Hallo,
folgende Ausgangssituation:
Router A = Gateway A (GWA)
IP-Netz FIRMA_A: 192.168.1.0/24; VLAN-ID 1, 3; Schnittstellentag 0
IP-Netz FIRMA_B: 192.168.3.0/24; VLAN-ID 3; Schnittstellentag 0
IP-Netz PUBLIC: 192.168.2.0/24; VLAN-ID 2; Schnittstellentag 0
In der Routing-Tabelle haben alle Routen das Routing-Tag 0
In der Firewall gibt es 4 Regeln:
- blockiere den kompletten Verkehr von der Firma A und GWB nach LOCALNET
- blockiere den kompletten Verkehr von der Firma B und GWB nach LOCALNET
- blockiere den kompletten Verkehr von PUBLIC und GWB nach LOCALNET
- erlaube allen Stationen aus Firma B Zugriff auf den Server in Firma A (192.168.1.10) für die Dienste/Protokolle http, https und SMB/CIFS
Router B = Gateway B (GWB)
IP-Netz FIRMA_A: 192.168.11.0/24; VLAN-ID 1, 3; Schnittstellentag 0
IP-Netz FIRMA_B: 192.168.13.0/24; VLAN-ID 3; Schnittstellentag 0
IP-Netz PUBLIC: 192.168.12.0/24; VLAN-ID 2; Schnittstellentag 0
In der Routing-Tabelle haben alle Routen das Routing-Tag 0
In der Firewall gibt es 4 Regeln:
- blockiere den kompletten Verkehr von der Firma A und GWA nach LOCALNET
- blockiere den kompletten Verkehr von der Firma B und GWA nach LOCALNET
- blockiere den kompletten Verkehr von PUBLIC und GWA nach LOCALNET
- erlaube allen Stationen aus Firma B Zugriff auf den Server in Firma A / Router A (192.168.1.10) für die Dienste/Protokolle http, https und SMB/CIFS
===============
Mir ergeben sich folgende Fragestellungen:
Die VPN-Kopplung funktioniert, die Router kommunizieren miteinander. Was mich stört ist die Fehlermeldung auf beiden Routern "Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID". Was könnte die Ursache sein und wie kann ich das Manko beseitigen?
Die Firewallregeln funktionieren sehr gut, solange sich der Verkehr nur auf einem Router abspielt.
Sobald jedoch ein Zugriff über den VPN-Tunnel z.B. von Router A nach B erfolgt, dann ist z.B. das 11er und 13er Netz für das 1er Netz offen. Das 11er ist in diesem Falle o.k., jedoch soll nicht auf das 13er Netz zugegriffen werden können. Auch ist von Router B nach A z.B. das 1er und 3er Netz für das 11er Netz offen. Auch hier soll gelten, für das 1er o.k., jedoch soll nicht auf das 3er zugegriffen werden.
Das Netz mit der VLAN-ID 2 ist immer perfekt abgeschirmt, da gibt es keine Probleme.
In den Firewall-Regeln habe ich den Haken bei "Diese Regel ist für die Firewall aktiv" gesetzt. Nun habe ich bereits mehrfach gelesen, dass bei VPN-Verbindungen der Haken bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" zu setzten ist. Setzte ich evtl. beide Haken oder nur einen und welchen?
Freue mich über jeden Hinweis.
Vielen Dank
LAN-LAN-Kopplung per VPN, VLAN, Firewall
Moderator: Lancom-Systems Moderatoren
LAN-LAN-Kopplung per VPN, VLAN, Firewall
LANCOM 1781VA
-
Dr.Einstein
- Beiträge: 3241
- Registriert: 12 Jan 2010, 14:10
Hallo leoberni,
die Fehlermeldung "Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID" kommt durch nicht-übereinstimmende SA's zwischen den Netzen zustande. Ursachen dafür gibt es viele. Wenn die VPN-Verbindung auf "Regelerzeugung: automatisch" steht, werden alle Netzwerk mit Netzwerktyp "Intranet" unter TCP-IP / IP-Netzwerk kombiniert mit den Einträgen aus der IP-Routing-Tabelle, die auf die VPN-Verbindung zeigen.
Sollte jetzt an einem Standort eine DMZ eingerichtet sein, jedoch auf dem anderen Router in der Routing-Tabelle auftauchen, hast du schon die Fehlermeldung mit den ID's. Sichtbar werden die Probleme mithilfe des VPN-Status-Traces.
