Hallo Forum!
Ich habe einen Lancom 1721VPN+ Router im Einsatz. (Firmware 7.80.0081Rel).
Der Lancom Router steht in einem 192.168.1.x Netz.
Der Router steht primär zur VPN Einwahl bereit.
Nun sollen aber 2 Rechner, die nicht in das 192.168.1.x Netz kommen dürfen, im Internet surfen können.
Kann ich meinen Lancom so konfigurieren, dass z.B. Port4 in das Netz 192.168.2.x zeigt in dem meine Internetrechner stehen?
Wie würde man soetwas konfigurieren?
Im Referenzhandbuch steht, man solle unter "Schnittstellen" den LAN-Port 4 einfach einer DMZ zuweißen. Jedoch zeigt mir die Dropdown Liste die Option gar nicht an sondern nur LAN0,1,2 und DSL0,1,2.
Hat da jemand vielleicht ein Tutorial für mich der das gleiche Problem schoneinmal lösen musste?
Zusammenfassend einfach ausgedrückt:
Per Advanced VPN Client verbinden sich Notebooks von aussen via Lancom 1721VPN+ in das geschützte 192.168.1.x Netz.
Nun sollen aber am gleichen Standort (über die selben Internetzugangsdaten über die auch die VPN Einwahl bereit gestellt wird) 2 Rechner in einem separaten Netz (192.168.2.x) surfen können, ohne das das 192.168.1.x Netz kompromittiert wird.
Ist das möglich?
Ich bin für jede Hilfestellung dankbar!
Achja: Kann man beim 1721 auch PPPoE Passthrough freischalten?
1721VPN+ VPN Einwahl / Internet trennen
Moderator: Lancom-Systems Moderatoren
1721VPN+ VPN Einwahl / Internet trennen
Zuletzt geändert von cpm4 am 17 Jun 2010, 09:11, insgesamt 1-mal geändert.
Vielleicht hilft das ist nur mit WLAn erklärt lässt sich aber in Teilen auf Normale Netze anwenden.
http://www2.lancom.de/kb.nsf/1275/DAA3D ... enDocument
Schnittstellen Tag ist das Zauberwort
http://www2.lancom.de/kb.nsf/1275/DAA3D ... enDocument
Schnittstellen Tag ist das Zauberwort
Hallo alle zusammen!
Ich bin es nochmal.
Also das mit dem Private Mode funktioniert irgendwie überhaupt nicht.
Obwohl ich Port 3 (192.168.2.x") und Port 4 (192.168.1.0) im Private Mode habe, kann ich sie komischerweise noch gegenseitig anpingen.
Dazu kommt, dass ich mich einfach nicht per Advanced VPN Client einwählen kann. Die Config wurde mit dem Wizard im OneClick Verfahren erzeugt.
DynDNS kann ich auflösen. Remote über SSH einloggen auch.
Lancom Site to Site VPN mit 2tem Lancom Router testweise aufgestellt -> geht auch nicht.
VPN Client bringt die Meldung:
VPN Gateway antwortet nicht (Warten auf MSG2)
TR # vpn-st auf Routerseite bringt:
[VPN-Status] 2010/06/09 19:58:25,030
IKE info: Delete Notificaton for for Phase-2 SA spi [0x06e673da] could not be sent: no phase-1 sa exists to peer XXX.XXX.XXX.XXX
Resetten kann ich den Router leider nicht so einfach, sonst wäre das jetzt meine erste Aktion gewesen.
Im Moment bin ich ratlos und für jeden Tipp für VPN Einwahl und PrivateMode Trennung dankar!
mfg
Ich bin es nochmal.
Also das mit dem Private Mode funktioniert irgendwie überhaupt nicht.
Obwohl ich Port 3 (192.168.2.x") und Port 4 (192.168.1.0) im Private Mode habe, kann ich sie komischerweise noch gegenseitig anpingen.
Dazu kommt, dass ich mich einfach nicht per Advanced VPN Client einwählen kann. Die Config wurde mit dem Wizard im OneClick Verfahren erzeugt.
DynDNS kann ich auflösen. Remote über SSH einloggen auch.
Lancom Site to Site VPN mit 2tem Lancom Router testweise aufgestellt -> geht auch nicht.
VPN Client bringt die Meldung:
VPN Gateway antwortet nicht (Warten auf MSG2)
TR # vpn-st auf Routerseite bringt:
[VPN-Status] 2010/06/09 19:58:25,030
IKE info: Delete Notificaton for for Phase-2 SA spi [0x06e673da] could not be sent: no phase-1 sa exists to peer XXX.XXX.XXX.XXX
Resetten kann ich den Router leider nicht so einfach, sonst wäre das jetzt meine erste Aktion gewesen.
Im Moment bin ich ratlos und für jeden Tipp für VPN Einwahl und PrivateMode Trennung dankar!
mfg
Hi cpm4
Wenn du das unterbinden willst, dann mußt du entweder in der Firewall passende Sperr-Regeln einbauen oder den Netzen unterschiedliche Interface-Tags (ungleich 0) geben - das meinte ft2002 auch mit seinem Kurzen Satz "Schnittstellen Tag ist das Zauberwort"...
Gruß
Backslash
natürlich... Das sind verschiedene Netze und die werden über den Router verbunden. Private-Mode bedeutet nur, daß die Ports im Switch nicht mehr miteinander verbunden sind.Obwohl ich Port 3 (192.168.2.x") und Port 4 (192.168.1.0) im Private Mode habe, kann ich sie komischerweise noch gegenseitig anpingen.
Wenn du das unterbinden willst, dann mußt du entweder in der Firewall passende Sperr-Regeln einbauen oder den Netzen unterschiedliche Interface-Tags (ungleich 0) geben - das meinte ft2002 auch mit seinem Kurzen Satz "Schnittstellen Tag ist das Zauberwort"...
