Firewallregel bei VPN zwischen RV082 und RV042
Hallo zusammen,
Folgende Situation:
Zentrale mit RV082 Router, fester IP und 6 funktionierenden VPN-Tunneln zu jeweils einem RV042.
Der RV082 sichert die Verbindung der externen Büros, die ein dort installiertes Auerswald-VOIP Telefon hinter ihrem RV042 angeschlossen haben.
Hinter unserem RV082 befindet sich nur eine VOIP-TK-Anlage (Auerswald Commander Business) (VOIP und Datennetz sind getrennt)
Kunde (VOIP-TELEFON) --------- [RV042] =======VPN========{VERSATEL, SDSL}-------[RV082] -----------TK-ANLAGE (Zentrale)
Die Verbindungen funktionieren alle tadellos, jetzt haben aber einzelne Kunden einen PC mit an den RV042 angeschlossen, was natürlich nicht sein soll.
Jetzt gibt es ja bei den RV0xx Routern unter dem VPN-Reiter die Möglichkeit, nicht ein ganzes Subnet sondern nur eine einzelne IP-Adresse den Zugriff auf unseren RV082 zu gewähren.
Beispiel:
Remote Netz eines Kunden 192.168.13.0
VOIP-Telefon beim Kunden 192.168.13.110
Wenn ich jetzt unter dem VPN-Reiter bei unserem RV082 die 110 unter Remote security type (IP) angebe, baut sich die VPN-Verbindung ab und kommt auch nicht mehr zu Stande. Wenn ich nur die interne Router-IP des Kunden (192.168.13.1) eingebe, funktioniert das VPN aber nicht mehr das Telefon.
Gebe ich das ganze Subnet an (192.168.13.0) funktioniert beides (aber eben auch alles andere was angeschlossen ist)
Greifen beim RV082 die Firewallregeln auch für die Remote angebundenen VPNs?
Macht es Sinn, nur der 192.168.13.1 (Kunden-Router) und der 192.168.13.110 (Telefon) den Zugriff auf die interne Adresse unserer TK-Anlage zu gewähren und alles andere aus dem Subnetz zu sperren?
Oder einfach allen Http etc Verkehr aus dem rv082 ins WAN sperren?
Mein Knoten im Kopf besteht darin, das ich nicht weiß, kommen die Request der VPNs (z.b. von 192.168.13.110) über den WAN-Port oder logisch gesehen aus dem LAN-Port?
Die Kundenrouter sind auf dem halben Globus verteilt und Experimente könnten teuer werden, daher frage ich hier lieber.
Vielen Dank und Gruß
Daniel
Folgende Situation:
Zentrale mit RV082 Router, fester IP und 6 funktionierenden VPN-Tunneln zu jeweils einem RV042.
Der RV082 sichert die Verbindung der externen Büros, die ein dort installiertes Auerswald-VOIP Telefon hinter ihrem RV042 angeschlossen haben.
Hinter unserem RV082 befindet sich nur eine VOIP-TK-Anlage (Auerswald Commander Business) (VOIP und Datennetz sind getrennt)
Kunde (VOIP-TELEFON) --------- [RV042] =======VPN========{VERSATEL, SDSL}-------[RV082] -----------TK-ANLAGE (Zentrale)
Die Verbindungen funktionieren alle tadellos, jetzt haben aber einzelne Kunden einen PC mit an den RV042 angeschlossen, was natürlich nicht sein soll.
Jetzt gibt es ja bei den RV0xx Routern unter dem VPN-Reiter die Möglichkeit, nicht ein ganzes Subnet sondern nur eine einzelne IP-Adresse den Zugriff auf unseren RV082 zu gewähren.
Beispiel:
Remote Netz eines Kunden 192.168.13.0
VOIP-Telefon beim Kunden 192.168.13.110
Wenn ich jetzt unter dem VPN-Reiter bei unserem RV082 die 110 unter Remote security type (IP) angebe, baut sich die VPN-Verbindung ab und kommt auch nicht mehr zu Stande. Wenn ich nur die interne Router-IP des Kunden (192.168.13.1) eingebe, funktioniert das VPN aber nicht mehr das Telefon.