Zusätzlich werden auch SA's erstellt, wenn in den Firewall-Regeln "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" angehakt ist.
Es gibt mehrere Möglichkeiten, dein Problem zu lösen. Eine wäre generell alles zu erlauben, was mit VPN zutun hat und dann über die Firewall Einschränkungen machen.
Was bei dir vielleicht sinnvoller wäre, ist in der VPN-Verbindungsliste die Regelerzeugung auf manuell umzustellen und über neue "Firewall(VPN)"-Regeln die entsprechenden SA's manuell anzulegen. Denk hierbei an Hin- und Rückrichtung.
Gruß Dr.Einstein
die Fehlermeldung "Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID" kommt durch nicht-übereinstimmende SA's zwischen den Netzen zustande. Ursachen dafür gibt es viele. Wenn die VPN-Verbindung auf "Regelerzeugung: automatisch" steht, werden alle Netzwerk mit Netzwerktyp "Intranet" unter TCP-IP / IP-Netzwerk kombiniert mit den Einträgen aus der IP-Routing-Tabelle, die auf die VPN-Verbindung zeigen.
Sollte jetzt an einem Standort eine DMZ eingerichtet sein, jedoch auf dem anderen Router in der Routing-Tabelle auftauchen, hast du schon die Fehlermeldung mit den ID's. Sichtbar werden die Probleme mithilfe des VPN-Status-Traces.
Zusätzlich werden auch SA's erstellt, wenn in den Firewall-Regeln "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" angehakt ist.
Es gibt mehrere Möglichkeiten, dein Problem zu lösen. Eine wäre generell alles zu erlauben, was mit VPN zutun hat und dann über die Firewall Einschränkungen machen.
Was bei dir vielleicht sinnvoller wäre, ist in der VPN-Verbindungsliste die Regelerzeugung auf manuell umzustellen und über neue "Firewall(VPN)"-Regeln die entsprechenden SA's manuell anzulegen. Denk hierbei an Hin- und Rückrichtung.
Gruß Dr.Einstein
Hi Einstein,
das Thema mit der Fehlermeldung habe ich gelöst, die SA's arbeiten jetzt korrekt in beide Richtungen.
Bleibt noch der Zugriff der Netze untereinander, ich habe jetzt schon diverse Möglichkeiten ausprobiert und noch keine Lösung gefunden.
Egal ob ich mit VLAN-ID's oder virtuellen Router (ARF) bzw. Schnittstellen-Tags arbeite, es klappt nicht ganz wie es soll. Solange ich mich auf einem Router befinde, arbeiten die Firewallregeln korrekt. Sobald ich auf ein Netz auf dem entfernten Router zugreife, greifen die dort definierten Firewallregeln nicht, sowohl mit VLAN oder ARF!
Ich vermute einmal ganz stark. dass es an den SA's liegt? Würde es Sinn machen, über die SA's nicht den kompletten Verker zu akzeptieren, sondern Einschränkungen auf bestimmte Netze und Dienste zu machen?
Folgende Zugriffsmöglichkeiten möchte ich über die LAN-LAN-Kopplung umsetzten:
Quelle > Ziel
Router A, Netz 192.168.1.0 > Router B, Netz 192.168.11.0
Router B, Netz 192.168.11.0 > Router A, Netz 192.168.1.0
Router A, Netz 192.168.3.0 > Router B, Netz 192.168.13.0
Router B, Netz 192.168.13.0 > Router A, Netz 192.168.3.0
Router A, Netz 192.168.3.0 > Router A, Server 192.168.1.10
Router B, Netz 192.168.13.0 > Router A, Server 192.168.1.10
Alle weiteren Routen zwischen den definierten Netzen auf beiden Routern und untereinander sollen gesperrt werden.
Viele Grüße
leoberni
das Thema mit der Fehlermeldung habe ich gelöst, die SA's arbeiten jetzt korrekt in beide Richtungen.
Bleibt noch der Zugriff der Netze untereinander, ich habe jetzt schon diverse Möglichkeiten ausprobiert und noch keine Lösung gefunden.
Egal ob ich mit VLAN-ID's oder virtuellen Router (ARF) bzw. Schnittstellen-Tags arbeite, es klappt nicht ganz wie es soll. Solange ich mich auf einem Router befinde, arbeiten die Firewallregeln korrekt. Sobald ich auf ein Netz auf dem entfernten Router zugreife, greifen die dort definierten Firewallregeln nicht, sowohl mit VLAN oder ARF!
Ich vermute einmal ganz stark. dass es an den SA's liegt? Würde es Sinn machen, über die SA's nicht den kompletten Verker zu akzeptieren, sondern Einschränkungen auf bestimmte Netze und Dienste zu machen?
Folgende Zugriffsmöglichkeiten möchte ich über die LAN-LAN-Kopplung umsetzten:
Quelle > Ziel
Router A, Netz 192.168.1.0 > Router B, Netz 192.168.11.0
Router B, Netz 192.168.11.0 > Router A, Netz 192.168.1.0
Router A, Netz 192.168.3.0 > Router B, Netz 192.168.13.0
Router B, Netz 192.168.13.0 > Router A, Netz 192.168.3.0
Router A, Netz 192.168.3.0 > Router A, Server 192.168.1.10
Router B, Netz 192.168.13.0 > Router A, Server 192.168.1.10
Alle weiteren Routen zwischen den definierten Netzen auf beiden Routern und untereinander sollen gesperrt werden.
Viele Grüße
leoberni
LANCOM 1781VA
-
Dr.Einstein
- Beiträge: 3241
- Registriert: 12 Jan 2010, 14:10
Hey leoberni,
VLAN's und ARF's sind nur für dein eigenes Netzwerk interessant, und werden nur unter bestimmten Vorraussetzungen über VPN mitgenommen.
Deaktiviere die automatische Regelerzeugung bei deiner VPN-Verbindung und erstelle in der Firewall beider Router folgende 6 VPN-Regeln:
Netz 192.168.1.0 > Netz 192.168.11.0
Netz 192.168.11.0 > Netz 192.168.1.0
Netz 192.168.3.0 > Netz 192.168.13.0
Netz 192.168.13.0 > Netz 192.168.3.0
Netz 192.168.3.0 > IP 192.168.1.10
IP 192.168.1.10 > Netz 192.168.3.0
Netz 192.168.13.0 > IP 192.168.1.10
IP 192.168.1.10 > Netz 192.168.13.0
Je nachdem, ob du eine DENY-All Regel hast, muss vielleicht zusätzlich das Häckchen "Firewall aktiv" verwendet werden bei den Regeln. Aber da du mit ARF's arbeitest vermutlich nicht.
Gruß Dr.Einstein
VLAN's und ARF's sind nur für dein eigenes Netzwerk interessant, und werden nur unter bestimmten Vorraussetzungen über VPN mitgenommen.
Deaktiviere die automatische Regelerzeugung bei deiner VPN-Verbindung und erstelle in der Firewall beider Router folgende 6 VPN-Regeln:
Netz 192.168.1.0 > Netz 192.168.11.0
Netz 192.168.11.0 > Netz 192.168.1.0
Netz 192.168.3.0 > Netz 192.168.13.0
Netz 192.168.13.0 > Netz 192.168.3.0
Netz 192.168.3.0 > IP 192.168.1.10
IP 192.168.1.10 > Netz 192.168.3.0
Netz 192.168.13.0 > IP 192.168.1.10
IP 192.168.1.10 > Netz 192.168.13.0
Je nachdem, ob du eine DENY-All Regel hast, muss vielleicht zusätzlich das Häckchen "Firewall aktiv" verwendet werden bei den Regeln. Aber da du mit ARF's arbeitest vermutlich nicht.
Gruß Dr.Einstein
Ich bin begeistert! Dieses Forum macht richtig Spaß, die Hilfe führt zum Ziel, ist schnell und man wird nicht in Frage gestellt, danke.
Hallo Einstein, vielen Dank für den Hinweis. Nachdem ich gestern meine Fragestellung hier quasi "zu Papier" gebracht habe, habe ich genau die von Dir vorgeschlagenen Einstellungen mit Erfolg getestet. Es bestätigt mich nochmals zu lesen, dass ich in die richtige Richtung gedacht habe.
Um dieses Thema abzuschließen, würden mich zum besseren Verständnis noch ein paar Fragen interessieren.
Wo liegt eigentlich der Unterschied zwischen einem Ansatz mit VLAN's bzw. mit ARF? Auf den ersten Blick kann ich diesen nicht richtig deuten, da ich m.E. mit beiden Ansätzen mehrere logisch voneinander getrennte Netze aufbauen kann.
Bei den IP-Netzen habe ich die Möglichkeit ein Schnittstellen-Tag und / oder eine VLAN-ID zu definieren. Macht es Sinn beide Felder zu pflegen oder sollte immer nur eines gepflegt werden?
