Hallo,
wir haben uns einen Lancom 1721 + VPN Router zugelegt um VPN zu nutzen, sowie die unterteilung unserer beiden Netze. Daher habe ich mich auch hier registriert, voher haben wir einen Astaro Security Gateway benutzt.
Die Netzwerstruktur sieht folgendermaßen aus:
ETH1: externes Surfnetz: 192.168.1.x > dieses Netz soll vollen Zugriff aufs Internet haben.
ETH2: internes Netz: 192.168.2.x dieses Netz soll keinen Internetzugriff haben, allerdings soll VPN in dieses Netz möglich sein, weil wir auf unseren Server via RDP zugreifen als auch mit VNC arbeiten.
So soll es zumindest sein...
Ich hab schon das Handbuch durchstöbert, allerdings habe ich noch keine elegante Lösung gefunden.
Vielen Dank im vorraus.
2 Subnetze intern/extern konfigurieren ?
Moderator: Lancom-Systems Moderatoren
Hi rbn111,
die einfachste Lösung ist die, dem 192.168.1.x-Netz ein Interface-Tag ungleich 0 zu verpassen und dieses Tag auch in der Default-Route einzutragen. Hierdurch erreichst du, daß nur dieses Netz ins Internet darf. Gleichzeitig verhinderst du auch, daß von diesem Netz auf das 192.168.2.x-Netz zugegriffen werden kann.
Vom 192.168.2.x-Netz kann aber immer noch auf das 192.168.1.x-Netz zugeriffen werden, weil das 192.168.2.x-Netz immer noch das Interface-Tag 0 hat. Willst du auch diesen Zugriff verhindern, dann mußt du dem 192.168.2.x-Netz ein anderes Tag geben. In diesem Fall mußt du aber auch dafür sorgen, daß die VPN-Verbindungen ebenfalls mit diesem Tag versehen werden. Für LAN-LAN-Kopplungen erreichst du das dadurch, daß du den VPN-Routen ebenfalls das Tag des 192.168.2.x-Netz gibst. Um VPN-Clients, die eine Adresse aus dem WAN-Pool bekommen, in den Kontext des 192.168.2.x-Netz zu zwingen, brauchst du eine Regel in der Firewall, die dieses Tag für alle Pakete setzt, die aus dem Adreßbereich des WAN-Pools kommen:
Gruß
Backslash
die einfachste Lösung ist die, dem 192.168.1.x-Netz ein Interface-Tag ungleich 0 zu verpassen und dieses Tag auch in der Default-Route einzutragen. Hierdurch erreichst du, daß nur dieses Netz ins Internet darf. Gleichzeitig verhinderst du auch, daß von diesem Netz auf das 192.168.2.x-Netz zugegriffen werden kann.
Vom 192.168.2.x-Netz kann aber immer noch auf das 192.168.1.x-Netz zugeriffen werden, weil das 192.168.2.x-Netz immer noch das Interface-Tag 0 hat. Willst du auch diesen Zugriff verhindern, dann mußt du dem 192.168.2.x-Netz ein anderes Tag geben. In diesem Fall mußt du aber auch dafür sorgen, daß die VPN-Verbindungen ebenfalls mit diesem Tag versehen werden. Für LAN-LAN-Kopplungen erreichst du das dadurch, daß du den VPN-Routen ebenfalls das Tag des 192.168.2.x-Netz gibst. Um VPN-Clients, die eine Adresse aus dem WAN-Pool bekommen, in den Kontext des 192.168.2.x-Netz zu zwingen, brauchst du eine Regel in der Firewall, die dieses Tag für alle Pakete setzt, die aus dem Adreßbereich des WAN-Pools kommen:
Code: Alles auswählen
Routing-Tag: Tag des 192.168.2.x-Netzes
Aktion: übertragen
Quelle: Adressen des WAN-Pools
Ziel: alle Stationen
Dienste: Alle DienteBackslash
Hi backslash,
danke für deine Antwort!
Ich weiß allerdings nicht genau ob alles klappt, liegt wohl auch daran, dass ich noch nicht ganz so versiert bin.
Also ich habe die Anleitung aus der Knowledgebase von Lancom verfolgt.
