VPN-Usern Zugriff aufs interne Netz einschraenken

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

VPN-Usern Zugriff aufs interne Netz einschraenken

Beitragvon Herr_Rossi » Fr 06.01.2006 - 21:21

Hi,

folgendes Szenario:

- Ein internes Netz ohne Internet-Zugang - Netz: 192.168.242.0/24
- Vigor 2600plus/i Router, der am gleichen Netz haengt, zusaetzlich 192.168.2.0/24
- ein Laptop, der ueber das Netz 192.168.2.0/24 am Vigor haengt und darueber ins Internet kommt, parallel aber auch eine RDP-Verbindung ins 192.168.242.0 Netz aufbauen koennen soll.
- Mehrere VPN-User, die ueber den Vigor auf das 192.168.242.0er Netz zugreifen koennen sollen, aber auch hier nur auf den RDP-Port.

Soweit so gut. Ich hatte das eigentlich auch schon alles fertig konfiguriert, nur halt leider ohne es auch ueber die VPN-Verbindungen zu testen. Lokal haben meine Firewall-Regeln gegriffen, soweit war also alles ok. In das 192.168.242.0er Netz kam man wirklich nur ueber den RDP-Port.

Meine Firewall-Regel (ist wirklich nur eine) ist an sich so allgemein gehalten, dass sie auch fuer die VPN-Tunnel greifen sollte, nur tut sie eben genau das nicht. Wenn man sich per VPN "einwaehlt" greift eigentlich sogar keine einzige Firewall-Regel mehr. Man hat vollen Zugriff auf das lokale Netz und ich schaffe es leider ums verrecken nicht das zu verhindern. :-/ Dabei ist das ausdruecklich gewuenscht, um so das interne Netz vor Zugriffen von aussen (speziell Viren/Trojaner) etc. zu schuetzen.

Soweit ich das hier im Forum verfolgt habe sind die VPN-Verbindungen wohl tatsaechlich von den Firewall-Regeln ausgenommen. Trotzdem hoffe ich, dass vielleicht irgend jemand eine Art Workaround geschafft hat. Vielleicht wuerde ja sogar die Moeglichkeit der Konfiguration per Telnet weiterhelfen? Die Informationen, die man direkt ueber die Telnet-Konsole erhaelt sind allerdings sehr spaerlich. Gibt es da vielleicht eine Art Referenz im Netz? Es ist eigentlich egal wie... hauptsache am Ende passt die Sache. Der Aufwand dafuer darf ruhig etwas groesser sein.

Auf Hilfe hoffend,

Rossi
Herr_Rossi
Grünschnabel
 
Beiträge: 7
Registriert: Fr 06.01.2006 - 21:02

Beitragvon nobody » Fr 06.01.2006 - 22:11

Die aktuelle Firmware für den 2900, die hat eine Checkbox:
"Apply Firewall rules to all incoming VPN connections"
Da für den 2600plus sogar eine etwas neuere Firmware zur verfügung steht, müsste dieses Feature dort auch vorhanden sein.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon Herr_Rossi » Fr 06.01.2006 - 22:47

Uhi, bin ich total blind? Ich hab die 2.5.7 und die bietet das ganz sicher nicht und ich sehe auch keine andere als Download-Option?!?!
Herr_Rossi
Grünschnabel
 
Beiträge: 7
Registriert: Fr 06.01.2006 - 21:02

Beitragvon nobody » Sa 07.01.2006 - 12:26

Ich weiss natürlich nicht sicher, dass dies beim 2600 auch geht.
Bei meinem 2900 ist das bei:
IP Filter/Firewall Setup -> IP Filter General Setup

Call Filter

Data Filter
.
.
Apply filter to all incoming VPN connections
Accept incoming fragmented UDP packets (...... )
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon Herr_Rossi » Sa 07.01.2006 - 12:46

Ist leider bei mir nicht als Menupunkt aufgefuehrt. Die Firmware ist uebrigens genau: 2.5.7_Y / deutsch.

Gibt es evtl. zwischen den unterschiedlichen Sprachversionen der Firmwares auch Unterschiede im Funktionsumfang? Hab das schon bei anderen Routern gesehen. Dann wuerde ja vielleicht ein Wechsel zur Englischen helfen.

Gruss,

Rossi
Herr_Rossi
Grünschnabel
 
Beiträge: 7
Registriert: Fr 06.01.2006 - 21:02

Beitragvon nobody » Sa 07.01.2006 - 14:01

Schaden tuts bestimmt nicht, eine Englische Version auszuprobieren.

Um sicher wieder den Ausgangszustand herzustellen, falls Du zurückmusst:
1.) Sicherung der Konfiguration über den Web-Browser oder das flash utility machen
2.) Englische Firmware laden:
Es gibt zwar User, die sagen, man muss unbedingt die ".rst" version laden (die alle einstellungen zurücksetzt), aber versuchen kann man es ja auch erstmal mit der ".all" version. Wichtig jedoch, dass Du eine passende Version für deinen DSL-Anbieter/anschluss bekommst.
In der BRD ist das normalerweise am ISDN anschluss eine "Annex B" firmware.

Aber, vielleicht findet sich ja noch ein 2600plus user, der bestätigen kann dass das feature (nicht) existiert bei der derzeitigen 2.5.7 version ?
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron