Hallo!
Situation:
Wir haben zwei LANCOM 1711 im Einsatz. Beide sind durch ein VPN Verbunden. Device 1 dient als zentrales VPN Einwahlgerät. LAN-Port 1 ist ein LAN mit Schnittstellen Tag 0, LAN-Port 2 ist ein LAN mit Schnittstellen Tag 1 und Port 4 ist ein DMZ (Schnittstellen Tag 0) VLANs verwenden wir nicht.
Device 2 ist für eine Außenstelle das sich per VPN mit Device 1 verbindet, damit die Mitarbeiter dort auf das Firmen LAN zugreifen können.
Problem:
Aus dem lokalen LAN heraus ist es kein Problem per MSTSC auf den Server im DMZ zu zugreifen. Bin ich aber nicht vorort und möchte per VPN auf den Server im DMZ einsteigen, wird keine Remotedesktip Sitzung etabliert!
Ich habe die Routingtabelle editiert, ich habe Firewallregeln definiert (für VPN) und alle Firewall Regeln überprüft. LANMONITOR zeigt keinen Regelverstoß an.
Was kann der Grund sein, dass ich per VPN nicht ins DMZ gelange? (Nur aus dem LAN gelingt es)
Ich habe den ganzen Vormittag schon herumprobiert und getestet. Ich komme nicht dahinter....
Danke und lg
Oliver
Zugriff auf DMZ über VPN nicht möglich
Moderator: Lancom-Systems Moderatoren
Hi Oliver
hast du ggf. eine Deny-All regel in der Firewall? Dann mußt du auch eine Regel erstellen, die den Traffic von der VPN-Gegenstelle in die DMZ zuläßt:
Kannst du den Server durch das VPN anpingen?
Hast du auf dem Server ggf. eine Access-Liste, die den Zugriff nur auf dein Intranet beschränkt?
Gruß
Backslash
Die VPN-Regel muß so aussehen:ich habe Firewallregeln definiert (für VPN) und alle Firewall Regeln überprüft
Code: Alles auswählen
[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: Übertragen
Quelle: DMZ-Netz
Ziel: VPN-Gegenstelle
Dienste: alle Dienste
Code: Alles auswählen
[x] Diese Regel ist für die Firewall aktiv
[ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: Übertragen
Quelle: VPN-Gegenstelle
Ziel: DMZ-Netz
Dienste: alle DiensteHast du auf dem Server ggf. eine Access-Liste, die den Zugriff nur auf dein Intranet beschränkt?
Gruß
Backslash
Hallo Oliver, hallo Backslash,
habe das Problem so ähnlich, nur ist bei meinem LC1724 die DMZ ein ganz normales lokales Netz. Den Datenverkehr zwischen diesen Netzen habe ich in der Firewall freigegeben, funktioniert lokal einwandfrei.
Beim VPN Zugriff von extern erreiche ich aber nur das direkt gekoppelte Netz nicht die anderen Netze am LC1724. Der aufrufende Router hat aber die entsprechenden Netze für diese Route in seiner Liste.
Der lokale Router ist wie oben beschrieben eingestellt. Ich glaube das ich ein Fehler bei den Routing Tags habe.
Das normale, nach außen mit VPN gekoppelte Netz hat das Tag 1, entsprechend ist die Route im IP Router eingerichtet (für 1), das zweite Netz hat Tag 100, auch dafür gibt es einen extra Routing Eintrag (für 100) zu dieser VPN Gegenstelle weil ja der Eintrag mit Tag 1 dafür nicht zuständig ist. Nun gibt es in der Firewall zwei Regeln, eine lässt den Datenverkehr von Netz 1 nach Netz 2 mit Tag 100 zu, die andere lässt den Datenverkehr vom Netz 2 nach 1 zu, Tag 1. Eine weitere Regel lässt zusätzlich den Datenverkehr vom Netz 2 zur VPN Gegenstelle zu mit Tag 100. Ich glaube das es an dieser Stelle klemmt, geht aber eben mit Tag 1 auch nicht.
Wo ist der Fehler?
Vielen Dank für Eure Hilfe.
Gruß
Michael
habe das Problem so ähnlich, nur ist bei meinem LC1724 die DMZ ein ganz normales lokales Netz. Den Datenverkehr zwischen diesen Netzen habe ich in der Firewall freigegeben, funktioniert lokal einwandfrei.
Beim VPN Zugriff von extern erreiche ich aber nur das direkt gekoppelte Netz nicht die anderen Netze am LC1724. Der aufrufende Router hat aber die entsprechenden Netze für diese Route in seiner Liste.
Der lokale Router ist wie oben beschrieben eingestellt. Ich glaube das ich ein Fehler bei den Routing Tags habe.
Das normale, nach außen mit VPN gekoppelte Netz hat das Tag 1, entsprechend ist die Route im IP Router eingerichtet (für 1), das zweite Netz hat Tag 100, auch dafür gibt es einen extra Routing Eintrag (für 100) zu dieser VPN Gegenstelle weil ja der Eintrag mit Tag 1 dafür nicht zuständig ist. Nun gibt es in der Firewall zwei Regeln, eine lässt den Datenverkehr von Netz 1 nach Netz 2 mit Tag 100 zu, die andere lässt den Datenverkehr vom Netz 2 nach 1 zu, Tag 1. Eine weitere Regel lässt zusätzlich den Datenverkehr vom Netz 2 zur VPN Gegenstelle zu mit Tag 100. Ich glaube das es an dieser Stelle klemmt, geht aber eben mit Tag 1 auch nicht.