7: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN) http://www.lancom-systems.de/fileadmin/ ... 3fopenview
Ich habe dem Surfnetz jetzt den Routing Tag 1 gegeben, dass hatte zur Folge, dass nurnoch mein Netz mit dem Interfacetag 1 Internetzugang hat und das andere Netz nicht.
Das die Netze aufeinander zugreifen ist kein Problem, wenn ich jetzt den Interfacetag 0 auf das Netz ohne Internet setze funktioniert die Remotedesktopverbindung in das Netz ?
Danke dir du hast mir schon sehr weitergeholfen, bitte entschuldige diese Anfängerfragen, jeder fängt mal klein an
Gruß
Rbn
danke für deine Antwort!
Ich weiß allerdings nicht genau ob alles klappt, liegt wohl auch daran, dass ich noch nicht ganz so versiert bin.
Also ich habe die Anleitung aus der Knowledgebase von Lancom verfolgt.
7: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN) http://www.lancom-systems.de/fileadmin/ ... 3fopenview
Ich habe dem Surfnetz jetzt den Routing Tag 1 gegeben, dass hatte zur Folge, dass nurnoch mein Netz mit dem Interfacetag 1 Internetzugang hat und das andere Netz nicht.
Das die Netze aufeinander zugreifen ist kein Problem, wenn ich jetzt den Interfacetag 0 auf das Netz ohne Internet setze funktioniert die Remotedesktopverbindung in das Netz ?
Danke dir du hast mir schon sehr weitergeholfen, bitte entschuldige diese Anfängerfragen, jeder fängt mal klein an
Gruß
Rbn
Hallo Rbn,
Viele Grüße,
Jirka
? -> Jeder wie er's mag.rbn111 hat geschrieben:Dass die Netze aufeinander zugreifen ist kein Problem,
Wo willst Du jetzt ein Routing-Tag setzen? Das Schnittstellen-Tag (Interface-Tag) 0 hast Du ja bereits in Deinem IP-Netzwerk (internes Netz: 192.168.2.x) gesetzt (bzw. es war schon gesetzt). Damit sollte es jetzt so funktionieren, wie Du möchtest, ja.rbn111 hat geschrieben:wenn ich jetzt den Interfacetag 0 auf das Netz ohne Internet setze funktioniert die Remotedesktopverbindung in das Netz?
Viele Grüße,
Jirka
Hallo Jirka,
also ich habe 2 Netze.
Eth1: 192.168.1.x Interface Tag 1 (Mit Internet)
Eth2: 192.168.2.x Interface Tag 0 (Ohne Internet)
Ich möchte das Eth1 Internet hat daher der Routing Tag 1.
Ich hoffe das ist klar geworden was ich meine, warum ist das ein Problem wenn die beiden Netze aufeinander zugreifen können?
Besten Dank
Rbn
also ich habe 2 Netze.
Eth1: 192.168.1.x Interface Tag 1 (Mit Internet)
Eth2: 192.168.2.x Interface Tag 0 (Ohne Internet)
Ich möchte das Eth1 Internet hat daher der Routing Tag 1.
Ich hoffe das ist klar geworden was ich meine, warum ist das ein Problem wenn die beiden Netze aufeinander zugreifen können?
Besten Dank
Rbn
Hallo Rbn,
gut. Und was ist jetzt Deine Frage? Nur die Frage, warum es ein Problem ist, wenn das eine Netz auf das andere zugreifen kann? Nun ja, ich habe ja geschrieben: Jeder wie er's mag. Wenn das für Dich ok ist, ist alles ok. Es ist im Allgemeinen aber erwünscht, dass von einem Netz auf's andere eben nicht zugegriffen werden kann.
Bei Dir ist jetzt ein Zugriff von
192.168.1.x Interface Tag 1 (Mit Internet)
nach
192.168.2.x Interface Tag 0 (Ohne Internet)
nicht erlaubt. Aber umgekehrt schon, weil Netze mit Schnittstellen-Tag 0 auf alle Netze (per default) Zugriff haben.
Viele Grüße,
Jirka
gut. Und was ist jetzt Deine Frage? Nur die Frage, warum es ein Problem ist, wenn das eine Netz auf das andere zugreifen kann? Nun ja, ich habe ja geschrieben: Jeder wie er's mag. Wenn das für Dich ok ist, ist alles ok. Es ist im Allgemeinen aber erwünscht, dass von einem Netz auf's andere eben nicht zugegriffen werden kann.
Bei Dir ist jetzt ein Zugriff von
192.168.1.x Interface Tag 1 (Mit Internet)
nach
192.168.2.x Interface Tag 0 (Ohne Internet)
nicht erlaubt. Aber umgekehrt schon, weil Netze mit Schnittstellen-Tag 0 auf alle Netze (per default) Zugriff haben.
Viele Grüße,
Jirka
okay, hab die Konfiguration nun abgeschlossen. Allerdings gibts noch ein kleines Problem. Ich kann mich über VPN einloggen. Allerdings ist Ping und RDP nicht möglich auf die Ips im 192.168.2.x Netz.
Wie ist die eleganteste Lösung um darauf Zugriff zu erhalten?
Das Problem ist glaube ich. Mein VPN Client bekommt eine Ip aus dem 192.168.1er Segment, der den Interface Tag 1 hat.
Und 1 kann ja nicht auf 0 Zugreifen, oder ?
Besten Dank
Rbn
Wie ist die eleganteste Lösung um darauf Zugriff zu erhalten?
Das Problem ist glaube ich. Mein VPN Client bekommt eine Ip aus dem 192.168.1er Segment, der den Interface Tag 1 hat.
Und 1 kann ja nicht auf 0 Zugreifen, oder ?
Besten Dank
Rbn
Hi rbn111
Gruß
Backslash
richtig... Du mußt ihm schon eine IP aus dem 192.168.1er-Netz geben... Ach ja: Außerdem mußt du noch Proxy-ARP aktivieren (IP-Router -> Allgemein -> Entfernte Stationen mit Proxy-ARP einbinden)Das Problem ist glaube ich. Mein VPN Client bekommt eine Ip aus dem 192.168.1er Segment, der den Interface Tag 1 hat.
Und 1 kann ja nicht auf 0 Zugreifen, oder ?
Gruß
Backslash
Hallo,
die Option war bei mir schon aktiviert. Ich hab schon alles mögliche ausprobiert. Leider bekomm ich keinen Zugriff.
Ich kann nichtmal den Lancom Router pingen.
Langsam verzweifel ich, eigentlich sollte das alles so einfach gehen.
Gibt es keine einfache Anleitung wie ich das jetzt zum laufen bringe...
besten Dank
Rbn
die Option war bei mir schon aktiviert. Ich hab schon alles mögliche ausprobiert. Leider bekomm ich keinen Zugriff.
Ich kann nichtmal den Lancom Router pingen.
Langsam verzweifel ich, eigentlich sollte das alles so einfach gehen.
Gibt es keine einfache Anleitung wie ich das jetzt zum laufen bringe...
besten Dank
Rbn
Hallo,
ja das Häckchen ist aktiviert. Ich habe jetzt mal mit dem 1 Klick Assistenten eine Verbindung erstellt. Die funktioniert RDP auf alles funktioniert Ping etc auch...
Dann liegt es scheinbar am Shrew Soft VPN Client. Gibt es da eine andere möglichkeit, weil der Advanced VPN Client von Lancom kostet ja...
Leider hab ich noch ein kleines Problem anfangs ging die Dyndns aktualierung noch, weil wir eine dynamische IP haben.
Das hab ich mit dem Dynamic DNS Assistenten gemacht. Leider funktioniert das jetzt nicht mehr, velleicht weil ich den zu oft ausgeführt habe.
Kann ich das irgendwo zurücksetzen ich hab im Lanconfig keine Option gefunden dafür.
Besten Dank
ja das Häckchen ist aktiviert. Ich habe jetzt mal mit dem 1 Klick Assistenten eine Verbindung erstellt. Die funktioniert RDP auf alles funktioniert Ping etc auch...
Dann liegt es scheinbar am Shrew Soft VPN Client. Gibt es da eine andere möglichkeit, weil der Advanced VPN Client von Lancom kostet ja...
Leider hab ich noch ein kleines Problem anfangs ging die Dyndns aktualierung noch, weil wir eine dynamische IP haben.
Das hab ich mit dem Dynamic DNS Assistenten gemacht. Leider funktioniert das jetzt nicht mehr, velleicht weil ich den zu oft ausgeführt habe.
Kann ich das irgendwo zurücksetzen ich hab im Lanconfig keine Option gefunden dafür.
Besten Dank
Also wenn ich den Links aus der Aktionstabelle per Hand in den Brower eingebe kommt: notfqdn
kann es sein, dass ich blockiert bin, habe auch einen 2. Dyndns acc ausprobiert, dort das gleiche...
wie komme ich in die kommandozeile von meinem Lancom Router ?
ich möchte den Befehl eingeben
list /Status/WAN/Actions/Action-Table
kann es sein, dass ich blockiert bin, habe auch einen 2. Dyndns acc ausprobiert, dort das gleiche...
wie komme ich in die kommandozeile von meinem Lancom Router ?
ich möchte den Befehl eingeben
list /Status/WAN/Actions/Action-Table
habs gefunden und zwar spuckt er mir das aus
00.00.0000 00:05:32 repeat:300 timer started
00.00.0000 00:05:32 http://dynupdate.no-ip.com/update.php?u ... .182.129.3 locked (330 seconds remaining)
00.00.0000 00:05:32 dnscheck:blecker.myftp.biz
00.00.0000 00:05:32 http://dynupdate.no-ip.com/update.php?u ... .182.129.3 locked (2155570 seconds remaining)
okay locked klingt nicht gut, was kann ich tun weiter weiß ich nicht mehr
00.00.0000 00:05:32 repeat:300 timer started
00.00.0000 00:05:32 http://dynupdate.no-ip.com/update.php?u ... .182.129.3 locked (330 seconds remaining)
00.00.0000 00:05:32 dnscheck:blecker.myftp.biz
00.00.0000 00:05:32 http://dynupdate.no-ip.com/update.php?u ... .182.129.3 locked (2155570 seconds remaining)
okay locked klingt nicht gut, was kann ich tun weiter weiß ich nicht mehr
Hallo rbn111,
Wenn Du den Link aus der Aktionstabelle "einfach so" rauskopierst, musst Du %h (Parameter hostname) und %a (Parameter myip) schon durch den FQDN bzw. die IP-Adresse ersetzen, sonst wird das nichts...
Viele Grüße,
Jirka
notfqdn bedeutet: Der spezifizierte Hostname ist nicht ein fully qualified domain name (nicht in der Form name.dyndns.org or domain.com).rbn111 hat geschrieben:Also wenn ich den Links aus der Aktionstabelle per Hand in den Brower eingebe kommt: notfqdn
Wenn Du den Link aus der Aktionstabelle "einfach so" rauskopierst, musst Du %h (Parameter hostname) und %a (Parameter myip) schon durch den FQDN bzw. die IP-Adresse ersetzen, sonst wird das nichts...
Das sieht nicht so aus, könnte aber bei weiteren Fehlern noch kommen...rbn111 hat geschrieben:kann es sein, dass ich blockiert bin, habe auch einen 2. Dyndns acc ausprobiert, dort das gleiche...
Nun ja, per Telnet, SSH, seriell, wie es am besten passt. Ein Telnet-Client ist in Windows integriert, einfach an der Eingabeaufforderung 'telnet <IP-Adresse_oder_Name>' eingeben.rbn111 hat geschrieben:wie komme ich in die kommandozeile von meinem Lancom Router? Ich möchte den Befehl eingeben
list /Status/WAN/Actions/Action-Table
Viele Grüße,
Jirka
Hallo Hallo rbn111,
Viele Grüße,
Jirka
...war wohl etwas sehr spät in der Nacht, dass Du im falschen Thread geantwortet hast?!rbn111 hat geschrieben:Guten Morgen,
Wenn Du Firmware 8.00 oder höher verwendest und keine Default-Route mit Routing-Tag 0 mehr hast, liegt es definitiv daran.rbn111 hat geschrieben:Ich glaube ich weiß, was das Problem auslöst.
Und zwar hat meine DSL Verbindung den Routing Tag 1 als auch eines meiner Subnetzwerke. Kann es daran liegen ?
Viele Grüße,
Jirka