Hallo!
Ich versuche folgende Aufgabenstellung zu bewältigen und komme nicht sinnvoll weiter, vielleicht hat von euch jemand eine Idee die mir hilft!
Ich arbeite für ein Unternehmen mit zwei Standorten, diese Standorte sind per VPN über je ein LANCOM 1711 verbunden.
Standort A wird als zentrales VPN Gerät verwendet. Das heißt, wir ermöglichen den RAS Zugang zu Standort A und von dort routen wir weiter zu Standort B.
Funktioniert alles wunderbar.
Nun haben wir uns gedacht, wir schirmen unseren Konferenzraum vom LAN für Mitarbeiter in Standort A ab. Damit können Besucher ihre Laptops im Konferenzraum anstecken und haben Internetzugang und sind von unserem LAN für Mitarbeiter abgeschnitten.
Das Mitarbeiter-LAN hängt am Router auf ETH Port 1 und der Konferenzraum auf ETH Port 4.
Wenn ein Mitarbeiter im Konferenzraum trotzdem Zugang zum LAN für Mitarbeiter braucht - so dachte ich - soll er einfach seinen VPN Client anwerfen und eine VPN Verbindung aufbauen... dann sollte er aus dem abgeschirmenten Netz zugriff auf die sensiblen Daten haben.
Es funktioniert aber nicht. Ich habe verschiedene Konstellationen ausprobiert.
Eine Regel die Port 500 (Quell&Zielport) Kommunikation erlaubt exisitiert.
Das ESP Portokoll (IP Protokoll 50) ist zugelassen!
Gestetet als DMZ und Intranet als Netzwerktyp.
Mit und ohne "private Mode" für Eth4
Zur Veranschaulichung:
Mitarbeiter LAN mit Servern (das wichtige) 192.168.0.0/24
Besucher LAN im Konferenzraum 172.16.0.0/24
Netzbereich für VPN Clients 192.168.200.0/24
Derzeit habe ich alle Behinderungen für das 172.16.0.0 Netz abgedreht. Ich kann also voll auf das 192.168.0.0 Netz zugreifen. Aktiviere ich das VPN gehts nicht mehr!
Ich bekomme solche Benachrichtigungen und das IDS verwirft meine Packete:
matched this filter rule: intruder detection
filter info: packet received from invalid interface OLIVERZEHENT
matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-4
Im Besucher LAN hat mein laptop die Adresse 172.16.0.9 zugewiesen bekommen. Ich kann auf Shares, MAPI usw im 192.168.0.0 netz zugreifen. Aktiviere ich das VPN wird im LANMonitor folgendes Packet verworfen:
Quelle 192.168.0.1 (Router) Ziel 192.168.200.11 (Client über VPN RAS Einwahl aus dem 172.16.0.0 Netz) mit der Meldung "intruder detection"
und
Quelle 192.168.200.11 (Client über VPN RAS Einwahl aus dem 172.16.0.0 Netz) Ziel 192.168.0.4 (lokaler FTP) mit der Meldung "intruder detection"
Hat jemand eine Idee, wo der Hund begraben liegt? Danke!!!!
LANCOM 1711: VPN aus LAN für Konferenztisch
Moderator: Lancom-Systems Moderatoren
Info:
Habe das IDS deaktiviert, das Packet wird zwar nicht mehr verworfen, aber das VPN ist nur "verbunden", funktionieren tut es leider nicht!
Gibt es wo eine Anleitung, wie man mein Szenario am besten löst?
Also ein seperates Netzwerk ohne Zugriff auf die anderen Switchports des LANCOM mit Internet Zugang über welchen eine VPN Verbindung initialisert werden kann.
Habe das IDS deaktiviert, das Packet wird zwar nicht mehr verworfen, aber das VPN ist nur "verbunden", funktionieren tut es leider nicht!
Gibt es wo eine Anleitung, wie man mein Szenario am besten löst?
Also ein seperates Netzwerk ohne Zugriff auf die anderen Switchports des LANCOM mit Internet Zugang über welchen eine VPN Verbindung initialisert werden kann.
Hi Oliver
eigentlich ist die Lösung ganz einfach und nennt sich ARF...
Gruß
Backslash
eigentlich ist die Lösung ganz einfach und nennt sich ARF...
- - Gib dem Netz des Konferenzraums ein anderes Interface-Tag als dem Mitarbeiter-LAN - damit sind die Netze getrennt. Als Typ des Netzes kannst du einfach "Intranet" verwenden
- Achte darauf, daß der Laptop im Konferenzraum auch eine Adresse aus dem Netz des Konferenzraums hat (d.h. keine festen Adressen vergeben und immer mit DHCP arbeiten), weil sonst *natürlich* das IDS zuschlägt
- Der VPN-Client muß sich nun nur noch entweder mit der öffentlichen IP des LANCOMs verbinden oder besser: mit der IP, die das LANCOM im Konferenzraumnetz hat - das erspart die Allow-Regeln für das VPN (Port 500 und ESP).
Gruß
Backslash