testperson 1.859 Geschrieben 21. Januar 2015 Melden Geschrieben 21. Januar 2015 Naja wenn es dort Regeln gibt, wird im VPN Partner die Regelerzeugung auf Manuell stehen, ansonsten wären die Regeln nicht da. Das war ausserdem eine Frage an dich. Du müsstest dazu im Lancom Router unter VPN -> Verbindungsliste -> entsprechender Client gucken was dort steht.. Wenn bei Quelle beliebig steht und bei Ziel der VPN Client, dann sollten die Netzbeziehungen stimmen. Ggfs. gibt es noch weitere Regeln die genau das verbieten. Dann solltest du noch entsprechende Regeln vom Client in das / die Netz/e erstellen die den Traffic gestatten. Das sind dann allerdings keine VPN Regeln sondern normale VPN Regeln in grün wo die Haken quasi genau umgekehrt gesetzt sein müssen.
sakoti 11 Geschrieben 21. Januar 2015 Autor Melden Geschrieben 21. Januar 2015 also in der Verbindungsliste steht das Ganze auf manuell. sorry. Muss ich dann jetzt für mein zusätzliches Subnet eine normale Regel erstellen oder in der verbindungsliste auf automatisch stellen ? Danke.
testperson 1.859 Geschrieben 21. Januar 2015 Melden Geschrieben 21. Januar 2015 Die Regelerzeugung soll auf manuell bleiben. Ob du eine Firewallregel konfigurieren musst, hängt von deiner vorhanden Firewallkonfiguration ab. Das solltest du selber wissen, ob es eine Regel gibt, die dem VPN Client bzw. der VPN IP Range verbietet, in das andere Subnetz zu kommunizieren. Ich vermute es gibt eine solche Regel, da es ansonsten funktionieren sollte.
sakoti 11 Geschrieben 21. Januar 2015 Autor Melden Geschrieben 21. Januar 2015 Das schaue ich mir nochmal in Ruhe an. Vielen Dank nochmal für deine Hilfe.
substyle 20 Geschrieben 21. Januar 2015 Melden Geschrieben 21. Januar 2015 (bearbeitet) Noch ein kleiner Nachtrag von mir - VPN Client Lizenzen von NCP sind bei 25 LIzenzen ERHEBLICH billiger als 99€/Stück. So ca. 55€ um den Dreh. Und der Client kann halt auch wesentlich mehr als der Shrewsoft Client. Für UMME ist ShrewSoft aber der beste Client an sich. LGLars P.S: Ein Profil das mit dem 1-Klick-Wizzard vom Lancom "Out of the Box" läuft sieht bei mir so aus: (OK is PSK und damit nur mäßig sicher) Zertifikate wären da besser) - Einfach als *.vpn abspeichern und editiern. n:version:4 n:network-ike-port:500 n:network-mtu-size:1380 n:client-addr-auto:1 n:network-natt-port:4500 n:network-natt-rate:15 n:network-frag-size:540 n:network-dpd-enable:1 n:client-banner-enable:1 n:network-notify-enable:1 n:client-wins-used:1 n:client-wins-auto:1 n:client-dns-used:1 n:client-dns-auto:1 n:client-splitdns-used:1 n:client-splitdns-auto:1 n:phase1-dhgroup:2 n:phase1-life-secs:86400 n:phase1-life-kbytes:0 n:vendor-chkpt-enable:0 n:phase2-life-secs:3600 n:phase2-life-kbytes:0 n:policy-nailed:0 n:policy-list-auto:0 n:phase1-keylen:128 n:phase2-keylen:0 n:client-dns-suffix-auto:1 s:network-host:DNS.NAME.DOMAIN s:client-auto-mode:pull s:client-iface:virtual s:network-natt-mode:disable s:network-frag-mode:enable s:auth-method:mutual-psk s:ident-client-type:ufqdn s:ident-server-type:ufqdn s:ident-client-data:BENUTZER@intern s:ident-server-data:BENUTZER@intern b:auth-mutual-psk:DEINPRESHAREDKEYHIER s:phase1-exchange:aggressive s:phase1-cipher:aes s:phase1-hash:md5 s:phase2-transform:esp-aes s:phase2-hmac:md5 s:ipcomp-transform:disabled n:phase2-pfsgroup:2 s:policy-level:auto s:policy-list-include:192.168.x.0 / 255.255.255.0 bearbeitet 21. Januar 2015 von substyle
testperson 1.859 Geschrieben 21. Januar 2015 Melden Geschrieben 21. Januar 2015 Mir wäre der Lancom / NCP Client die Kohle alleine schon wegen IPSec over HTTPS wert. Aber diese Anforderung wird vermutlich erst kommen, wenn der erste Shrew Client User sich im Hotel WLAN oder UMTS Netz nicht anmelden kann ;) Wobei der Lancom Client die Subnetze genauso wenig erreicht, wenn die Firewallregel nicht stimmt.
sakoti 11 Geschrieben 22. Januar 2015 Autor Melden Geschrieben 22. Januar 2015 (bearbeitet) Klar, die VPN Option 25 wird gekauft. Ich habe aber ab nächster Woche nur noch ein Subnet, das erreicht werden muss und ca. 15 Kollegen, die sich einwählen. Welcher Mehrwert hätte ich da für knapp 2000.- oder meintewegen auch nur 1200.- / 1300.- mehr für die Clients? Es muss ja auch der Geschäftsführung "verkauft" werden. @Lars: Was meinst du mit mäßig sicher bei dieser Art von VPN? Ist das auch nicht das gelbe vom Ei? Aktuell wird ja immer noch auf PPTP gesetzt bearbeitet 22. Januar 2015 von shafner
testperson 1.859 Geschrieben 22. Januar 2015 Melden Geschrieben 22. Januar 2015 Einfach einen Blick in die vom Assistenten generierten Profile werfen. Dort steht der PSK im Klartext drin. Bei einer Einwahl über Zertifikate liegt das Zertifikat (optimaler Weise) auf einem externen Device, welches an den Client angesteckt werden muss und der Zugriff auf das Zertifikat ist Kennwortgeschützt (Grob / Kurz zusammengefasst) Mehrwert: Mir wäre der Lancom / NCP Client die Kohle alleine schon wegen IPSec over HTTPS wert.
sakoti 11 Geschrieben 22. Januar 2015 Autor Melden Geschrieben 22. Januar 2015 Meine Regeln sehen so aus. Da wird aber eigentlich nix verboten bzgl. anderem Subnet oder seht ihr das anders?
testperson 1.859 Geschrieben 22. Januar 2015 Melden Geschrieben 22. Januar 2015 Hi, du solltest dir mal https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/bb6fd1480986547fc1257433004f0c6b?OpenDocument durchlesen und dann überdenken ob deine Firewall das tut, was sie soll ;) Generell sollte aber im aktuellen Status der VPN Client in die dahinterliegenden Subnetze kommen.. Gruß Jan
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden