Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verbindung VPN zu VLAN

Frage Netzwerke Router & Routing

Mitglied: piepsy

piepsy (Level 1) - Jetzt verbinden

04.03.2014 um 20:29 Uhr, 1929 Aufrufe, 6 Kommentare

Hallo zusammen,

ich habe eine eigentlich alltägliche Problemstellung für die ich bis jetzt keine Lösung gefunden habe.

Auf einem D-Link Router DSR-500N sind 3 VLANs definiert. Der VPN-Zugriff zum Router über IPSec L2TP ist auch kein Problem, ich komme damit auf das Netz für die Konfiguration für die Switche und den Router und auf alle VLANs.

Das Problem ist daß ich über die VPN-Verbindung Zugriff auf alle VLANs habe.
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat. Ich benötige für jedes VLAN einen separaten VPN-Zugang. Es kann auch eine Lösung über OpenVPN sein.

Viele Dank

piepsy
Mitglied: MrNetman
04.03.2014, aktualisiert um 21:43 Uhr
ja, das geht wohl.

Du hast innerhalb des Routers die Möglichkeit Zugriffsrechte zu definieren. Damit kannst du genau steuern in welches VLAN die VPN-Verbindungen kommen. Und damit kannst du auch steuern welches VLAN mit welchem kommunizieren darf.
Stichworte: ACLs Access Control Listen, firewall Regeln, Policies: 100 (each feature), 200 (firewall rule)

http://www.dlink.com/de/de/business-solutions/security/services-routers ...
Ab Seite 85 von 270 Seiten.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
05.03.2014 um 10:21 Uhr
Hat jemand Erfahrung wie ich eine VPN-Verbindung definieren kann / muss damit sie nur den Zugriff auf ein VLAN hat.
Das hat nichts mit VPN und VLAN zu tun, da verwechselst du wohl was.
Der Router routet ja ganz normal zwischen den VLANs genau so wie es in diesem Tutorial beschrieben ist:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Das VPN wird logischerweise auf das Default VLAN (VLAN 1) gemappt, deshalb kannst du da ja auch alles erreichen. aber weiterhin routet dein Router ja zwischen den VLANs.
Auch wenn du nun also per VPN in VLAN 1 bist kannst du ja immer über den Router auch in die anderen VLANs sprich IP Segmente.
Das ist auch erstmal völlig normal so und arbeitet wie gewollt.

Wenn du die Kommunikation unterbinden willst, dann macht man das mit einer simplen IP Accessliste auf dem Router. Das ist mit 3 Mausklicks erledigt und damit kann man dann ganz dediziert bestimmte Kommunikationen unter IP Netzen oder einzelnen Hosts unterbinden oder erlauben.
Kollege Netmann hat dir ja schon freundlicherweise die Stelle im Handbuch rausgesucht die das beschreibt.
Lesen und umsetzen musst du allerdings selber !
Bitte warten ..
Mitglied: piepsy
06.03.2014 um 07:30 Uhr
Hallo,

danke für die schnellen Antworten.
Mein Problem liegt ein Schritt weiter vorne (ja, ja, der User vor ...)

Meine IP-Ranges
Router und Switche 192.168.200.0
VLAN1 192.168.10.0
VLAN2 192.168.20.0
VLAN3 192.168.30.0

Beim L2TP Server werden die Adressen im Bereich von 192.168.150.20 bis 192.168.150.30 vergeben.

Wenn ich mich unter den verschiedenen Username per VPN verbinde (Win 7 VPN-Verbindung) bekommt der User automatisch eine Adresse zugewiesen.
z.B. remote IP 192.168.150.21 und L2TP IP 192.168.150.20, Anzeige unter L2TP Active Users


Hier ist jetzt mein Denkfehler.
Ich kann in der Firewall die Regeln angeben und benötige dafür eine fest IP oder zumindest eine IP-Range.

Um die verschiedenen User in das jeweilige VLAN zu routen müssen doch die User doch jeweils die gleiche IP bekommen oder zumindest in der jeweiligen IP-Range landen. Wenn ich die Verbindung zum Router aufbaue und es ist jeweil nur ein User aktiv bekommt dieser User die IP 192.168.150.21.
Ich hätte gerne dass z.B. der User VLAN1_User immer auf der gleichen IP oder IP-Range landen damit ich die Firewallregel definieren kann. Der Haken ist doch hier irgendwo vergraben, oder ?

Viele Grüße
piepsy
Bitte warten ..
Mitglied: MrNetman
06.03.2014 um 08:31 Uhr
Um dein Netz für die Zugriffe vorzubereiten müssen die Routen stimmen.
Das bedeutet, ohne Eingriff kann erst einmal jeder mit jedem.
Das kannst du über die Firewall Regeln einschränken.

Beim Remote-Zugriff kannst du je nach Anmeldeverhalten ja einen Ziel-IP-Bereich, ein Zielnetz vorgeben. von dort hast du wieder die selben Regeln für den Zugriff auf die Nachbarnetze.
Wenn alle VPN-Nutzer in das selbe Zielnetz kommen, wird es mit der Verteilung schon komplexer. Da kommt es darauf an, ob die Firewall Regeln ausser über IP auch über die Anmeldenamen zu kontrollieren sind.
Ansonsten kannst du natürlich entsprechend deiner Infrastruktur unterschiedliche VPN-Zugänge definieren, die in einem jeweils andern Zielnetz landen. Von dort können wieder die IP-Regeln greifen.

Gruß
Netman
Bitte warten ..
Mitglied: piepsy
06.03.2014 um 09:21 Uhr
Hallo Netman,

danke für die Antwort.

Genau hier beim VPN-Zugang liegt mein Problem. Wo stelle ich beim DSR-500 das Zielnetz für die jeweiligen VPN-Zugänge ein. Ich habe beim IPSec nur ein DHCP-Range und alle VPN-User landen in diesem einen Bereich. Das gleiche bei OpenVPN und PPTP.

Ich kann weder bei den User Groups noch bei den Usern einen Ziel IP-Bereich definieren. Aber irgendwo sollte doch genau dieser Punkt liegen.

Viele Grüße
piepsy
Bitte warten ..
Mitglied: MrNetman
06.03.2014 um 11:01 Uhr
es gibt ja noch das CLI-Manual und damit erweiterte Möglichkeiten.

Auf Seite 135 (gedruckt 132-133) habe ich auch was Nettes gesehen:
Active Directory Domain: If the domain uses the Active: Directory authentication, the Active Directory domaim name is required. Users configured in the Active Directory database are given access to the SSL VPN portal with their Active Directory username and password. If there are multiple Active Directory domains,user can enter the details for up to two authentication domains.
Wenn du die IPs des VPN-Bereichs über eine DHCP vergeben lässt und dem Usernamen eine feste remote IP zuordnest, dann hast du wieder deine IP-Regeln.
Aber auch auf den folgenden Seiten gibt es ncoh deutliche Hinweise auf feste Benutzer mittels der Benutzerverwaltung.
Und auf Seite 147 steht genau das beschreiben, was du willst. Split Tunnel Support.

Gruß
Netman
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...