Gruß
Backslash
Hi,
mach es doch mit TAG's wie backslash beschreibt.
Ich habe das bei uns so gemacht:
In unseren Besprechungsraum gibt es einen Port für Gäste. Dieser ist mit dem LAN3 Port am Router verbunden. Unter TCP/IP Allgemein habe ich ein IP-Netzwerk für die Gäste eingerichtet. Name GAESTE IP 192.168.200.1 Schnittstelle LAN-3 Wichtig TAG: 99.
Dann läuft für dieses Netz ein DHCP der durch den LANCOM ausgeführt wird. Dieser funktioniert nur auf dem Gäste-LAN und stört nicht unseren Windows DHCP. Also DHCP-Netzwerke einrichten und diesen an das IP-Netzwerk GAESTE binden.
Als letzter Schritt zum IP-Routing wechseln.
Hier erzeugst du einen neuen Eintrag in der Routing-Tabelle: ganz zum Schluss gibt es einen Eintrag 255.255.255.255 0.0.0.0 ... Das ist die Default Router ins Internet. Diesen Eintrag kopierst du und gibt ihm bei dem Routing-Tag auch die 99 mit.
Tata......
mach es doch mit TAG's wie backslash beschreibt.
Ich habe das bei uns so gemacht:
In unseren Besprechungsraum gibt es einen Port für Gäste. Dieser ist mit dem LAN3 Port am Router verbunden. Unter TCP/IP Allgemein habe ich ein IP-Netzwerk für die Gäste eingerichtet. Name GAESTE IP 192.168.200.1 Schnittstelle LAN-3 Wichtig TAG: 99.
Dann läuft für dieses Netz ein DHCP der durch den LANCOM ausgeführt wird. Dieser funktioniert nur auf dem Gäste-LAN und stört nicht unseren Windows DHCP. Also DHCP-Netzwerke einrichten und diesen an das IP-Netzwerk GAESTE binden.
Als letzter Schritt zum IP-Routing wechseln.
Hier erzeugst du einen neuen Eintrag in der Routing-Tabelle: ganz zum Schluss gibt es einen Eintrag 255.255.255.255 0.0.0.0 ... Das ist die Default Router ins Internet. Diesen Eintrag kopierst du und gibt ihm bei dem Routing-Tag auch die 99 mit.
Tata......
Hi cpm4
Das heißt, durch das Einschalten des Private-Modes bleibt nichts anderes übrig, als den Router zu nutzen um zwischen den beiden Ports zu kommunizieren. Und da kannst du dann mit der Firewall den Traffic beliebig steuern.
Gruß
Backslash
Der Private-Mode ist eine Einstellung des Switches und sein sinn ist der, daß du eine *physikalische* Trennung der Ports erreichst, d.h. du kannst an einem Port nicht mitsniffen, was auf dem anderen Läuft. Du kannst auch nicht direkt (also über Ethernet!) Hosts ansprechen, die am anderen Port hängen.Den Sinn des PrivateMode verstehe ich dann jetzt aber nicht mehr.
Das heißt, durch das Einschalten des Private-Modes bleibt nichts anderes übrig, als den Router zu nutzen um zwischen den beiden Ports zu kommunizieren. Und da kannst du dann mit der Firewall den Traffic beliebig steuern.
Gruß
Backslash
hi smove99
Das kannst du dir aber auch sparen, wenn der gleiche Internetprovider genutzt wird... Denn anders als bei den ARF-Netzen ist in der Routing-Tabelle das Tag 0 das "Default-Tag", das genutzt wird, wenn kein anderes Tag matcht.
Bei den ARF-Netzen ist ein Netz mit Tag 0 hingegen ein "Supervisor"-Netz, das alle anderen Netze sieht, aber von keinem anderen Netz gesehen wird.
Gruß
Backslash
Hier erzeugst du einen neuen Eintrag in der Routing-Tabelle: ganz zum Schluss gibt es einen Eintrag 255.255.255.255 0.0.0.0 ... Das ist die Default Router ins Internet. Diesen Eintrag kopierst du und gibt ihm bei dem Routing-Tag auch die 99 mit.
Das kannst du dir aber auch sparen, wenn der gleiche Internetprovider genutzt wird... Denn anders als bei den ARF-Netzen ist in der Routing-Tabelle das Tag 0 das "Default-Tag", das genutzt wird, wenn kein anderes Tag matcht.
Bei den ARF-Netzen ist ein Netz mit Tag 0 hingegen ein "Supervisor"-Netz, das alle anderen Netze sieht, aber von keinem anderen Netz gesehen wird.
Gruß
Backslash
.
Eine Frage hätte ich da noch:
Ich komme nämlich immer noch nicht via Advaned Client in das VPN.
Jetzt habe ich die DynDNS Adresse mal mit nmap gescannt.
Der zeigt mir an, dass nur Port 22 und 443 nach aussen hin offen sind.
Das sind doch wohl mal eindeutig zu wenig oder nicht?
Müssten bei aktivierem VPN nicht zumindest solche Standardports wie 1723, 47, 1701 und 500 angezeigt werden?
Vielen Dank im Voraus!
Ich komme nämlich immer noch nicht via Advaned Client in das VPN.
Jetzt habe ich die DynDNS Adresse mal mit nmap gescannt.
Der zeigt mir an, dass nur Port 22 und 443 nach aussen hin offen sind.
Das sind doch wohl mal eindeutig zu wenig oder nicht?
Müssten bei aktivierem VPN nicht zumindest solche Standardports wie 1723, 47, 1701 und 500 angezeigt werden?
Vielen Dank im Voraus!