4
Zugriff auf LAN über VPN beschränken
Hallo,
habe 2 Ciscos 1710 mit einer ständigen VPN-Verbindung und möchte den LAN-Zugriff von einer Zweigstelle zu der Hauptstelle nur auf bestimmte IP's oder Ports der Hauptstelle beschränken. Leider bin ich in dem Bereich ziemlich neu und die Cisco-Router haben keine Web-Oberfläche zum konfigurieren. Also habe ich momentan keine Ahnung, ob man das anhand der Router einrichten kann (sowas wie Zugriffsregeln) oder eine zusätzliche Hardwarefirewall zwischen dem Router und dem Netzwerk in der Hauptstelle nötig ist. VLAN's und Subnetze möchte ich nicht, wäre zu aufwendig.
Ich wäre euch für ein paar Tipps oder Lösungsvorschläge sehr dankbar.
Grüße
habe 2 Ciscos 1710 mit einer ständigen VPN-Verbindung und möchte den LAN-Zugriff von einer Zweigstelle zu der Hauptstelle nur auf bestimmte IP's oder Ports der Hauptstelle beschränken. Leider bin ich in dem Bereich ziemlich neu und die Cisco-Router haben keine Web-Oberfläche zum konfigurieren. Also habe ich momentan keine Ahnung, ob man das anhand der Router einrichten kann (sowas wie Zugriffsregeln) oder eine zusätzliche Hardwarefirewall zwischen dem Router und dem Netzwerk in der Hauptstelle nötig ist. VLAN's und Subnetze möchte ich nicht, wäre zu aufwendig.
Ich wäre euch für ein paar Tipps oder Lösungsvorschläge sehr dankbar.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 145561
Url: https://administrator.de/contentid/145561
Printed on: April 18, 2024 at 12:04 o'clock
4 Comments
Latest comment
Hallo raphaelk,
normalerweise endet ein VPN-Tunnel auf beiden Seiten am Netzwerk (LAN-Subnet). Wenn das an einer Seite eingeschränkt werden soll, muss eine IP-Gruppe definiert werden und diese dem VPN-Tunnel-Endpunkt zugewiesen werden.
Wie das bei Cisco 1710 geht weiss ich nicht (kenne nur SonicWALL...).
vG
LS
normalerweise endet ein VPN-Tunnel auf beiden Seiten am Netzwerk (LAN-Subnet). Wenn das an einer Seite eingeschränkt werden soll, muss eine IP-Gruppe definiert werden und diese dem VPN-Tunnel-Endpunkt zugewiesen werden.
Wie das bei Cisco 1710 geht weiss ich nicht (kenne nur SonicWALL...).
vG
LS
Das musst du mit ACLs regeln
Hier ein guide:
http://cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note091 ...
viel spass :p
Es ist nicht all zu schwer wenn man versteht wie es funktioniert.
Wenn du bisher mit Cisco IOS noch garnichts gemacht hast, würde ich aber empfehlen einen (am besten mind. CCNA Zertifizierten) Techniker kommen zu lassen um die änderungen auf den Routern vorzunehmen.
Es kann sonst leicht passieren das schnell garnix mehr geht. Für einen Fachmann ist es eine Arbeit von max. 30 Minuten.
Hier ein guide:
http://cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note091 ...
viel spass :p
Es ist nicht all zu schwer wenn man versteht wie es funktioniert.
Wenn du bisher mit Cisco IOS noch garnichts gemacht hast, würde ich aber empfehlen einen (am besten mind. CCNA Zertifizierten) Techniker kommen zu lassen um die änderungen auf den Routern vorzunehmen.
Es kann sonst leicht passieren das schnell garnix mehr geht. Für einen Fachmann ist es eine Arbeit von max. 30 Minuten.
Vielen Dank für die schnellen Antowrten und den Link. Werde mich gleich mehr damit befassen. Aber würde es nicht leichter sein, einfach eine Hardwarefirewall dazwischen zu klemmen? Zum Beispiel die genannte Sonicwall? Ich schätze, die neueren Geräte lassen sich alle relativ einfach über Weboberflächen einrichten, ich will nicht jedes Mal einen Techniker kommen lassen 
Wäre nett, wenn Ihr mir eine Hardwarefirewall empfehlen könntet.
Grüße
Wäre nett, wenn Ihr mir eine Hardwarefirewall empfehlen könntet.
Grüße
Das ist völliger Unsinn und Overkill eine Firewall zu kaufen !! Das wäre so als würdest du dir einen Bulldozer kaufen der das Haus dreht um eine Glühbirne einzuschrauben.
Sowas macht kein normal denkender Mensch, vergiss das also ganz schnell wenn du nicht sinnlos Geld verbrennen willst...
Es ist doch ganz einfach !
Nehmen wir mal an deine beiden LANs sind in der Hauptstelle 172.16.1.0 /24 und das andere in der Zweigstelle 172.16.2.0 /24
Der Server in der Hauptstelle hat die 172.16.1.100 /24 und der Drucker die 172.16.1.200 /24.
Clients aus der Zweigstelle dürfen nur auf diesen Server zugreifen und auf den Drucker.
Dann erzeugst du erstmal eine Access Liste mit dem folgenden Kommando:
ip access-list extended hauptstelle
Hier definierst du nun wieder wer was darf also wie oben beschrieben alle dürfen auf Server und Drucker:
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.100
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.200
Fertig ist deine Accessliste !!
Nun musst du dem Router in der Zweigstelle nur sagen WO er das filtern soll !
Logischerweise auf seinem LAN Port ! Also gibst du dort ein:
conf t
interface eth 0
ip access-group hauptstelle in
Das bedeutet das alle eingehenden Packete nach dieser Regel gefiltert werden und das dieser Filter außschliesslich NUR eingehende (in) Pakete mit einer Absender IP Adresse aus dem 172.16.2.0er Zweigstellen Netz auf die beiden Host IP Adressen 172.16.1.100 und 172.16.1.200 der Hauptstelle durchlässt. Mehr nicht !!
Damit können deine Zweigstellen Client nur noch diese beiden IP Adressen ereichen über das VPN.
Die Sache hat allerdings einen Haken:
Erlaubst du über den Cisco 1710 auch den Internet Zugriff für diese Clients ist das Internet mit dieser Accessliste tot !
Klar und logisch, denn du läst ja jetzt nur noch Pakete auf die beiden Host IP Adressen 172.16.1.100 und 172.16.1.200 zu...keine andere IP im großen Internet.
Aber auch das ist einfach lösbar:
In diesem Falle gehst du ganz einfach auf den Hauptstellen Router und zäumst da das Pferd mit dem gleichen Spielchen von hinten auf:
ip access-list extended zweigstelle
Hier definierst du nun wer was darf, also wie oben beschrieben dürfen Zweigstellen Clients aus dem 172.16.2.0er Netz NUR auf Server und Drucker:
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.100
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.200
Fertig ist auch hier wider deine Accessliste !!
Nun musst du auch hier dem Hauptstellen Router wieder nur sagen WO er das filtern soll !
Logischerweise auf seinem LAN Port ! Achtung !: diesmal aber ausgehend (out) denn wir filtern Pakete die schon am Haupstellen Router angekommen sind und aufs dortige lokale LAN gehen ! Also gibst du dort ein:
conf t
interface eth 0
ip access-group zweigstelle out
Die ACLs kannst du nun beliebig dichtmachen. Angenommen die Clients dürfen nur Mails mit POP3 abholen und nur Mails mit SMTP zum Server senden. Außerdem dürfen sie das Intranet auf dem internen Server nutzen...mehr nicht. Drucken verboten.
Dann erlaubst du eben mit der ACL nur die Port TCP 25 (SMTP), TCP 110 (POP3) und TCP 80 (HTTP) auf dem Server. Die ACL sieht dann entsprechend so aus:
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 25
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 80
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 110
Internet Zugang ist hier übrigens kein Thema, da diese ACL nur auf ausgehende IP Pakete wirkt, NICHT aber auf eingehende. Das Internet problem gibt es also am Haupstellenrouter auch gar nicht erst, so das es sinnvoller ist hier eine Outgoing ACL zu definieren sofern der Cisco auch Internet in der Zeigstelle macht !
