IP Filter für VPN-Einwahl funktioniert irgendwie nicht

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

IP Filter für VPN-Einwahl funktioniert irgendwie nicht

Beitragvon machtl » Fr 26.12.2008 - 19:11

Hi Leute,

habe hier zwei 2820Vn Router am Laufen. Die automatische Einwahl von einem zum anderen L2TP over IPSec funktioniert einwandfrei. Ich kann aus beiden Netzen jeweils ins andere Zugreifen, wunderbar.

So, nun gibt es aber neben der "Standortvernetzung" auch noch Einwahluser, die auch mittels Lan2Lan(DialIn) angelegt wurden, um eindeutige IPs für die entsprechenden User zu vergeben. Das funktioniert auch wunderprächtig.

Ich habe hier z.B. einen Router in einem 192.168.50.xxx Netz. Der VPN-User bekommt bei der Einwahl die IP-Adresse 192.168.50.32 zugewiesen und kann danach auf alle Clients im 192.168.50.xxx Netz zugreifen.

So, nun wollte ich das etwas einschränken. Softwareversion habe ich momentan die 3.3.2RC1 drauf, hat aber auch mit der 3.3.0 nicht geklappt.
Ich habe einen weiteren DataFilter angelegt mit folgenden Einstellungen:
Bild
Dieser sollte eigentlich mal alle Verbindungen vom VPN-User mit der IP 192.168.50.32 an irgendwelche IPs im internen LAN sperren...

Weiters dann eben die Freigabe des VPN-Users für eine bestimmte IP (Server):
Bild

Diese beiden Filter sind eben zusätzlich zum Default Data Filter angelegt worden:
Bild

Aber, die Sache funktioniert einfach nicht. Ich kann egal was ich einstelle vom VPN-Userclient aus auf alle Rechner im internen Lan pingen und auch sonstige Verbindungen aufbauen.

Es werden auch keine Firewall-Logs im Syslog angezeigt, also so, als würden die Filter einfach nicht greifen...

Wo liegt der Fehler? Bin echt ratlos, danke!

Ciao
Machtl
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon nobody » Sa 27.12.2008 - 19:30

Hast Du im "firewall general setup" auch die checkbox:
"apply filter to vpn connections" aktiviert ?
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon machtl » Sa 27.12.2008 - 19:46

Diese Checkbox gibt es ab der Firmware 3.3.0 nicht mehr, laut Auskunft von Draytek ist das jetzt automatisch aktiv...
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon nobody » Sa 27.12.2008 - 20:44

Regel schon mal umgedreht ?
zuerst: allow ( pass immediately )
dann: deny (block immediately)

Ausserdem: ist das 192.168.50/24 das netz, das der Router, in dem sich der client einwählt auch benutzt ?
Ich würde, so dies das gleiche ist, mich wundern, wenn es geht hier mit Firewall-regeln etwas zu regeln.
Lieber so:
Router: Netzwerk 192.168.50.0/24
IP Router z.B.: 192.168.50.254

Im VPN setup:
Router IP: 192.168.50.254
Remote router IP z.B.: 192.168.51.1
Remote Network: 192.168.51.1
Remote Netmask: 255.255.255.255

Einwahlclients mit festen IPs: 192.168.51.X/32
Ich weiss aber nicht, ob das mit der 32Bit netmask geht. Habe ich noch nicht ausprobiert.
Mit der 32Bit netmask sollte dan eh keine Verbindung zu anderen möglich sein, die sich auch eingewählt haben.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon machtl » Sa 27.12.2008 - 21:17

nobody hat geschrieben:Regel schon mal umgedreht ?
zuerst: allow ( pass immediately )
dann: deny (block immediately)

Nein, das kann ich mal probieren, obwohl das ziemlich doof wäre wenns dann gehen würde...

nobody hat geschrieben:Ausserdem: ist das 192.168.50/24 das netz, das der Router, in dem sich der client einwählt auch benutzt ?
Ich würde, so dies das gleiche ist, mich wundern, wenn es geht hier mit Firewall-regeln etwas zu regeln.
Lieber so:
Router: Netzwerk 192.168.50.0/24
IP Router z.B.: 192.168.50.254
Im VPN setup:
Router IP: 192.168.50.254
Remote router IP z.B.: 192.168.51.1
Remote Network: 192.168.51.1
Remote Netmask: 255.255.255.255
Einwahlclients mit festen IPs: 192.168.51.X/32
Ich weiss aber nicht, ob das mit der 32Bit netmask geht. Habe ich noch nicht ausprobiert.
Mit der 32Bit netmask sollte dan eh keine Verbindung zu anderen möglich sein, die sich auch eingewählt haben.


?

