6
Verbindung VPN zu VLAN
Hallo zusammen,
ich habe eine eigentlich alltägliche Problemstellung für die ich bis jetzt keine Lösung gefunden habe.
Auf einem D-Link Router DSR-500N sind 3 VLANs definiert. Der VPN-Zugriff zum Router über IPSec L2TP ist auch kein Problem, ich komme damit auf das Netz für die Konfiguration für die Switche und den Router und auf alle VLANs.
Das Problem ist daß ich über die VPN-Verbindung Zugriff auf alle VLANs habe.
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat. Ich benötige für jedes VLAN einen separaten VPN-Zugang. Es kann auch eine Lösung über OpenVPN sein.
Viele Dank
piepsy
ich habe eine eigentlich alltägliche Problemstellung für die ich bis jetzt keine Lösung gefunden habe.
Auf einem D-Link Router DSR-500N sind 3 VLANs definiert. Der VPN-Zugriff zum Router über IPSec L2TP ist auch kein Problem, ich komme damit auf das Netz für die Konfiguration für die Switche und den Router und auf alle VLANs.
Das Problem ist daß ich über die VPN-Verbindung Zugriff auf alle VLANs habe.
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat. Ich benötige für jedes VLAN einen separaten VPN-Zugang. Es kann auch eine Lösung über OpenVPN sein.
Viele Dank
piepsy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231632
Url: https://administrator.de/contentid/231632
Printed on: April 23, 2024 at 21:04 o'clock
6 Comments
Latest comment
ja, das geht wohl.
Du hast innerhalb des Routers die Möglichkeit Zugriffsrechte zu definieren. Damit kannst du genau steuern in welches VLAN die VPN-Verbindungen kommen. Und damit kannst du auch steuern welches VLAN mit welchem kommunizieren darf.
Stichworte: ACLs Access Control Listen, firewall Regeln, Policies: 100 (each feature), 200 (firewall rule)
http://www.dlink.com/de/de/business-solutions/security/services-routers ...
Ab Seite 85 von 270 Seiten.
Gruß
Netman
Du hast innerhalb des Routers die Möglichkeit Zugriffsrechte zu definieren. Damit kannst du genau steuern in welches VLAN die VPN-Verbindungen kommen. Und damit kannst du auch steuern welches VLAN mit welchem kommunizieren darf.
Stichworte: ACLs Access Control Listen, firewall Regeln, Policies: 100 (each feature), 200 (firewall rule)
http://www.dlink.com/de/de/business-solutions/security/services-routers ...
Ab Seite 85 von 270 Seiten.
Gruß
Netman
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat.
Das hat nichts mit VPN und VLAN zu tun, da verwechselst du wohl was.Der Router routet ja ganz normal zwischen den VLANs genau so wie es in diesem Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das VPN wird logischerweise auf das Default VLAN (VLAN 1) gemappt, deshalb kannst du da ja auch alles erreichen. aber weiterhin routet dein Router ja zwischen den VLANs.
Auch wenn du nun also per VPN in VLAN 1 bist kannst du ja immer über den Router auch in die anderen VLANs sprich IP Segmente.
Das ist auch erstmal völlig normal so und arbeitet wie gewollt.
Wenn du die Kommunikation unterbinden willst, dann macht man das mit einer simplen IP Accessliste auf dem Router. Das ist mit 3 Mausklicks erledigt und damit kann man dann ganz dediziert bestimmte Kommunikationen unter IP Netzen oder einzelnen Hosts unterbinden oder erlauben.
Kollege Netmann hat dir ja schon freundlicherweise die Stelle im Handbuch rausgesucht die das beschreibt.
Lesen und umsetzen musst du allerdings selber !
Hallo,
danke für die schnellen Antworten.
Mein Problem liegt ein Schritt weiter vorne (ja, ja, der User vor ...)
Meine IP-Ranges
Router und Switche 192.168.200.0
VLAN1 192.168.10.0
VLAN2 192.168.20.0
VLAN3 192.168.30.0
Beim L2TP Server werden die Adressen im Bereich von 192.168.150.20 bis 192.168.150.30 vergeben.
Wenn ich mich unter den verschiedenen Username per VPN verbinde (Win 7 VPN-Verbindung) bekommt der User automatisch eine Adresse zugewiesen.
z.B. remote IP 192.168.150.21 und L2TP IP 192.168.150.20, Anzeige unter L2TP Active Users
Hier ist jetzt mein Denkfehler.
Ich kann in der Firewall die Regeln angeben und benötige dafür eine fest IP oder zumindest eine IP-Range.
Um die verschiedenen User in das jeweilige VLAN zu routen müssen doch die User doch jeweils die gleiche IP bekommen oder zumindest in der jeweiligen IP-Range landen. Wenn ich die Verbindung zum Router aufbaue und es ist jeweil nur ein User aktiv bekommt dieser User die IP 192.168.150.21.
Ich hätte gerne dass z.B. der User VLAN1_User immer auf der gleichen IP oder IP-Range landen damit ich die Firewallregel definieren kann. Der Haken ist doch hier irgendwo vergraben, oder ?
Viele Grüße
piepsy
danke für die schnellen Antworten.
Mein Problem liegt ein Schritt weiter vorne (ja, ja, der User vor ...)