Gebe ich das ganze Subnet an (192.168.13.0) funktioniert beides (aber eben auch alles andere was angeschlossen ist)
Greifen beim RV082 die Firewallregeln auch für die Remote angebundenen VPNs?
Macht es Sinn, nur der 192.168.13.1 (Kunden-Router) und der 192.168.13.110 (Telefon) den Zugriff auf die interne Adresse unserer TK-Anlage zu gewähren und alles andere aus dem Subnetz zu sperren?
Oder einfach allen Http etc Verkehr aus dem rv082 ins WAN sperren?
Mein Knoten im Kopf besteht darin, das ich nicht weiß, kommen die Request der VPNs (z.b. von 192.168.13.110) über den WAN-Port oder logisch gesehen aus dem LAN-Port?
Die Kundenrouter sind auf dem halben Globus verteilt und Experimente könnten teuer werden, daher frage ich hier lieber.
Vielen Dank und Gruß
Daniel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174504
Url: https://administrator.de/contentid/174504
Ausgedruckt am: 05.11.2024 um 04:11 Uhr
1 Kommentar
Nein, die internen RFC 1918 IP Adressen (Private IPs) werden nur im Tunnel selber übertragen, also mit IPsec verschlüsselt, Die Tunnel Pakete verwenden nur die öffentliche IP Adressen. Ist ja aucxh logisch, denn RFC 1918 IP Adressen werden im Internet gar nicht geroutet sind dort also unbekannt und jeder Providerrouter schmeisst die in den Datenmülleimer.
Da der Tunnel verschlüsselt ist kann die Firewall dort auch nicht reinsehen. Sie wirkt also nur auf die WAN Ports und vermutlich nicht auf den internen Traffic zu dem auch der VPN Traffic gehört. Billige Consumer Systemem können das meist nicht.
"Richtige" Firewall Router hingegen schon. Auch freie Lösungen wie die hier im Forum beschriebene Monowall, pfSense und andere.
Es ist aber auch möglich das du einen Konfigurationsfehler machst.
Einzelne IPs aus dem Subnetz müssen mit einer 32 Bit Maske gefiltert werden. Die ist aslo zwingend anzugeben. Leider sagst du von dieser Option rein gar nix
Das lässt vermuten das die Firewall internen Traffic schlicht und einfach ignoriert. Fazit wäre das dein Filter also so gar nicht greift.
Sinnvoll und besser wäre es so oder so den Voice Traffic mit einem lokalen VLAN Switch zu trennen.
Dann hättest du das Problem erst gar nicht. In Firmen ist das so oder so zwingend allein aus rechtlichen Gründen. Trennst du das nicht kann man mit allereinfachsten Tools jedes Telefongespräch belauschen und in puncto Fernmelderecht bringt dich das mit einem Bein in eine rechtliche Grauzone...
Da der Tunnel verschlüsselt ist kann die Firewall dort auch nicht reinsehen. Sie wirkt also nur auf die WAN Ports und vermutlich nicht auf den internen Traffic zu dem auch der VPN Traffic gehört. Billige Consumer Systemem können das meist nicht.
"Richtige" Firewall Router hingegen schon. Auch freie Lösungen wie die hier im Forum beschriebene Monowall, pfSense und andere.
Es ist aber auch möglich das du einen Konfigurationsfehler machst.
Einzelne IPs aus dem Subnetz müssen mit einer 32 Bit Maske gefiltert werden. Die ist aslo zwingend anzugeben. Leider sagst du von dieser Option rein gar nix
Das lässt vermuten das die Firewall internen Traffic schlicht und einfach ignoriert. Fazit wäre das dein Filter also so gar nicht greift.
Sinnvoll und besser wäre es so oder so den Voice Traffic mit einem lokalen VLAN Switch zu trennen.
Dann hättest du das Problem erst gar nicht. In Firmen ist das so oder so zwingend allein aus rechtlichen Gründen. Trennst du das nicht kann man mit allereinfachsten Tools jedes Telefongespräch belauschen und in puncto Fernmelderecht bringt dich das mit einem Bein in eine rechtliche Grauzone...