Also, der Router hat die IP 192.168.50.1

Ein Einwählender Client bekommt eine IP-Adresse auf dem selben Netz zugewiesen, z.B. eben 192.168.50.32

Mir gehts jetzt mal vorerst noch nicht um die Abschottung von einzelnen VPN-Clients zueinander, sondern von den "Rechten" im eingewählten Netz selbst. Alle Draytekbeispiele auf den diversen Homepages zeigen so eine Konfiguration und dann eben mit Filterrung von WAN->LAN, VPN-Clients werden hier anscheinend eben als WAN-Bereich deklariert.

By the Way, der zweite RemoteRouter ist eh in einem anderen Netz, der hat ein 192.168.1.xxx Netz. Aber vorerst wär ich schonmal happy wenn das mit der Filterung für einen VPN-Einwahlclient gehen würde...

Ciao
Martin
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon nobody » Sa 27.12.2008 - 23:28

So wie Du es machst, habe ich es noch nicht getestet,
Bei mir hatte Jeder client ein eigenes Subnetz mit 24 Bit Netmask.
Und, mein Test, der war mit einem 2900.
Zwar sind alle Draytek Router ähnlich, aber, je nach Firmware gibt es doch viele kleine Unterschiede.

Trotzdem würde ich empfehlen, alle einwahl-Clients in ein extra-Netz zu tun, Bzw. das mit einem mal zu versuchen.
Schon der Übersicht halber. Ein Mehraufwand ist es ja auch nicht.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon machtl » So 28.12.2008 - 21:42

hi,

ok ähhh, wie läuft das dann genau mit den verbindungen, also wie regelst du dann was welcher vpn-client darf und was nicht?

also prinzipiell ist es ja kein problem, das die vpn-clients adressen im bereich 192.168.51.xxx bekommen, aber dann? die sollen ja trotzdem auf rechner im 192.168.50.xxx netz zugreifen können, aber halt nicht auf alle, nur auf jede wo ich gerne möchte. wie regelst du das dann?

ciao
martin
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon nobody » So 28.12.2008 - 23:19

Hi,
Ich habe das nun nochmals ausprobiert.
Ergebnis: Gleich wie bei Dir - verbindung geht, aber Firewall ist wirklungslos.
Auch ein check bei der Box "Apply Firewall to all incoming VPN connections" hilft nichts ( draytek 2900 v2.5.6). Ich vermute mal, wenn der Firewall überhaupt was bei VPN regelt, dann nur bei Client die sich über die "dial-in" Tabelle einwählen - und gerade das möchtest Du ja nicht.

----------
Vermutlich ist es auch egal, ob Du die clients in Dein lokales Netz reintust oder nicht (wie von mir vorgeschlagen).

Aber, das habe ich auch nochmals getestet.
Geht genau so:
Router IP: 192.168.50.254
Remote router IP z.B.: 192.168.51.1
Remote Network: 192.168.51.1
Remote Netmask: 255.255.255.255

Nur musste ich noch im Client eine route in der Routing-Tabelle zu dem 192.168.50.0 Netz über die Adresse 192.168.50.254 eintragen.

----------
Vielleicht mal bei Draytek anfragen, wie es sich genau verhält ?
Es sieht aber wohl eher schlecht aus - so es sich nicht um einen Bug handelt.
Teste, bevor Du eine Anfrage machst doch eventuell noch, ob der Firewall bei echten "Dial-in" clients wirkt.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon machtl » Mo 29.12.2008 - 09:15

nobody hat geschrieben:Hi,
Ich habe das nun nochmals ausprobiert.
Ergebnis: Gleich wie bei Dir - verbindung geht, aber Firewall ist wirklungslos.
Vielleicht mal bei Draytek anfragen, wie es sich genau verhält ?
Es sieht aber wohl eher schlecht aus - so es sich nicht um einen Bug handelt.
Teste, bevor Du eine Anfrage machst doch eventuell noch, ob der Firewall bei echten "Dial-in" clients wirkt.

Hi,

bin jetzt mit dem Draytek-Support in Taiwan in Kontakt, gleich mal direkt, über Deutschland oder England gehts ja wieder über zwei Ecken.
Also, nachdem was auf den ganzen Internetseiten so finden ist bezüglich Firewall und VPN-Verbindungen, muß das eigentlich funktionieren. Mitunter war das ein Kaufgrund für unsere Draytek-Router.

"echte" DialIn User möchte ich jetzt vorerst gar nicht ausprobieren, da es eigentlich sinnlos ist. Die IPs für die DialIn User werden vom DHCP vergeben, oder wenn der nicht aktiv ist von dem "DialIn-DHCP" Server. Aber es läßt sich dann nicht mehr feststellen welcher User wer ist, und schließlich möchte ich ja die Rechte entsprechend vergeben.

z.B.:
- Ich (Admin) wähle mich ein und habe Zugriff auf das gesamte Netzwerk
- User x wählt sich ein und bekommt Zugriff auf den Server und auf seinen StandPC im Büro für RemoteDesktop, sonst auf nix
- User y wählt sich ein und bekommt Zugriff auf den server und auf seinen Stand PC im Büro für RemoteDesktop, sonst auf nix

Weiters ist es ja auch so, das ich hier einen permanenten VPN-Tunnel zwischen zwei Offices geschaltet habe, des die Draytek-Router eben selbstständig aufbauen. Und da sollen auch nicht alle User von Office1 auf alle IPs in Office2 Zugriff haben...

Mal schaun was Draytek dazu sagt...

Ciao
Martin
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon nobody » Mo 29.12.2008 - 10:13

Ich probiere das nochmals mit einem 2950 bei gelegenheit aus. und mit einem Dial-In client - dazu muss ich aber woanders sein. Einwahl ins eigene Netz ist nicht möglich von innerhalb.

"apply firewall rules to all incoming VPN connections" steht in der Firmware. Irgendwie liest sich das verdächtig nach "gilt nur für DialIn" clients.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon machtl » Mo 29.12.2008 - 10:30

nobody hat geschrieben:"apply firewall rules to all incoming VPN connections" steht in der Firmware. Irgendwie liest sich das verdächtig nach "gilt nur für DialIn" clients.

Naja, aber das würde ja nur sehr sehr wenig sinn machen meiner Meinung nach. Weiters will ich ja auch einem entfernten Lan welchen mittels LAN-2-LAN verbunden ist nicht alles erlauben.

Auf der deutschen Draytek-Seite ist ja Extra so ein Beispiel angeführt, hier eben sogar mit einem ganzen Netz auf der anderen Seite:
http://www.draytek.de/Beispiele_html/Fi ... er_VPN.htm

Und dann steht da ja nochmal extra:
Hinweis: IP-Filter auf VPN Tunnel können nur auf LAN-zu-LAN Tunnel eindeutig angewendet werden. Bei Teleworkern VPN Tunneln wird dem einwählenden Client eine virtuelle lokale IP-Adresse von dem Vigor vergeben. Diese IP-Adresse wird aus einem IP-Adress-Pool vergeben, welcher unter VPN und externe Einwahl >> PPP Einstellungen konfiguriert werden kann. Ab Werk ist die Start IP-Adresse für einwählende Benutzer 192.168.1.200 definiert. Auf Basis dieser IP-Adressen können zwar Filterregeln für Teleworker eingerichtet werden, da aber die Zuordnung der virtuellen IP-Adressen auf die einwählenden Benutzer nicht immer gleich ist, können keine Regeln auf bestimmte Teleworker definiert werden.
Zuletzt geändert von machtl am Mo 29.12.2008 - 10:40, insgesamt 2-mal geändert.
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon machtl » Mo 29.12.2008 - 10:38

nobody hat geschrieben:Ich probiere das nochmals mit einem 2950 bei gelegenheit aus. und mit einem Dial-In client - dazu muss ich aber woanders sein. Einwahl ins eigene Netz ist nicht möglich von innerhalb.

das sollte eigentlich schon funktionieren, du mußt dem rechner nur vorher irgendeine andere pseudo-ip-adresse geben...
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon machtl » Mo 29.12.2008 - 17:00

Habe soeben eine Email vom Draytek-Deutschland Support bekommen, daß sie das Problem nachstellen konnten. Sie haben es an die entsprechenden Techniker weitergeleitet...

... sind wir also alle mitsamt nicht auf den Kopf gefallen :-)
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39

Beitragvon nobody » Di 30.12.2008 - 01:04

Kleiner Nachtrag:
Habe gerade mal das mit meinem 2950 FW 3.2.2 ausprobiert - Firewall funktioniert hier !
Allerdings mit einer Lan2Lan Verbindung, wo auf der anderen Seite auch ein Draytek Router hängt (in den ich mich "einwähle").
Sollte natürlich egal sein. Aber man weiss ja nie bei solchen tollen Fehlern.
Unterschied auf jeden Fall: Hier ist die gegenseite in einem anderen Subnetz und bekommt die IP nicht über proxy ARP sondern das andere Subnetz wird geroutet.
Aber, selbiges hatte ich ja gestern eigentlich auch schon getestet mit dem 2900, und da war der Firewall wirkungslos.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon machtl » Sa 21.03.2009 - 14:37

Sodala, mit der aktuellen Firmware 3.3.1 funktioniert die Filterung jetzt endlich perfekt! :-)
machtl
Ambitionierter User
 
Beiträge: 96
Registriert: Do 04.12.2008 - 15:39


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste