Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff auf LAN über VPN beschränken

Frage Netzwerke Router & Routing

Mitglied: raphaelk

raphaelk (Level 1) - Jetzt verbinden

24.06.2010 um 12:22 Uhr, 9569 Aufrufe, 4 Kommentare

Hallo,

habe 2 Ciscos 1710 mit einer ständigen VPN-Verbindung und möchte den LAN-Zugriff von einer Zweigstelle zu der Hauptstelle nur auf bestimmte IP's oder Ports der Hauptstelle beschränken. Leider bin ich in dem Bereich ziemlich neu und die Cisco-Router haben keine Web-Oberfläche zum konfigurieren. Also habe ich momentan keine Ahnung, ob man das anhand der Router einrichten kann (sowas wie Zugriffsregeln) oder eine zusätzliche Hardwarefirewall zwischen dem Router und dem Netzwerk in der Hauptstelle nötig ist. VLAN's und Subnetze möchte ich nicht, wäre zu aufwendig.

Ich wäre euch für ein paar Tipps oder Lösungsvorschläge sehr dankbar.

Grüße
Mitglied: laster
24.06.2010 um 12:27 Uhr
Hallo raphaelk,

normalerweise endet ein VPN-Tunnel auf beiden Seiten am Netzwerk (LAN-Subnet). Wenn das an einer Seite eingeschränkt werden soll, muss eine IP-Gruppe definiert werden und diese dem VPN-Tunnel-Endpunkt zugewiesen werden.
Wie das bei Cisco 1710 geht weiss ich nicht (kenne nur SonicWALL...).
vG
LS
Bitte warten ..
Mitglied: sniffnase
24.06.2010 um 12:36 Uhr
Das musst du mit ACLs regeln

Hier ein guide:
http://cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note091 ...

viel spass :p

Es ist nicht all zu schwer wenn man versteht wie es funktioniert.

Wenn du bisher mit Cisco IOS noch garnichts gemacht hast, würde ich aber empfehlen einen (am besten mind. CCNA Zertifizierten) Techniker kommen zu lassen um die änderungen auf den Routern vorzunehmen.
Es kann sonst leicht passieren das schnell garnix mehr geht. Für einen Fachmann ist es eine Arbeit von max. 30 Minuten.
Bitte warten ..
Mitglied: raphaelk
24.06.2010 um 12:57 Uhr
Vielen Dank für die schnellen Antowrten und den Link. Werde mich gleich mehr damit befassen. Aber würde es nicht leichter sein, einfach eine Hardwarefirewall dazwischen zu klemmen? Zum Beispiel die genannte Sonicwall? Ich schätze, die neueren Geräte lassen sich alle relativ einfach über Weboberflächen einrichten, ich will nicht jedes Mal einen Techniker kommen lassen

Wäre nett, wenn Ihr mir eine Hardwarefirewall empfehlen könntet.

Grüße
Bitte warten ..
Mitglied: aqui
25.06.2010 um 19:23 Uhr
Das ist völliger Unsinn und Overkill eine Firewall zu kaufen !! Das wäre so als würdest du dir einen Bulldozer kaufen der das Haus dreht um eine Glühbirne einzuschrauben.
Sowas macht kein normal denkender Mensch, vergiss das also ganz schnell wenn du nicht sinnlos Geld verbrennen willst...
Es ist doch ganz einfach !
Nehmen wir mal an deine beiden LANs sind in der Hauptstelle 172.16.1.0 /24 und das andere in der Zweigstelle 172.16.2.0 /24
Der Server in der Hauptstelle hat die 172.16.1.100 /24 und der Drucker die 172.16.1.200 /24.
Clients aus der Zweigstelle dürfen nur auf diesen Server zugreifen und auf den Drucker.
Dann erzeugst du erstmal eine Access Liste mit dem folgenden Kommando:

ip access-list extended hauptstelle

Hier definierst du nun wieder wer was darf also wie oben beschrieben alle dürfen auf Server und Drucker:

permit ip 172.16.2.0 0.0.0.255 host 172.16.1.100
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.200