So kannst du dort alles nach deinen Wünschen mit einer simplen und banalen ACL erlauben und verbieten !
Eine extra Firewall ist sinnlos rausgeschmissenes Geld, denn der Cisco kann das auch ohne Mehraufwand !
Sowas macht kein normal denkender Mensch, vergiss das also ganz schnell wenn du nicht sinnlos Geld verbrennen willst...
Es ist doch ganz einfach !
Nehmen wir mal an deine beiden LANs sind in der Hauptstelle 172.16.1.0 /24 und das andere in der Zweigstelle 172.16.2.0 /24
Der Server in der Hauptstelle hat die 172.16.1.100 /24 und der Drucker die 172.16.1.200 /24.
Clients aus der Zweigstelle dürfen nur auf diesen Server zugreifen und auf den Drucker.
Dann erzeugst du erstmal eine Access Liste mit dem folgenden Kommando:
ip access-list extended hauptstelle
Hier definierst du nun wieder wer was darf also wie oben beschrieben alle dürfen auf Server und Drucker:
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.100
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.200
Fertig ist deine Accessliste !!
Nun musst du dem Router in der Zweigstelle nur sagen WO er das filtern soll !
Logischerweise auf seinem LAN Port ! Also gibst du dort ein:
conf t
interface eth 0
ip access-group hauptstelle in
Das bedeutet das alle eingehenden Packete nach dieser Regel gefiltert werden und das dieser Filter außschliesslich NUR eingehende (in) Pakete mit einer Absender IP Adresse aus dem 172.16.2.0er Zweigstellen Netz auf die beiden Host IP Adressen 172.16.1.100 und 172.16.1.200 der Hauptstelle durchlässt. Mehr nicht !!
Damit können deine Zweigstellen Client nur noch diese beiden IP Adressen ereichen über das VPN.
Die Sache hat allerdings einen Haken:
Erlaubst du über den Cisco 1710 auch den Internet Zugriff für diese Clients ist das Internet mit dieser Accessliste tot !
Klar und logisch, denn du läst ja jetzt nur noch Pakete auf die beiden Host IP Adressen 172.16.1.100 und 172.16.1.200 zu...keine andere IP im großen Internet.
Aber auch das ist einfach lösbar:
In diesem Falle gehst du ganz einfach auf den Hauptstellen Router und zäumst da das Pferd mit dem gleichen Spielchen von hinten auf:
ip access-list extended zweigstelle
Hier definierst du nun wer was darf, also wie oben beschrieben dürfen Zweigstellen Clients aus dem 172.16.2.0er Netz NUR auf Server und Drucker:
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.100
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.200
Fertig ist auch hier wider deine Accessliste !!
Nun musst du auch hier dem Hauptstellen Router wieder nur sagen WO er das filtern soll !
Logischerweise auf seinem LAN Port ! Achtung !: diesmal aber ausgehend (out) denn wir filtern Pakete die schon am Haupstellen Router angekommen sind und aufs dortige lokale LAN gehen ! Also gibst du dort ein:
conf t
interface eth 0
ip access-group zweigstelle out
Die ACLs kannst du nun beliebig dichtmachen. Angenommen die Clients dürfen nur Mails mit POP3 abholen und nur Mails mit SMTP zum Server senden. Außerdem dürfen sie das Intranet auf dem internen Server nutzen...mehr nicht. Drucken verboten.
Dann erlaubst du eben mit der ACL nur die Port TCP 25 (SMTP), TCP 110 (POP3) und TCP 80 (HTTP) auf dem Server. Die ACL sieht dann entsprechend so aus:
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 25
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 80
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 110
Internet Zugang ist hier übrigens kein Thema, da diese ACL nur auf ausgehende IP Pakete wirkt, NICHT aber auf eingehende. Das Internet problem gibt es also am Haupstellenrouter auch gar nicht erst, so das es sinnvoller ist hier eine Outgoing ACL zu definieren sofern der Cisco auch Internet in der Zeigstelle macht !
So kannst du dort alles nach deinen Wünschen mit einer simplen und banalen ACL erlauben und verbieten !
Eine extra Firewall ist sinnlos rausgeschmissenes Geld, denn der Cisco kann das auch ohne Mehraufwand !
