Verbindung VPN zu VLAN
Hallo zusammen,
ich habe eine eigentlich alltägliche Problemstellung für die ich bis jetzt keine Lösung gefunden habe.
Auf einem D-Link Router DSR-500N sind 3 VLANs definiert. Der VPN-Zugriff zum Router über IPSec L2TP ist auch kein Problem, ich komme damit auf das Netz für die Konfiguration für die Switche und den Router und auf alle VLANs.
Das Problem ist daß ich über die VPN-Verbindung Zugriff auf alle VLANs habe.
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat. Ich benötige für jedes VLAN einen separaten VPN-Zugang. Es kann auch eine Lösung über OpenVPN sein.
Viele Dank
piepsy
ich habe eine eigentlich alltägliche Problemstellung für die ich bis jetzt keine Lösung gefunden habe.
Auf einem D-Link Router DSR-500N sind 3 VLANs definiert. Der VPN-Zugriff zum Router über IPSec L2TP ist auch kein Problem, ich komme damit auf das Netz für die Konfiguration für die Switche und den Router und auf alle VLANs.
Das Problem ist daß ich über die VPN-Verbindung Zugriff auf alle VLANs habe.
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat. Ich benötige für jedes VLAN einen separaten VPN-Zugang. Es kann auch eine Lösung über OpenVPN sein.
Viele Dank
piepsy
Please also mark the comments that contributed to the solution of the article
Content-Key: 231632
Url: https://administrator.de/contentid/231632
Printed on: April 26, 2024 at 14:04 o'clock
6 Comments
Latest comment
ja, das geht wohl.
Du hast innerhalb des Routers die Möglichkeit Zugriffsrechte zu definieren. Damit kannst du genau steuern in welches VLAN die VPN-Verbindungen kommen. Und damit kannst du auch steuern welches VLAN mit welchem kommunizieren darf.
Stichworte: ACLs Access Control Listen, firewall Regeln, Policies: 100 (each feature), 200 (firewall rule)
http://www.dlink.com/de/de/business-solutions/security/services-routers ...
Ab Seite 85 von 270 Seiten.
Gruß
Netman
Du hast innerhalb des Routers die Möglichkeit Zugriffsrechte zu definieren. Damit kannst du genau steuern in welches VLAN die VPN-Verbindungen kommen. Und damit kannst du auch steuern welches VLAN mit welchem kommunizieren darf.
Stichworte: ACLs Access Control Listen, firewall Regeln, Policies: 100 (each feature), 200 (firewall rule)
http://www.dlink.com/de/de/business-solutions/security/services-routers ...
Ab Seite 85 von 270 Seiten.
Gruß
Netman
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat.
Das hat nichts mit VPN und VLAN zu tun, da verwechselst du wohl was.Der Router routet ja ganz normal zwischen den VLANs genau so wie es in diesem Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das VPN wird logischerweise auf das Default VLAN (VLAN 1) gemappt, deshalb kannst du da ja auch alles erreichen. aber weiterhin routet dein Router ja zwischen den VLANs.
Auch wenn du nun also per VPN in VLAN 1 bist kannst du ja immer über den Router auch in die anderen VLANs sprich IP Segmente.
Das ist auch erstmal völlig normal so und arbeitet wie gewollt.
Wenn du die Kommunikation unterbinden willst, dann macht man das mit einer simplen IP Accessliste auf dem Router. Das ist mit 3 Mausklicks erledigt und damit kann man dann ganz dediziert bestimmte Kommunikationen unter IP Netzen oder einzelnen Hosts unterbinden oder erlauben.
Kollege Netmann hat dir ja schon freundlicherweise die Stelle im Handbuch rausgesucht die das beschreibt.
Lesen und umsetzen musst du allerdings selber !
Um dein Netz für die Zugriffe vorzubereiten müssen die Routen stimmen.
Das bedeutet, ohne Eingriff kann erst einmal jeder mit jedem.
Das kannst du über die Firewall Regeln einschränken.
Beim Remote-Zugriff kannst du je nach Anmeldeverhalten ja einen Ziel-IP-Bereich, ein Zielnetz vorgeben. von dort hast du wieder die selben Regeln für den Zugriff auf die Nachbarnetze.
Wenn alle VPN-Nutzer in das selbe Zielnetz kommen, wird es mit der Verteilung schon komplexer. Da kommt es darauf an, ob die Firewall Regeln ausser über IP auch über die Anmeldenamen zu kontrollieren sind.
Ansonsten kannst du natürlich entsprechend deiner Infrastruktur unterschiedliche VPN-Zugänge definieren, die in einem jeweils andern Zielnetz landen. Von dort können wieder die IP-Regeln greifen.
Gruß
Netman
Das bedeutet, ohne Eingriff kann erst einmal jeder mit jedem.
Das kannst du über die Firewall Regeln einschränken.
Beim Remote-Zugriff kannst du je nach Anmeldeverhalten ja einen Ziel-IP-Bereich, ein Zielnetz vorgeben. von dort hast du wieder die selben Regeln für den Zugriff auf die Nachbarnetze.
Wenn alle VPN-Nutzer in das selbe Zielnetz kommen, wird es mit der Verteilung schon komplexer. Da kommt es darauf an, ob die Firewall Regeln ausser über IP auch über die Anmeldenamen zu kontrollieren sind.
Ansonsten kannst du natürlich entsprechend deiner Infrastruktur unterschiedliche VPN-Zugänge definieren, die in einem jeweils andern Zielnetz landen. Von dort können wieder die IP-Regeln greifen.
Gruß
Netman
es gibt ja noch das CLI-Manual und damit erweiterte Möglichkeiten.
Auf Seite 135 (gedruckt 132-133) habe ich auch was Nettes gesehen:
Aber auch auf den folgenden Seiten gibt es ncoh deutliche Hinweise auf feste Benutzer mittels der Benutzerverwaltung.
Und auf Seite 147 steht genau das beschreiben, was du willst. Split Tunnel Support.
Gruß
Netman
Auf Seite 135 (gedruckt 132-133) habe ich auch was Nettes gesehen:
Active Directory Domain: If the domain uses the Active: Directory authentication, the Active Directory domaim name is required. Users configured in the Active Directory database are given access to the SSL VPN portal with their Active Directory username and password. If there are multiple Active Directory domains,user can enter the details for up to two authentication domains.
Wenn du die IPs des VPN-Bereichs über eine DHCP vergeben lässt und dem Usernamen eine feste remote IP zuordnest, dann hast du wieder deine IP-Regeln.Aber auch auf den folgenden Seiten gibt es ncoh deutliche Hinweise auf feste Benutzer mittels der Benutzerverwaltung.
Und auf Seite 147 steht genau das beschreiben, was du willst. Split Tunnel Support.
Gruß
Netman