Hi,
im 1711 habe ich die Firmware 7.26. Konfiguriert ist eine VPN-Einwahl über DSL mit einem VPN-Advanced Client. Die VPN-Einwahl ist per Hand ohne 1-Click bis zum Ende durchkonfiguriert. Der Client erhält im Zielnetz eine bestimmte IP. Leider verbindet sich der Client immer mit dem kompletten Zielnetz. An welcher Stelle könnte ich es so einrichten dass ich dem VPN-Client nur Zugriff auf 2 bestimmte IP-Adressen im Zielnetz erlaube?
wlan
VPN-Client darf im Zielnetz nur zwei IPs sehen
Moderator: Lancom-Systems Moderatoren
-
wireless_lan
- Beiträge: 50
- Registriert: 02 Jan 2005, 23:17
Hallo wlan,
am Einfachsten kannst Du das im Client konfigurieren, da Du hier dem Client sagen kannst, welche Netze / IPs er in den VPN-Tunnel schicken soll...
Konfigurieren kannst Du dass im entsprechenden Profil unter dem Pinkt "VPN IP-Netze". Hier bibst Du die IPs an, die in den Tunnel geroutet werden sollen (z.B. 192.168.1.1 / 255.255.255.255)
Gruß
TC
am Einfachsten kannst Du das im Client konfigurieren, da Du hier dem Client sagen kannst, welche Netze / IPs er in den VPN-Tunnel schicken soll...
Konfigurieren kannst Du dass im entsprechenden Profil unter dem Pinkt "VPN IP-Netze". Hier bibst Du die IPs an, die in den Tunnel geroutet werden sollen (z.B. 192.168.1.1 / 255.255.255.255)
Gruß
TC
-
wireless_lan
- Beiträge: 50
- Registriert: 02 Jan 2005, 23:17
Hallo wlan,
Du kannst natürlich die Änderungen zusätzlich auch auf LANCOM-Seite vornehmen.
Dazu musst Du die entsprechenden Stationen als Quelle in der Firewall-/VPN-Regel angeben, die ja bereits für den Client-Zugang existieren sollte.
Wenn nun jemand im Client ein größeres Netz angibt, wird dies nicht funktionieren, da das LANCOM eine solche VPN-Kommunikation nicht zulässt.
Achte aber darauf, dass die Regelerzeugung in der VPN-Verbindungsliste auf "manuell" steht.
Gruß
TC
Du kannst natürlich die Änderungen zusätzlich auch auf LANCOM-Seite vornehmen.
Dazu musst Du die entsprechenden Stationen als Quelle in der Firewall-/VPN-Regel angeben, die ja bereits für den Client-Zugang existieren sollte.
Wenn nun jemand im Client ein größeres Netz angibt, wird dies nicht funktionieren, da das LANCOM eine solche VPN-Kommunikation nicht zulässt.
Achte aber darauf, dass die Regelerzeugung in der VPN-Verbindungsliste auf "manuell" steht.
Gruß
TC
-
wireless_lan
- Beiträge: 50
- Registriert: 02 Jan 2005, 23:17
Hi TheCloud,
ich habe die VPN-Verbindung im 1711 angelegt und unter Firewall die einzelne IP-Adresse als Quelle angegeben. Ebenfalls unter VPN-Verbindungsliste ist manuell eingestellt. Trotzdem bricht der Kanal nach wenigen Sekunden mit folgenden Fehlermeldungen ab:
1.Kernel.Notice 192.168.240.20 SYSTEM_INFO: dropped message from 87.187.125.89 port -7693 due to notification type INVALID_COOKIE<000>
2.Kernel.Notice 192.168.240.20 SYSTEM_INFO: message_recv: invalid cookie(s) a357745263753476 0eadda3272181816<000>
Hast du noch nen Tipp?
wlan
ich habe die VPN-Verbindung im 1711 angelegt und unter Firewall die einzelne IP-Adresse als Quelle angegeben. Ebenfalls unter VPN-Verbindungsliste ist manuell eingestellt. Trotzdem bricht der Kanal nach wenigen Sekunden mit folgenden Fehlermeldungen ab:
1.Kernel.Notice 192.168.240.20 SYSTEM_INFO: dropped message from 87.187.125.89 port -7693 due to notification type INVALID_COOKIE<000>
2.Kernel.Notice 192.168.240.20 SYSTEM_INFO: message_recv: invalid cookie(s) a357745263753476 0eadda3272181816<000>
Hast du noch nen Tipp?
wlan
-
wireless_lan
- Beiträge: 50
- Registriert: 02 Jan 2005, 23:17
Hi TheCloud,
ja habe ich auf beiden Seiten eingetragen. Hier der syslog:
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: dropped message from 87.187.125.89 port -7693 due to notification type INVALID_COOKIE<000>
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: message_recv: invalid cookie(s) 064de741a6d2383d 59e85c760cb43f93<000>
12-19-2007 23:49:35 Auth.Alert 192.168.240.20 CONN-LOGIN_ALERT: Login for user VPN-FESTE102 failed<000>
12-19-2007 23:49:35 Local0.Error 192.168.240.20 CONNECTION_ERROR: VPN: Error for peer VPN-FESTE102: IPSEC-R-No-rule-matched-IDs<000>
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: dropped message from 87.187.125.89 port -7693 due to notification type NO_PROPOSAL_CHOSEN<000>
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: message_negotiate_sa: no compatible proposal found<000>
wlan
ja habe ich auf beiden Seiten eingetragen. Hier der syslog:
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: dropped message from 87.187.125.89 port -7693 due to notification type INVALID_COOKIE<000>
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: message_recv: invalid cookie(s) 064de741a6d2383d 59e85c760cb43f93<000>
12-19-2007 23:49:35 Auth.Alert 192.168.240.20 CONN-LOGIN_ALERT: Login for user VPN-FESTE102 failed<000>
12-19-2007 23:49:35 Local0.Error 192.168.240.20 CONNECTION_ERROR: VPN: Error for peer VPN-FESTE102: IPSEC-R-No-rule-matched-IDs<000>
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: dropped message from 87.187.125.89 port -7693 due to notification type NO_PROPOSAL_CHOSEN<000>
12-19-2007 23:49:35 Kernel.Notice 192.168.240.20 SYSTEM_INFO: message_negotiate_sa: no compatible proposal found<000>
wlan
hi wlan,
also ich wuerde die zugriffs-beschraenkungen nicht im client sondern ausschliesslich auf dem 1711 durchfuehren - jede beschraenkung auf dem client koennte der benutzer ja im zweifel aufheben - dann haette er zugriff und das willst du ja verhindern.
auf dem lc dann zum beispiel diese beiden regeln verwenden:
Name|Prot.|Source|Destination|Action|Linked|Prio|Firewall|VPN-Rule|Stateful|Rtg-tag
VPNCLIENT_ALLOW|ANY|ANYHOST|%A192.168.240.20|%Lcds0 @v %A|No|0|Yes|No|Yes|0
VPNCLIENT_DENY|ANY|ANYHOST|%A192.168.240.0 %M255.255.255.0|%Lcds0 @v %R %N|No|0|Yes|No|Yes|0
dann waere jedem client ueber vpn der zugriff (ueber alle protokolle) auf das komplette netz 192.168.240.0/24 verboten und nur der host 192.168.240.20 erreichbar.
gruesse
tom63
also ich wuerde die zugriffs-beschraenkungen nicht im client sondern ausschliesslich auf dem 1711 durchfuehren - jede beschraenkung auf dem client koennte der benutzer ja im zweifel aufheben - dann haette er zugriff und das willst du ja verhindern.
auf dem lc dann zum beispiel diese beiden regeln verwenden:
Name|Prot.|Source|Destination|Action|Linked|Prio|Firewall|VPN-Rule|Stateful|Rtg-tag
VPNCLIENT_ALLOW|ANY|ANYHOST|%A192.168.240.20|%Lcds0 @v %A|No|0|Yes|No|Yes|0
VPNCLIENT_DENY|ANY|ANYHOST|%A192.168.240.0 %M255.255.255.0|%Lcds0 @v %R %N|No|0|Yes|No|Yes|0
dann waere jedem client ueber vpn der zugriff (ueber alle protokolle) auf das komplette netz 192.168.240.0/24 verboten und nur der host 192.168.240.20 erreichbar.
gruesse
tom63
Hallo tom63,
Das was Du hier beschreibst, ist die Beschränkung durch die Firewall, was man durchaus machen kann. Eleganter ist es jedoch, die Kommunikation schon direkt im VPN zu verbieten, aber das ist Ansichtssache
Gruß
TC
Das stimmt so nicht, denn wenn im Client ein größeres Netz eingetragen wird, als dass was als VPN-Regel im LANCOM definiert ist, kommt die VPN-Verbindung gar nicht mehr zustande. Somit kann der Client sich höchstens komplett aussperren.jede beschraenkung auf dem client koennte der benutzer ja im zweifel aufheben
Das was Du hier beschreibst, ist die Beschränkung durch die Firewall, was man durchaus machen kann. Eleganter ist es jedoch, die Kommunikation schon direkt im VPN zu verbieten, aber das ist Ansichtssache
Gruß
TC
hallo thecloud,
"jede beschraenkung auf dem client koennte der benutzer ja im zweifel aufheben "
bezog sich auf deinen ersten vorschlag:
"am Einfachsten kannst Du das im Client konfigurieren ..."
es auf beiden seiten im vpn-assistenten einzurichten - hm - da finde ich es halt angenehmer (besonders bei aenderungen) es einfach nur direkt auf dem router einzustellen - aber geschmackssache wie du schon sagst ;-)
gruesse
tom63
"jede beschraenkung auf dem client koennte der benutzer ja im zweifel aufheben "
bezog sich auf deinen ersten vorschlag:
"am Einfachsten kannst Du das im Client konfigurieren ..."
es auf beiden seiten im vpn-assistenten einzurichten - hm - da finde ich es halt angenehmer (besonders bei aenderungen) es einfach nur direkt auf dem router einzustellen - aber geschmackssache wie du schon sagst ;-)
gruesse
tom63
hallo the cloud,
hatte heute mal nur so eine vpn-einwahl mit dem assistenten angelegt so wie du das oben beschrieben hast:
???
gruesse
tom63
hatte heute mal nur so eine vpn-einwahl mit dem assistenten angelegt so wie du das oben beschrieben hast:
das erstellt doch aber auch nur eine regel in der firewall.Das was Du hier beschreibst, ist die Beschränkung durch die Firewall, was man durchaus machen kann. Eleganter ist es jedoch, die Kommunikation schon direkt im VPN zu verbieten, aber das ist Ansichtssache
???
gruesse
tom63
Hallo tom63,
diese Regel ist aber für die Firewall inaktiv. Dort ist nur der Haken "Diese Regel wird zur Erzeugung von VPN Regeln herangezogen" angehakt.
Dieser Schalter bewirkt, dass die enstprechende Kommunikation im VPN erlaubt wird. Sehen kann man die erzeugte Regel im Telnet (show vpn).
Gruß
TC
diese Regel ist aber für die Firewall inaktiv. Dort ist nur der Haken "Diese Regel wird zur Erzeugung von VPN Regeln herangezogen" angehakt.
Dieser Schalter bewirkt, dass die enstprechende Kommunikation im VPN erlaubt wird. Sehen kann man die erzeugte Regel im Telnet (show vpn).
Gruß
TC
hallo the cloud,
naja - hatte mich schon gewundert - wieder ein raetsel geloest :-)
nette gruesse + guten start in die woche
tom63
edit:
naja - hatte mich schon gewundert - wieder ein raetsel geloest :-)
nette gruesse + guten start in die woche
tom63
edit:
... ich hatte aber im assistenten schon auf eine ip eingeschraenkt ?standardmäßig erlaubt der Assistent alle Netzte im VPN. In der Client-Konfiguration bedeutet dies, dass _kein_ Zielnetz angegeben wird. Daher ist dies auch im Konfigfile nicht zu finden...