Wo ist der Fehler?
Vielen Dank für Eure Hilfe.
Gruß
Michael
Hi Backslash,
danke für die Antwort. Es gibt im IP-Router vom LC1724 schon zwei Routen zur gleichen VPN Gegenstelle, eine mit Tag 1 eine mit Tag 100. Das läuft aber leider nicht.
Nachschlag:
Inzwischen habe ich wie vorgeschlagen diesen beiden lokalen Netzen das Tag 1 verpasst. Lokal kann ich dann wechselseitig zugreifen ohne in der Firewall was einzutragen. Die zweite Route im IP-Router mit dem Tag 100 ist gelöscht. Auch dann funktioniert der VPN Zugang in das zweite lokale Netz nicht.
Gruß
MichaelF
danke für die Antwort. Es gibt im IP-Router vom LC1724 schon zwei Routen zur gleichen VPN Gegenstelle, eine mit Tag 1 eine mit Tag 100. Das läuft aber leider nicht.
Nachschlag:
Inzwischen habe ich wie vorgeschlagen diesen beiden lokalen Netzen das Tag 1 verpasst. Lokal kann ich dann wechselseitig zugreifen ohne in der Firewall was einzutragen. Die zweite Route im IP-Router mit dem Tag 100 ist gelöscht. Auch dann funktioniert der VPN Zugang in das zweite lokale Netz nicht.
Gruß
MichaelF
Hi MichaelF,
böse Frage: Hast du auch auf der anderen Seite eine Route in die DMZ angelegt?
Die weiter oben im Thread angegebene Firewallregel:
hast du auch erstellt? Wichtig ist hier daß das Häkchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" gesetzt ist.
Gruß
Backslash
böse Frage: Hast du auch auf der anderen Seite eine Route in die DMZ angelegt?
Die weiter oben im Thread angegebene Firewallregel:
Code: Alles auswählen
[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: Übertragen
Quelle: DMZ-Netz
Ziel: VPN-Gegenstelle
Dienste: alle Dienste
Gruß
Backslash
Hi Backslash,
die andere Seite ist eine FBF7270. Dort wird das Netz einfach nur zusätzlich in die VPN Konfigurationsdatei geschrieben und geladen.
acesslist ="permit ip any 10.10.10.0 255.255.255.0", "permit ip any 10.10.15.0 255.255.255.0";
Die FBF selbst hat das Netz 10.10.11.0, der Lancom hat 10.10.10.0 (Tag 1) und 10.10.15.0 (Tag 1) sowie einige andere Netze. Das 10er Netz ist das, welches zwischen FBF und LC1724 das VPN hat, das 15er ist das, welches ich gern von der FBF aus erreichen möchte.
Die von Dir angegebene Regel habe ich mit Tag 0 und Tag 1 probiert (VPN, übertrage Netz 15 an Gegenstelle FBF), keine Variante davon funktioniert.
Eigentlich brauts doch nicht noch mehr oder?
Gruß
Michael
die andere Seite ist eine FBF7270. Dort wird das Netz einfach nur zusätzlich in die VPN Konfigurationsdatei geschrieben und geladen.
acesslist ="permit ip any 10.10.10.0 255.255.255.0", "permit ip any 10.10.15.0 255.255.255.0";
Die FBF selbst hat das Netz 10.10.11.0, der Lancom hat 10.10.10.0 (Tag 1) und 10.10.15.0 (Tag 1) sowie einige andere Netze. Das 10er Netz ist das, welches zwischen FBF und LC1724 das VPN hat, das 15er ist das, welches ich gern von der FBF aus erreichen möchte.
Die von Dir angegebene Regel habe ich mit Tag 0 und Tag 1 probiert (VPN, übertrage Netz 15 an Gegenstelle FBF), keine Variante davon funktioniert.
Eigentlich brauts doch nicht noch mehr oder?
Gruß
Michael
Hallo DirkK,
ja eine feste Route in der FBF hatte ich auch mal eingetragen, auf die Router IP des zu erreichenden Netzes bzw. auf die der bestehenden Verbindung - hat aber auch beides nix gebracht. Also schafft entweder die FBF nicht das mit in die VPN Strecke reinzunehmen oder ich habe mich im LC1724 mit den Tags vertan, hätte ja aber mit gleichen Tags funktionieren müssen.
Da ich kurzfristig nur eine temporäre Lösung zur Evaluierung benötige habe ich jetzt einfach von der FBF eine getrennte VPN Verbindung zu einem anderen WAN Port des LC1724 hergestellt - fertig.
Gruß
Michael
ja eine feste Route in der FBF hatte ich auch mal eingetragen, auf die Router IP des zu erreichenden Netzes bzw. auf die der bestehenden Verbindung - hat aber auch beides nix gebracht. Also schafft entweder die FBF nicht das mit in die VPN Strecke reinzunehmen oder ich habe mich im LC1724 mit den Tags vertan, hätte ja aber mit gleichen Tags funktionieren müssen.
Da ich kurzfristig nur eine temporäre Lösung zur Evaluierung benötige habe ich jetzt einfach von der FBF eine getrennte VPN Verbindung zu einem anderen WAN Port des LC1724 hergestellt - fertig.
Gruß
Michael