2
Lancom VPN soll nur auf einen Rechner im LAN Zugriff bekommen
Hallo liebe Gemeinde 
Ein Außendienst-Mitarbeiter soll sich von seinem Notebook per Lancom-VPN-Client in die Firma einwählen (Lancom 1711 VPN). Soweit kein Problem.
Kann ich im Lancom konfigurieren, dass er dann ausschließlich eine RDP-Verbindung auf einen ganz bestimmten Server aufbauen darf?
Wie löse ich dies möglichst elegant? AD vorhanden, es gibt nur ein Netz innerhalb der Firma: 192.168.0.0.
Vielen Dank und Grüße
puerto
Ein Außendienst-Mitarbeiter soll sich von seinem Notebook per Lancom-VPN-Client in die Firma einwählen (Lancom 1711 VPN). Soweit kein Problem.
Kann ich im Lancom konfigurieren, dass er dann ausschließlich eine RDP-Verbindung auf einen ganz bestimmten Server aufbauen darf?
Wie löse ich dies möglichst elegant? AD vorhanden, es gibt nur ein Netz innerhalb der Firma: 192.168.0.0.
Vielen Dank und Grüße
puerto
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 224199
Url: https://administrator.de/contentid/224199
Printed on: April 16, 2024 at 21:04 o'clock
2 Comments
Latest comment
Hallo puerto,
das sollte sich über Regeln in der integrierten Firewall des LANCOM einfach realisieren lassen.
Eine Config könnte dann z.B. so aussehen:
Erste Regel lässt den Traffic an den bestimmten Host mittels RDP zu, trifft diese Regel nicht blockt die Zweite Regel allen anderen Traffic des VPN-Users ins lokale Netz.
Die Zuordnung des Users kann dann z.B. über die Zuweisung einer festen IP-Adresse erfolgen.Wichtig ist das du beim Erzeugen der Regeln das Häkchen bei Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen setzt.
--edit-- Sorry da war ich grad mit dem Kopf an einer anderen Baustelle
Eine generelle Beschreibung der LANCOM-Firewall kannst du hier finden.
Grüße Uwe
das sollte sich über Regeln in der integrierten Firewall des LANCOM einfach realisieren lassen.
Eine Config könnte dann z.B. so aussehen:
Erste Regel lässt den Traffic an den bestimmten Host mittels RDP zu, trifft diese Regel nicht blockt die Zweite Regel allen anderen Traffic des VPN-Users ins lokale Netz.
Die Zuordnung des Users kann dann z.B. über die Zuweisung einer festen IP-Adresse erfolgen.
--edit-- Sorry da war ich grad mit dem Kopf an einer anderen Baustelle
Eine generelle Beschreibung der LANCOM-Firewall kannst du hier finden.
Grüße Uwe
Achtung, das ist eine Falschinformation.
Der Haken "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" hat mit den Firewallregeln nichts zu tun, es wird zwar mit in den Firewallregeln konfiguriert, damit steuert man aber nur die Regelerzeugung in der Phase 2 bei IPSec, also welches Netz mit welchem anderen Netz eine Netzbeziehung aufbauen dürfte. Man könnte darüber zwar auch in gewissen Maßen steuernd eingreifen, aber das auf dem Bild würde vorne und hinten nicht passen. Desweiteren würde es früher oder später Probleme machen und der Haken funktioniert auch nur, wenn man an der VPN-Verbindung eine manuelle Regelerzeugung hinterlegt hat.
Am einfachsten die beiden Regeln in dem Bild anlegen, aber den Haken "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" weglassen, eine normale Firewallregel daraus machen und bei der Quelle die VPN-Gegenstelle auswählen. Auf MAC-Basis kann man im VPN überhaupt nicht filtern, weil IPSec eine Layer3-Technik ist, die MAC-Adresse aber für die Layer2-Adressierung genutzt wird.
Der Haken "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" hat mit den Firewallregeln nichts zu tun, es wird zwar mit in den Firewallregeln konfiguriert, damit steuert man aber nur die Regelerzeugung in der Phase 2 bei IPSec, also welches Netz mit welchem anderen Netz eine Netzbeziehung aufbauen dürfte. Man könnte darüber zwar auch in gewissen Maßen steuernd eingreifen, aber das auf dem Bild würde vorne und hinten nicht passen. Desweiteren würde es früher oder später Probleme machen und der Haken funktioniert auch nur, wenn man an der VPN-Verbindung eine manuelle Regelerzeugung hinterlegt hat.
Am einfachsten die beiden Regeln in dem Bild anlegen, aber den Haken "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" weglassen, eine normale Firewallregel daraus machen und bei der Quelle die VPN-Gegenstelle auswählen. Auf MAC-Basis kann man im VPN überhaupt nicht filtern, weil IPSec eine Layer3-Technik ist, die MAC-Adresse aber für die Layer2-Adressierung genutzt wird.
1