Mein Verständnis zu den Firewallregeln ist, das diese immer nur für die lokal auf dem Router verwalteten Netze gilt. Für eine LAN-LAN-Kopplung gelten die zu definierenden SA's bzw. Netzbeziehungen und das jeweils in beide Richtungen?
Müssen die SA's auf beiden Routern identisch sein? Oder kann ich z.B. in meinem Falle eine SA nur für den Zugriff auf den Server im 1-er aus dem 13-er Netz definieren, für den Rückweg dann auch die identische Route, also vom 1-er ins 13-er Netz, aber mit der Aktion REJECT definieren (da dieser Weg eigentlich keinen Sinn macht, es soll ja nur vom Client aus dem 13-er Netz auf den Server zugegriffen werden, und nicht vom Server auf die Clients im 13-er Netz)? Mein Verständnis ist, das ich auf der Gegenseite nicht auf ein größeres Netzsegment zugreifen kann, jedoch sollte es m.E. möglich sein, einen kleineren oder gar keinen Bereich zuzulassen?
Weiterhin habe ich Verstanden, dass die Firewall erst alle spezifischen Regeln bearbeitet und danach die allgemeinen?
Zählen die VPN-Firewallregeln zu den spezifischen? In der Liste der Firewallregeln werden diese erst nach den allgemeinen aufgeführt, so dass ich mir nicht sicher bin, welche Regel zuerst behandelt wird? Kann dies evtl. der Grund sein, dass z.B. bei einer Deny-All Strategie bei den VPN-Firewallregeln zusätzlich die Option "Diese Regel ist für die Firewall aktiv" gesetzt werden muss? In welchen Fällen müssen beide Optionen gesetzt werden, d.h. also die zuvor genannte und "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"?
Mit Antworten auf diese Fragen würde ich mein Verständnis für das hier veröffentlichte Thema abrunden.
Über ein Feedback würde ich mich sehr freuen.
Viele Grüße
leoberni
Hallo Einstein, vielen Dank für den Hinweis. Nachdem ich gestern meine Fragestellung hier quasi "zu Papier" gebracht habe, habe ich genau die von Dir vorgeschlagenen Einstellungen mit Erfolg getestet. Es bestätigt mich nochmals zu lesen, dass ich in die richtige Richtung gedacht habe.
Um dieses Thema abzuschließen, würden mich zum besseren Verständnis noch ein paar Fragen interessieren.
Wo liegt eigentlich der Unterschied zwischen einem Ansatz mit VLAN's bzw. mit ARF? Auf den ersten Blick kann ich diesen nicht richtig deuten, da ich m.E. mit beiden Ansätzen mehrere logisch voneinander getrennte Netze aufbauen kann.
Bei den IP-Netzen habe ich die Möglichkeit ein Schnittstellen-Tag und / oder eine VLAN-ID zu definieren. Macht es Sinn beide Felder zu pflegen oder sollte immer nur eines gepflegt werden?
Mein Verständnis zu den Firewallregeln ist, das diese immer nur für die lokal auf dem Router verwalteten Netze gilt. Für eine LAN-LAN-Kopplung gelten die zu definierenden SA's bzw. Netzbeziehungen und das jeweils in beide Richtungen?
Müssen die SA's auf beiden Routern identisch sein? Oder kann ich z.B. in meinem Falle eine SA nur für den Zugriff auf den Server im 1-er aus dem 13-er Netz definieren, für den Rückweg dann auch die identische Route, also vom 1-er ins 13-er Netz, aber mit der Aktion REJECT definieren (da dieser Weg eigentlich keinen Sinn macht, es soll ja nur vom Client aus dem 13-er Netz auf den Server zugegriffen werden, und nicht vom Server auf die Clients im 13-er Netz)? Mein Verständnis ist, das ich auf der Gegenseite nicht auf ein größeres Netzsegment zugreifen kann, jedoch sollte es m.E. möglich sein, einen kleineren oder gar keinen Bereich zuzulassen?
Weiterhin habe ich Verstanden, dass die Firewall erst alle spezifischen Regeln bearbeitet und danach die allgemeinen?
Zählen die VPN-Firewallregeln zu den spezifischen? In der Liste der Firewallregeln werden diese erst nach den allgemeinen aufgeführt, so dass ich mir nicht sicher bin, welche Regel zuerst behandelt wird? Kann dies evtl. der Grund sein, dass z.B. bei einer Deny-All Strategie bei den VPN-Firewallregeln zusätzlich die Option "Diese Regel ist für die Firewall aktiv" gesetzt werden muss? In welchen Fällen müssen beide Optionen gesetzt werden, d.h. also die zuvor genannte und "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"?
Mit Antworten auf diese Fragen würde ich mein Verständnis für das hier veröffentlichte Thema abrunden.
Über ein Feedback würde ich mich sehr freuen.
Viele Grüße
leoberni
LANCOM 1781VA
-
Dr.Einstein
- Beiträge: 3241
- Registriert: 12 Jan 2010, 14:10
ARF's sollen eine Vereinfachung darstellen. Man kann Netzwerke gegenseitig sperren und erlauben, ohne ein großes Firewallregelwerk zu erstellen. Beim Einsatz von VLAN's sind meist viele Konfigurationen zusätzlich notwendig. In vielen Fällen reicht die Aufteilung des Netzwerkes durch den Einsatz von ARF am Router. Wichtig ist aber, dass beim Einsatz von VLAN's ARF zusätzlich verwendet werden sollte, damit die VLAN's nicht vom Lancom geroutet werden.Wo liegt eigentlich der Unterschied zwischen einem Ansatz mit VLAN's bzw. mit ARF? Auf den ersten Blick kann ich diesen nicht richtig deuten, da ich m.E. mit beiden Ansätzen mehrere logisch voneinander getrennte Netze aufbauen kann.
Die Firewall wird aus Sicht der Liste von oben nach unten abgearbeitet. Trifft ein Eintrag auf das ankommende Datenpaket zu, wird die Aktion ausgeführt und weitere Regeln ignoriert. VPN Regeln zählen eigentlich nicht zur Firewall. Bis jetzt musste ich nur dann beide Häckchen setzen, wenn eine DENY-ALL Strategie verwendet wird, und man sich eine zusätzliche Regel sparen möchte.Zählen die VPN-Firewallregeln zu den spezifischen? In der Liste der Firewallregeln werden diese erst nach den allgemeinen aufgeführt, so dass ich mir nicht sicher bin, welche Regel zuerst behandelt wird? Kann dies evtl. der Grund sein, dass z.B. bei einer Deny-All Strategie bei den VPN-Firewallregeln zusätzlich die Option "Diese Regel ist für die Firewall aktiv" gesetzt werden muss? In welchen Fällen müssen beide Optionen gesetzt werden, d.h. also die zuvor genannte und "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"?
Firewallregeln gelten für alle Datenpakete, die den Lancom Router passieren. Ob man SA's nur in eine Richtung definieren kann, vermutlich, den Fall selbst hat ich aber noch nie :-/Mein Verständnis zu den Firewallregeln ist, das diese immer nur für die lokal auf dem Router verwalteten Netze gilt. Für eine LAN-LAN-Kopplung gelten die zu definierenden SA's bzw. Netzbeziehungen und das jeweils in beide Richtungen?
Gruß Dr.Einstein
Nun muss ich doch noch eine Frage an dieser Stelle loswerden. Aus welchen Gründen auch immer, bereiten die zuvor erfolgreich arbeitenden SA' nicht mehr. Auf der Initiator Seite erhalte ich die Fehlermeldung "" und auf der Gegenseite beim Requestor "". Ich komme an dieser Stelle einfach nicht mehr vorwärts. Das Löschen und die Neueinrichtung der LAN-LAN-Kopplung haben hier keine Abhilfe geschaffen. Die SA sind sowohl hin als auch zurück definiert (und waren, wie bereits erwähnt, einmal funktionstüchtig).
Wer kann mir helfen?
Vielen Dank im Voraus.
leoberni
Wer kann mir helfen?
Vielen Dank im Voraus.
leoberni
LANCOM 1781VA
Hallo leoberni,
wie Dr. Einstein oben schon geschrieben hat...
mach mal ein VPN-Satus Trace, kannst Du über den LAN-Monitor oder Telnet ausführen.
(Im Telnet nach der Anmeldung : show vpn
Dort siehst Du dann die Erzeugten SA`s. An den Verbundenen Standorten muessen die SA`s gegenläufig identisch sein.
Gruss ...
wie Dr. Einstein oben schon geschrieben hat...
mach mal ein VPN-Satus Trace, kannst Du über den LAN-Monitor oder Telnet ausführen.
(Im Telnet nach der Anmeldung : show vpn
Dort siehst Du dann die Erzeugten SA`s. An den Verbundenen Standorten muessen die SA`s gegenläufig identisch sein.
Gruss ...