Hallo zusammen,
folgendes Setting:
Lancom1722
mehrere DSL-Anschlüsse
ein Netz "WLAN" mit dem Routing-Tag 2
ein Netz "Intranet" mit dem Routing-Tag 1
Jedes Netz hat seinen eigene DSL-Route. Es gibt keine DSL-Route mit dem Tag 0.
Wenn ich mich jetzt per VPN-Client einwähle (auch das Internet soll über das VPN laufen), komme ich nicht mehr ins Internet. Die Firewall blockt dabei nicht. Die Clients im Netz "Intranet" erreiche ich, allerdings auch die im Netzw "WLAN", wsa nicht beabsichtigt ist. In der Routing-Tabelle hat die VPN-Route den Tag 1.
Woran liegt das und wie kann ich es beheben? Kann ich den VPN-Verkehr irgenwie grundsätzlich mit einem Routing-Tag versehen, ähnlich den Lan-Interfaces?
Danke schonmal für die Hilfe...
Schönen Abend noch.
Gruß,
David
VPN / Routing
Moderator: Lancom-Systems Moderatoren
Hi Akkon
Hier fehlt eine Tabelle, in der man RAS-Clients ein Interface-Tag zuordnen kann. ggf. könnte man sich auch einen Automatismus aufgrund des Tags in Routing-Tabelle vorstellen, nur haben solche Automatismen auch ihre Nebenwirkungen
Gruß
Backslash
beheben kannst du das dadurch, daß du für den RAS-Client eine Firewallregel erstellst, die ihm ein Tag zuweist:Wenn ich mich jetzt per VPN-Client einwähle (auch das Internet soll über das VPN laufen), komme ich nicht mehr ins Internet.
das liegt daran, daß RAS-Clients zunächst mit dem Interface-Tag 0 reinkommen und du keine Route ins Internet mit dem Tag 0 hast.
Die Firewall blockt dabei nicht.
richtig, im Routertrace würdest du sehen, daß die Daten verworfen werden, weil es keine Route gibt (s.o.)
Die Clients im Netz "Intranet" erreiche ich, allerdings auch die im Netzw "WLAN", wsa nicht beabsichtigt ist. In der Routing-Tabelle hat die VPN-Route den Tag 1.
das kommt auch wiederum daher, daß RAS-Clients mit dem Tag 0 hereinkommen und somit so eine Art "Supervisorstatus haben". Hier der Auszug aus dem Referenzhandbuch:
Ungetaggte Netzwerke mit dem Schnittstellen-Tag '0' können alle anderen Netzwerke sehen. Getaggte Netzwerke können dagegen nur Netzwerke mit dem gleichen Schnittstellen-Tag sehen.Woran liegt das und wie kann ich es beheben?
Code: Alles auswählen
Quelle: Gegenstelle: VPN-CLIENT
Ziel: alle Stationen im lokalen Netz "INTRANET"
Aktion: übertragen
Rtg-Tag: Interface-Tag des Netzes "INTRANET"Gruß
Backslash
Hallo backslash,
danke für deine Antwort.
Mein Problem ist, dass ich mit der Firewall-Regel "VPN Gegenstelle -> Intern, allow, Tag 1" ja nur die Pakete markiere, die in das interne Netz gehen sollen. Weitere interne Netze, wie das WLAN, werden dann trotzdem erreicht. Auch das Internet läuft dann weiter nur über die default Default-Route (Tag 0).
Eine Regel "VPN-Gegenstelle -> alles, allow, Tag 1" ist auch nicht die Lösung, weil dann halt automatisch alles erlaubt wird und ich eine Whitelist-Firewall habe.
Toll wäre, wenn man für VPN Schnittstellen-Tags vergeben könnte.
Ich bin ein bisschen Ratlos deswegen.
Viele Grüße,
David
danke für deine Antwort.
Mein Problem ist, dass ich mit der Firewall-Regel "VPN Gegenstelle -> Intern, allow, Tag 1" ja nur die Pakete markiere, die in das interne Netz gehen sollen. Weitere interne Netze, wie das WLAN, werden dann trotzdem erreicht. Auch das Internet läuft dann weiter nur über die default Default-Route (Tag 0).
Eine Regel "VPN-Gegenstelle -> alles, allow, Tag 1" ist auch nicht die Lösung, weil dann halt automatisch alles erlaubt wird und ich eine Whitelist-Firewall habe.
Toll wäre, wenn man für VPN Schnittstellen-Tags vergeben könnte.
Ich bin ein bisschen Ratlos deswegen.
Viele Grüße,
David
Hi Akkon
Wenn du eh schon eine Deny-All-Strategie in deiner Firewall fährst, dann mußt du doch sowieso für alles, was erlaubt sein soll, eine eigene Regel erstellen...
Also erstellst du je eine Regel für den Traffic VPN-Client -> Intranet und eine Regel für VPN-Client -> Internet in denen aufgelistet ist, was jeweils erlaubt sein soll und die die passenden Tags haben.
Der Rest (VPN-Client -> WLAN) wird durch die Deny-All-Regel gefangen...
Gruß
Backslash
Sei doch mal etwas flexibel und denk ein bischen "um die Ecke"...Mein Problem ist, dass ich mit der Firewall-Regel "VPN Gegenstelle -> Intern, allow, Tag 1" ja nur die Pakete markiere, die in das interne Netz gehen sollen. Weitere interne Netze, wie das WLAN, werden dann trotzdem erreicht. Auch das Internet läuft dann weiter nur über die default Default-Route (Tag 0).
Eine Regel "VPN-Gegenstelle -> alles, allow, Tag 1" ist auch nicht die Lösung, weil dann halt automatisch alles erlaubt wird und ich eine Whitelist-Firewall habe.
Wenn du eh schon eine Deny-All-Strategie in deiner Firewall fährst, dann mußt du doch sowieso für alles, was erlaubt sein soll, eine eigene Regel erstellen...
Also erstellst du je eine Regel für den Traffic VPN-Client -> Intranet und eine Regel für VPN-Client -> Internet in denen aufgelistet ist, was jeweils erlaubt sein soll und die die passenden Tags haben.
Der Rest (VPN-Client -> WLAN) wird durch die Deny-All-Regel gefangen...
es wäre toll, geht aber z.Zt nicht...Toll wäre, wenn man für VPN Schnittstellen-Tags vergeben könnte.
Gruß
Backslash