Fertig ist deine Accessliste !!
Nun musst du dem Router in der Zweigstelle nur sagen WO er das filtern soll !
Logischerweise auf seinem LAN Port ! Also gibst du dort ein:

conf t
interface eth 0
ip access-group hauptstelle in


Das bedeutet das alle eingehenden Packete nach dieser Regel gefiltert werden und das dieser Filter außschliesslich NUR eingehende (in) Pakete mit einer Absender IP Adresse aus dem 172.16.2.0er Zweigstellen Netz auf die beiden Host IP Adressen 172.16.1.100 und 172.16.1.200 der Hauptstelle durchlässt. Mehr nicht !!
Damit können deine Zweigstellen Client nur noch diese beiden IP Adressen ereichen über das VPN.
Die Sache hat allerdings einen Haken:
Erlaubst du über den Cisco 1710 auch den Internet Zugriff für diese Clients ist das Internet mit dieser Accessliste tot !
Klar und logisch, denn du läst ja jetzt nur noch Pakete auf die beiden Host IP Adressen 172.16.1.100 und 172.16.1.200 zu...keine andere IP im großen Internet.
Aber auch das ist einfach lösbar:

In diesem Falle gehst du ganz einfach auf den Hauptstellen Router und zäumst da das Pferd mit dem gleichen Spielchen von hinten auf:
ip access-list extended zweigstelle

Hier definierst du nun wer was darf, also wie oben beschrieben dürfen Zweigstellen Clients aus dem 172.16.2.0er Netz NUR auf Server und Drucker:

permit ip 172.16.2.0 0.0.0.255 host 172.16.1.100
permit ip 172.16.2.0 0.0.0.255 host 172.16.1.200


Fertig ist auch hier wider deine Accessliste !!
Nun musst du auch hier dem Hauptstellen Router wieder nur sagen WO er das filtern soll !
Logischerweise auf seinem LAN Port ! Achtung !: diesmal aber ausgehend (out) denn wir filtern Pakete die schon am Haupstellen Router angekommen sind und aufs dortige lokale LAN gehen ! Also gibst du dort ein:

conf t
interface eth 0
ip access-group zweigstelle out


Die ACLs kannst du nun beliebig dichtmachen. Angenommen die Clients dürfen nur Mails mit POP3 abholen und nur Mails mit SMTP zum Server senden. Außerdem dürfen sie das Intranet auf dem internen Server nutzen...mehr nicht. Drucken verboten.
Dann erlaubst du eben mit der ACL nur die Port TCP 25 (SMTP), TCP 110 (POP3) und TCP 80 (HTTP) auf dem Server. Die ACL sieht dann entsprechend so aus:
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 25
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 80
permit tcp 172.16.2.0 0.0.0.255 host 172.16.1.100 eq 110


Internet Zugang ist hier übrigens kein Thema, da diese ACL nur auf ausgehende IP Pakete wirkt, NICHT aber auf eingehende. Das Internet problem gibt es also am Haupstellenrouter auch gar nicht erst, so das es sinnvoller ist hier eine Outgoing ACL zu definieren sofern der Cisco auch Internet in der Zeigstelle macht !
So kannst du dort alles nach deinen Wünschen mit einer simplen und banalen ACL erlauben und verbieten !
Eine extra Firewall ist sinnlos rausgeschmissenes Geld, denn der Cisco kann das auch ohne Mehraufwand !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Raspberry PI als VPN Client - Zugriff auf VPN LAN (8)

Frage von PeterH96 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Fritzbox 7490 - WLAN Geräte zugriff auf LAN Kamera hinter SONICWALL (25)

Frage von GoriBoy zum Thema LAN, WAN, Wireless ...

Router & Routing
VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490 (3)

Frage von Samuel113 zum Thema Router & Routing ...

Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...