Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewallregel bei VPN zwischen RV082 und RV042

Frage Netzwerke Router & Routing

Mitglied: darodesk

darodesk (Level 1) - Jetzt verbinden

11.10.2011 um 21:35 Uhr, 3434 Aufrufe, 1 Kommentar

Hallo zusammen,

Folgende Situation:

Zentrale mit RV082 Router, fester IP und 6 funktionierenden VPN-Tunneln zu jeweils einem RV042.
Der RV082 sichert die Verbindung der externen Büros, die ein dort installiertes Auerswald-VOIP Telefon hinter ihrem RV042 angeschlossen haben.
Hinter unserem RV082 befindet sich nur eine VOIP-TK-Anlage (Auerswald Commander Business) (VOIP und Datennetz sind getrennt)


Kunde (VOIP-TELEFON) --------- [RV042]
VPN
{VERSATEL, SDSL}-------[RV082] -----------TK-ANLAGE (Zentrale)



Die Verbindungen funktionieren alle tadellos, jetzt haben aber einzelne Kunden einen PC mit an den RV042 angeschlossen, was natürlich nicht sein soll.

Jetzt gibt es ja bei den RV0xx Routern unter dem VPN-Reiter die Möglichkeit, nicht ein ganzes Subnet sondern nur eine einzelne IP-Adresse den Zugriff auf unseren RV082 zu gewähren.

Beispiel:

Remote Netz eines Kunden 192.168.13.0
VOIP-Telefon beim Kunden 192.168.13.110

Wenn ich jetzt unter dem VPN-Reiter bei unserem RV082 die 110 unter Remote security type (IP) angebe, baut sich die VPN-Verbindung ab und kommt auch nicht mehr zu Stande. Wenn ich nur die interne Router-IP des Kunden (192.168.13.1) eingebe, funktioniert das VPN aber nicht mehr das Telefon.
Gebe ich das ganze Subnet an (192.168.13.0) funktioniert beides (aber eben auch alles andere was angeschlossen ist)

Greifen beim RV082 die Firewallregeln auch für die Remote angebundenen VPNs?
Macht es Sinn, nur der 192.168.13.1 (Kunden-Router) und der 192.168.13.110 (Telefon) den Zugriff auf die interne Adresse unserer TK-Anlage zu gewähren und alles andere aus dem Subnetz zu sperren?

Oder einfach allen Http etc Verkehr aus dem rv082 ins WAN sperren?

Mein Knoten im Kopf besteht darin, das ich nicht weiß, kommen die Request der VPNs (z.b. von 192.168.13.110) über den WAN-Port oder logisch gesehen aus dem LAN-Port?


Die Kundenrouter sind auf dem halben Globus verteilt und Experimente könnten teuer werden, daher frage ich hier lieber.

Vielen Dank und Gruß
Daniel
Mitglied: aqui
11.10.2011 um 21:54 Uhr
Nein, die internen RFC 1918 IP Adressen (Private IPs) werden nur im Tunnel selber übertragen, also mit IPsec verschlüsselt, Die Tunnel Pakete verwenden nur die öffentliche IP Adressen. Ist ja aucxh logisch, denn RFC 1918 IP Adressen werden im Internet gar nicht geroutet sind dort also unbekannt und jeder Providerrouter schmeisst die in den Datenmülleimer.
Da der Tunnel verschlüsselt ist kann die Firewall dort auch nicht reinsehen. Sie wirkt also nur auf die WAN Ports und vermutlich nicht auf den internen Traffic zu dem auch der VPN Traffic gehört. Billige Consumer Systemem können das meist nicht.
"Richtige" Firewall Router hingegen schon. Auch freie Lösungen wie die hier im Forum beschriebene Monowall, pfSense und andere.
Es ist aber auch möglich das du einen Konfigurationsfehler machst.
Einzelne IPs aus dem Subnetz müssen mit einer 32 Bit Maske gefiltert werden. Die ist aslo zwingend anzugeben. Leider sagst du von dieser Option rein gar nix
Das lässt vermuten das die Firewall internen Traffic schlicht und einfach ignoriert. Fazit wäre das dein Filter also so gar nicht greift.
Sinnvoll und besser wäre es so oder so den Voice Traffic mit einem lokalen VLAN Switch zu trennen.
Dann hättest du das Problem erst gar nicht. In Firmen ist das so oder so zwingend allein aus rechtlichen Gründen. Trennst du das nicht kann man mit allereinfachsten Tools jedes Telefongespräch belauschen und in puncto Fernmelderecht bringt dich das mit einem Bein in eine rechtliche Grauzone...
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst VPN zwischen zwei Routern ohne gleiche IP (17)

Frage von masta123 zum Thema Netzwerkmanagement ...

Windows Server
gelöst VPN zwischen Router und Win2012 Server (9)

Frage von fgo6400 zum Thema Windows Server ...

Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (15)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (12)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Windows Server
Druck wird nicht erlaubt (10)

Frage von daquick zum Thema Windows Server ...