regel mit für die SAD /SPD Erzeugung benutzt und kein Tunnel ist oder nur eingeschränkt möglich.
per telnet per show vpn oder show vpn long zu überprüfen, welche regeln für die VPN Verbindung aktiv in der SAD/SPD sind.
IPSec kann aber schon alleine per SAP/SPD Verbindungen einschränken sog Protokoll- Portselektoren., sodass z.b. nur SSH Verbindungen TCP Iprotokoll 6 mit dme Zielport 22 durch den Tunnel möglich sind.
Um dies zu realisieren musst du die VPN Regel der Firewall lediglich auf die verfügbaren Dienste einschränken.
Weiterhin hast du dann per "reiner" Firewall Regel zusätzlich die Möglichkeit nach der VPN gegenstelle zu filtern und Quell- Ziel IP Restriktionen durchzuführen.
Z.b. Verbindungsquell von Gegenstelle "VPN-Verbindungsname" an lokale Stationen Aktion verwerfen, um in einer zweiten FW-Regel geziel nur die bestimmten Dienste zu erlauben.
Alles was schon durch die IPSec-Filterung eingeschränkt wird muss natürlich nicht noch zusätzlich (doppelt) vorgenommen werden.
zu einem die VPN Regelerzeugung mit dem Zugang Adv. VPN Client dort steht in der Verbindungsliste Regelerzeugung manuell.
D.h. dass du die SAD / SPD für den IPSec Tunnel manuell per Firewall Regel erstellen must. Hierbei ist es wichtig, dass er Haken Regel wird für VPN Regelerzegung hinzugezogen angehakt ist, aonsten wird die Regel mit für die SAD /SPD Erzeugung benutzt und kein Tunnel ist oder nur eingeschränkt möglich.
per telnet per show vpn oder show vpn long zu überprüfen, welche regeln für die VPN Verbindung aktiv in der SAD/SPD sind.
IPSec kann aber schon alleine per SAP/SPD Verbindungen einschränken sog Protokoll- Portselektoren., sodass z.b. nur SSH Verbindungen TCP Iprotokoll 6 mit dme Zielport 22 durch den Tunnel möglich sind.
Um dies zu realisieren musst du die VPN Regel der Firewall lediglich auf die verfügbaren Dienste einschränken.
Weiterhin hast du dann per "reiner" Firewall Regel zusätzlich die Möglichkeit nach der VPN gegenstelle zu filtern und Quell- Ziel IP Restriktionen durchzuführen.
Z.b. Verbindungsquell von Gegenstelle "VPN-Verbindungsname" an lokale Stationen Aktion verwerfen, um in einer zweiten FW-Regel geziel nur die bestimmten Dienste zu erlauben.
Alles was schon durch die IPSec-Filterung eingeschränkt wird muss natürlich nicht noch zusätzlich (doppelt) vorgenommen werden.