Vigor2910 - Remote-Access per Dial-in - nur best. IP-Bereich

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Vigor2910 - Remote-Access per Dial-in - nur best. IP-Bereich

Beitragvon basstscho » Fr 15.02.2008 - 16:01

Hallo zusammen,

wir setzen hier den oben genannten Router zur Fernwartung für verschiedene Maschinen ein. (Sprich die externen Firmen können sich bei uns einwählen (über ISDN) und können somit auf die Maschine zugreifen - für Wartung usw...).

Hierfür haben wir verschiedene dial-in-Benutzer angelegt. Nun würde ich gerne einstellen, dass die Benutzer auch nur auf die IP-Adresse ihrer Maschine zugreifen können.

Sprich Firma A hat nur "zugriff" auf die IP-Adresse 192.168.0.45, Firma B nur auf 192.168.0.60 bis 192.168.0.65 usw...

Wie kann ich das mit den Filterregeln einstellen? Ich mache verschiedene IP-Gruppen. Soviel hab ich schon herausgefunden. Dann Standardmäßig den Zugriff auf alle IP-Adressen verbieten (wie?) und dann wohl für die entsprechenden Dial-in-Benutzer die IP-Bereiche wider freischalten. Doch wie geht das? Wie kann ich eine einzelne Firewallregel an einen Benutzer binden?

Ich danke euch,
Grüße Johannes
basstscho
Grünschnabel
 
Beiträge: 7
Registriert: Fr 15.02.2008 - 15:56

Beitragvon nobody » Fr 15.02.2008 - 22:57

Man hat keine Kontrolle über die zuteilung der Adressen bei einem Dial-In-User.
Aber man kann als umweg auch ein Lan2Lan profil nehmen statt ein Dial-In profil.
Dort kann man feste IP Adressen vergeben.
zusammen mit den Firewall-Regeln sollte es eigentlich so funktionieren wie Du das planst.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon basstscho » Sa 16.02.2008 - 18:42

Hallo ok,

das hört sich plausibel an. Nun ist jedoch meine Frage, was für TCP/IP Settings ich dem LAN2LAN Profil zuweisen soll.

Das ganze ist ja nun etwas artentfremdet. Es gibt folgende Felder:

My WAN IP:
Hier hätt ich jetzt die IP eingetragen, die der Rechner dann zugewiesen bekommen soll

Remote Gateway IP
Gute Frage, keine Ahnung was ich nun hier eintragen soll...die IP des Vigors? Weil theoretisch ist das ja wider der Router...

Remote Network IP
die gibts ja eigentlich in dem Sinne nicht.

Bei der Einwahl hat er dem Rechner nun die Remote GatewayIP zugewiesen - so klappt das ja nat. nicht ;)

Grüße Johannes
basstscho
Grünschnabel
 
Beiträge: 7
Registriert: Fr 15.02.2008 - 15:56

Beitragvon nobody » Sa 16.02.2008 - 20:07

My Wan IP: Die IP Des Vigors
Remote Gateway: eine IP aus einem anderen privaten Class C Netzwerk, die Du dem VPN client zuweisen willst.
Remote Network IP: Das entfernte Netzwerk
Remote Network Mask: Die Netzmaske des Remote Network.

Beispiel:
interne IP des vigors: 192.168.10.254
My Wan IP: 192.168.10.254
VPN user1:
192.168.11.254 (Remote Gateway)
192.168.11.0 (Remote Network IP)
255.255.255.0 (Remote Network mask)

Ich hoffe das stimmt und funktioniert auch so, denn so richte ich ein Lan2Lan profil ein.
Ob nun auf der Gegenseite ein Router oder ein Soft-VPN dranhängt, sollte keinen Unterschied machen (ich habe das aber nicht selber getestet).
Nicht vergessen in den TCP-IP optionen des Clients anzukreuzen: "Standardgateway für das Remote Netzwerk verwenden"
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon basstscho » So 17.02.2008 - 19:21

ok, vielen Dank. Ich werde es ausprobieren.

Was mir noch gerade eingefallen ist. Beim Einwählen über Dial-In wird mir eine IP-Adresse zugewiesen. Diese kann ich ja auch theoretisch manuell in der Verbindung vergeben (sprich in den TCP/IP-Eigenschaften)- somit hätte ich doch dann auch wider eine feste IP und könnte die Firewallkonfiguration dementsprechend gestalten. Mit dem Lan2Lan ists natürlich besser - da flexibler, aber nur so als theoretische Idee.

Könntet ihr mir noch kurz mit der Firewallkonfiguration auf die Sprünge helfen. Wie genau muss ich die Konfigurieren, um meinen Zweck zu erreichen?

IP des Dial-in-users 192.168.0.241
Zugriff (komplett) auf folgende IPs: 192.168.0.56 und 192.168.0.57
und auf Port 80 auf folgende IP: 192.168.0.5

Wäre klasse, irgendwie komm ich mit dem Webinterface nicht so zurecht - die ganzen IP-Gruppen usw. verwirren mich etwas...

