1711+ VPN Konfigurationsfrage [update]

Heinzerr · Beitrag von **Heinzerr** » 21 Jan 2009, 15:52

Hallo zusammen,

ich habe seit neuestem einen I 1611 und wollte den nach folgendem Schema kofiguriert haben.

Da ist jetz erst auchmal die Frage ob es überhaupt so funktioniert wie ich es vorhabe. Wenn ja wunderbar, wenn nein welcher router wäre für so etwas geeignet.

Folgendes Problem:
Ich habe drei Rechnerkreise (die sollen alle unterschiedliche Zugriffsrechte auf das Internet/Lan haben)

Rechnerkreis 1 (RK1) = Vollzugriff auf LAN / Internet / Clients...
RK2 = Vollzugriff auf LAN, eingeschränkter Zugriff auf das Internet
RK3 = Vollzugriff auf das Internet, kein Zugriff auf das LAN

Wie realisiere ich das allgemein, wie speziell für den I-1611 ?
Und ist das mit meinem Router möglich?

Ich habe schon mit den DNS optionen gespielt, und für bestimmte IP-Adressen bestimmte DNS gesperrt, welches auch funktioniert hat.
Wollte auch RK3 simulieren, was natürlich nicht geklappt hat

Grüße und schonmal vielen Dank!

backslash · Beitrag von **backslash** » 21 Jan 2009, 18:51

Hi Heinzerr,

damit die Rechner in RK3 keinen Zugriff auf das LAN haben, dürfen sie auch nicht im LAN stehen... Dazu mußt du ein eigenes Netz aufspannen (z.B. in der DMZ) und in der Firewall den Zugriff von diesem Netz in dein Intranet verbieten.

Mit dem 1611 hast du da aber ein Problem: Das hat nur ein LAN-Interface, weshalb du nicht verhindern kannst, daß die Rechner in der DMZ durch einfaches ändern ihrer IP-Adresse ins Intranet kommen. Das könntest du nur mit wirklich getrennten LAN-Interfaces erreichen.

Auch die Rechner aus RK2 mit dem beschränkten Internetzugriff können sich natürlich ganz einfach wieder Vollzugriff verschaffen, in dem sie nur ihre IP-Adresse ändern.

Letztendlich brächtest du für dein Szenario drei physikalisch getrennte LAN-Interfaces, wie es z.B. ein 1711 bietet. Ein 1611+ hilft hier auch nicht weiter, denn auch das kann nur mit zwei LAN-Netzen umgehen

Gruß
Backslash

Heinzerr · Beitrag von **Heinzerr** » 22 Jan 2009, 08:22

OK, danke erstmal.

Ich bin mit dem Lan im Adressebereich 10.0.1.x.
DMZ ist 192.168.0.x

Bin ich automatisch mit dem Rechner in der DMZ wenn ich dem Rechner eine IP aus dem DMZ Adressraum gebe?

Weil das habe ich probiert und bin trotzdem auf Rechner aus dem normalen Lan Adress Bereich 10.0.1.x gekommen.

Naja, wird dann wahrscheinlich der 1711 werden.
Hat der 1711 auch eine whitelist? Weil das wäre dann schon von Vorteil. Anstelle von hunderte Seiten zu Blacklisten einfach nur eine Handvoll zuzulassen. Idealerweise sollte RK3 über ein WLAN erreichbar sein. Welcher Router wäre dann zu empfehlen?

Wenn ich nun doch beim 1611 bleibe, und die Nachteile in Kauf nehmen, kann ich die DNS Filter batchweise aktualisieren? Kann ich auch bei den IP Adressen wildcards verwenden wie 10.0.*.* ?

Danke schonmal

backslash · Beitrag von **backslash** » 22 Jan 2009, 17:54

Hi Heinzerr

Bin ich automatisch mit dem Rechner in der DMZ wenn ich dem Rechner eine IP aus dem DMZ Adressraum gebe?

beim 1611 ja, denn das hat ja nur ein physikalisches LAN-Interface, auf dem die beiden Netze aufgespannt werden. Deshalb meinte ich ja: "weshalb du nicht verhindern kannst, daß die Rechner in der DMZ durch einfaches ändern ihrer IP-Adresse ins Intranet kommen"

Weil das habe ich probiert und bin trotzdem auf Rechner aus dem normalen Lan Adress Bereich 10.0.1.x gekommen.

wenn du dem PC auch die DMZ-Adresse des LANCOMs als Gateway mitgegeben hast, ist das auch klar: Dann hat das LANCOM zwischen DMZ und Intranet geroutet. Auch hierzu meinte ich bereits: "und in der Firewall den Zugriff von diesem Netz in dein Intranet verbieten."

Hat der 1711 auch eine whitelist? Weil das wäre dann schon von Vorteil. Anstelle von hunderte Seiten zu Blacklisten einfach nur eine Handvoll zuzulassen

als DNS-Filter: nein... Du kannst aber ganz normal in der Firewall passende Regeln aufsetzen, wenn du zu den DNS-Namen der zuzulassenden Server die IP-Adressen ermittels: Dann brauchst du zwei Regeln:

eine, die den Zugriff auf diese IP-Adressen erlaubt, und eine, die RK2 ansonsten alles verbietet.

. Idealerweise sollte RK3 über ein WLAN erreichbar sein. Welcher Router wäre dann zu empfehlen?

mit WLAN wäre hier das 1811n zu empfehen.

Wenn ich nun doch beim 1611 bleibe, und die Nachteile in Kauf nehmen, kann ich die DNS Filter batchweise aktualisieren?

ja: du erstellst ein passendes Config-Script und lädst es z.B. per TFTP in das Gerät.

Kann ich auch bei den IP Adressen wildcards verwenden wie 10.0.*.* ?

nein. Hierfür sind Netzmasken da (zu "10.0.*.*" wäre die Netzmaske 255.255.0.0)

Gruß
Backslash

Heinzerr · Beitrag von **Heinzerr** » 28 Apr 2009, 16:44

so,

habe nun eben den 1711+ vpn erhalten und angeschlossen. Funktioniert soweit auch gut, wie bisher. Das mit den verschiedenen Rechnerkreisen habe ich aber noch nicht hinbekommen. Wär total nett, wenn mich hier jemand erklären könnte wie das genau funktioniert

Ist das grob so:
- ich lege meine RK auf die verschiedenen LAN interfaces
- nun muss ich von jedem Interface in das Internet routen
- von einem muss ich noch in das andere RK routen

wie müssen die Routes heißen?

vielen Dank schon mal:)