Meine IP-Ranges
Router und Switche 192.168.200.0
VLAN1 192.168.10.0
VLAN2 192.168.20.0
VLAN3 192.168.30.0
Beim L2TP Server werden die Adressen im Bereich von 192.168.150.20 bis 192.168.150.30 vergeben.
Wenn ich mich unter den verschiedenen Username per VPN verbinde (Win 7 VPN-Verbindung) bekommt der User automatisch eine Adresse zugewiesen.
z.B. remote IP 192.168.150.21 und L2TP IP 192.168.150.20, Anzeige unter L2TP Active Users
Hier ist jetzt mein Denkfehler.
Ich kann in der Firewall die Regeln angeben und benötige dafür eine fest IP oder zumindest eine IP-Range.
Um die verschiedenen User in das jeweilige VLAN zu routen müssen doch die User doch jeweils die gleiche IP bekommen oder zumindest in der jeweiligen IP-Range landen. Wenn ich die Verbindung zum Router aufbaue und es ist jeweil nur ein User aktiv bekommt dieser User die IP 192.168.150.21.
Ich hätte gerne dass z.B. der User VLAN1_User immer auf der gleichen IP oder IP-Range landen damit ich die Firewallregel definieren kann. Der Haken ist doch hier irgendwo vergraben, oder ?
Viele Grüße
piepsy
Um dein Netz für die Zugriffe vorzubereiten müssen die Routen stimmen.
Das bedeutet, ohne Eingriff kann erst einmal jeder mit jedem.
Das kannst du über die Firewall Regeln einschränken.
Beim Remote-Zugriff kannst du je nach Anmeldeverhalten ja einen Ziel-IP-Bereich, ein Zielnetz vorgeben. von dort hast du wieder die selben Regeln für den Zugriff auf die Nachbarnetze.
Wenn alle VPN-Nutzer in das selbe Zielnetz kommen, wird es mit der Verteilung schon komplexer. Da kommt es darauf an, ob die Firewall Regeln ausser über IP auch über die Anmeldenamen zu kontrollieren sind.
Ansonsten kannst du natürlich entsprechend deiner Infrastruktur unterschiedliche VPN-Zugänge definieren, die in einem jeweils andern Zielnetz landen. Von dort können wieder die IP-Regeln greifen.
Gruß
Netman
Das bedeutet, ohne Eingriff kann erst einmal jeder mit jedem.
Das kannst du über die Firewall Regeln einschränken.
Beim Remote-Zugriff kannst du je nach Anmeldeverhalten ja einen Ziel-IP-Bereich, ein Zielnetz vorgeben. von dort hast du wieder die selben Regeln für den Zugriff auf die Nachbarnetze.
Wenn alle VPN-Nutzer in das selbe Zielnetz kommen, wird es mit der Verteilung schon komplexer. Da kommt es darauf an, ob die Firewall Regeln ausser über IP auch über die Anmeldenamen zu kontrollieren sind.
Ansonsten kannst du natürlich entsprechend deiner Infrastruktur unterschiedliche VPN-Zugänge definieren, die in einem jeweils andern Zielnetz landen. Von dort können wieder die IP-Regeln greifen.
Gruß
Netman
Hallo Netman,
danke für die Antwort.
Genau hier beim VPN-Zugang liegt mein Problem. Wo stelle ich beim DSR-500 das Zielnetz für die jeweiligen VPN-Zugänge ein. Ich habe beim IPSec nur ein DHCP-Range und alle VPN-User landen in diesem einen Bereich. Das gleiche bei OpenVPN und PPTP.
Ich kann weder bei den User Groups noch bei den Usern einen Ziel IP-Bereich definieren. Aber irgendwo sollte doch genau dieser Punkt liegen.
Viele Grüße
piepsy
danke für die Antwort.
Genau hier beim VPN-Zugang liegt mein Problem. Wo stelle ich beim DSR-500 das Zielnetz für die jeweiligen VPN-Zugänge ein. Ich habe beim IPSec nur ein DHCP-Range und alle VPN-User landen in diesem einen Bereich. Das gleiche bei OpenVPN und PPTP.
Ich kann weder bei den User Groups noch bei den Usern einen Ziel IP-Bereich definieren. Aber irgendwo sollte doch genau dieser Punkt liegen.
Viele Grüße
piepsy
es gibt ja noch das CLI-Manual und damit erweiterte Möglichkeiten.
Auf Seite 135 (gedruckt 132-133) habe ich auch was Nettes gesehen:
Aber auch auf den folgenden Seiten gibt es ncoh deutliche Hinweise auf feste Benutzer mittels der Benutzerverwaltung.
Und auf Seite 147 steht genau das beschreiben, was du willst. Split Tunnel Support.
Gruß
Netman
Auf Seite 135 (gedruckt 132-133) habe ich auch was Nettes gesehen:
Active Directory Domain: If the domain uses the Active: Directory authentication, the Active Directory domaim name is required. Users configured in the Active Directory database are given access to the SSL VPN portal with their Active Directory username and password. If there are multiple Active Directory domains,user can enter the details for up to two authentication domains.
Wenn du die IPs des VPN-Bereichs über eine DHCP vergeben lässt und dem Usernamen eine feste remote IP zuordnest, dann hast du wieder deine IP-Regeln.Aber auch auf den folgenden Seiten gibt es ncoh deutliche Hinweise auf feste Benutzer mittels der Benutzerverwaltung.
Und auf Seite 147 steht genau das beschreiben, was du willst. Split Tunnel Support.
Gruß
Netman