Ich danke euch,
Grüße Johannes
basstscho
Grünschnabel
 
Beiträge: 7
Registriert: Fr 15.02.2008 - 15:56

Beitragvon nobody » So 17.02.2008 - 23:51

Ich denke, die FW regeln werden bei Dial-In-Usern ignoriert. Der Firewall wirkt nur bei Lan2Lan verbindungen.

Dennoch:
Du kannst Dir als Dial-In-User deine IP nicht selber vergeben. Der Router vergibt diese nach gutdünken, mit, nach meiner Erfahrung leichter Tendenz dazu Dir die gleiche zu geben, wenn Du dich in einem kurzem Abstand zur letzen verbindung anmeldest.

Ich weiss nicht, ob ich das in kurzen worten schreiben kann.
hat nicht draytek da irgend ein kochbuch ?
Ich würde einen Filter machen, der zuerst erlaubt, und dann alles andere verbietet:

0. bei Filter General setup: Apply Filter to incoming VPN connections antickern.
"Data Filter" anmanchen und als erste regel die #1 wählen.
alle filter löschen.

1. jeder deiner clients, der wird ein "ip-object"
2. jeder deiner server wird auch ein "IP-object"
3. Du musst einen Service Type-Object definieren, dass sich auf allen traffic (alle ports) bezieht
4. Du musst mittels der FW-regeln die kommunikation vom VPN user in das Netzwerk und umgekehrt regeln. Es reich aber auch eine richtung.

zu 1.
Dein Client hat 192.168.11.0/24
also, das IP object: hat dann:
Name: Client1
Interface: any
Adress type: subnet address
Start IP Address: 192.168.11.0
subnet-mask: 255.255.255.0

zu 2.
Name: Server1
interface: LAN
Adress Type: Single Address
Adresse 192.168.keine.ahnung

zu 3.
Name: any
Protocol: any

zu 4.
Ich hoffe, Du hast nicht mehr als 7 Clients, sonst wird es wohl undurchsichtig
lösche erstmal alle filterregeln
nun mache einen Filter #12, dort als erste regel eintragen:
WAN-LAN, richtung: any, source any, dest any, service, any
Filter: block

nun, das erste filter-set:
Regel: an
Richtung: WAN-LAN
Source IP: Client1
DestIP: Server1
Service Type: any

Filter: Pass Immediately

Nun, das machst Du für die jeweiligen Subnetze Deiner Clients mit den nächsten Regeln des Sets #1
Dann, wenn nicht mehr als 7 Stück,
kannst Du bei "next filter Set", das #12 Eintragen.

Solltest Du mehr als 7 haben, dann musst Du eben in das set #2 verzweigen, und erst dann zu #12

Ich hoffe es stimmt und ist teilverständlich.
Einges davon habe ich schonmal gestestet, aber, ob es letztendlich tut, obliegt Dir.
Also an einem Beispiel mal testen. Der rest müsste dann einfach sein.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon basstscho » Di 26.02.2008 - 08:20

Hallo,

ich bin gerade an der Umsetzung. Doch leider scheitert das ganze schon am LAN2LAN-Profile.

Hier nochmals kurz die Grunddaten:
interne IP des Routers: 192.168.0.58
externe IP des Teilnehmers soll sein: 192.168.0.240

Daher habe ich es folgendermaßen eingerichtet eingerichtet:
My WAN IP: 192.168.0.58
Remote Gateway IP: 192.168.0.240
Remote Network IP: 192.168.0.0
Remote Network Mask: 255.255.255.0

Verbinde ich mich nun über ISDN, kann ich vom Clienten aus die 192.168.0.58 pingen.
Allerdings kann ich den Router von intern nichtmehr pingen...das ist nat. schlecht.

Wie bekomm ich das in den Griff? Hab ich was falsch verstanden?

Danke, Grüße Johannes
basstscho
Grünschnabel
 
Beiträge: 7
Registriert: Fr 15.02.2008 - 15:56

Beitragvon Kuddel » Di 26.02.2008 - 08:47

Remote Network Mask: 255.255.255.0
zu
Remote Network Mask: 255.255.255.255
weil ist eine einzelne ip und schon knallts trotzdem

My WAN IP: 192.168.0.58
Remote Gateway IP: 192.168.0.240
Remote Network IP: 192.168.0.0

du hast lokal das 192.168.0.0er netzwerk am vigor mit subnetz 255.255.255.0, also alle 192.168.0.x er
die haengen am internen switch und nu willst du vigor sagen, eine ip is doch am vpn, das geht do bei lan2lan nicht, du brauchst einen anderen adressraumr
und ausserdem vergibt lan2lan keine ip für die einwahl wie dial in, spich der client bekommt nur ein routingeintrag und muss die remote-dinge schon haben.

am einfachsten ist es, im lan fuer interne sicherheit zu sorgen
koennen die eben an jede maschine ran, aber der folgende zugang kennt nur jede firma fuer ihre maschine.
Kuddel
Power-User
 
Beiträge: 145
Registriert: Di 02.05.2006 - 20:02


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste