testperson 1.534 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Naja wenn es dort Regeln gibt, wird im VPN Partner die Regelerzeugung auf Manuell stehen, ansonsten wären die Regeln nicht da. Das war ausserdem eine Frage an dich. Du müsstest dazu im Lancom Router unter VPN -> Verbindungsliste -> entsprechender Client gucken was dort steht.. Wenn bei Quelle beliebig steht und bei Ziel der VPN Client, dann sollten die Netzbeziehungen stimmen. Ggfs. gibt es noch weitere Regeln die genau das verbieten. Dann solltest du noch entsprechende Regeln vom Client in das / die Netz/e erstellen die den Traffic gestatten. Das sind dann allerdings keine VPN Regeln sondern normale VPN Regeln in grün wo die Haken quasi genau umgekehrt gesetzt sein müssen. Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 21. Januar 2015 Autor Melden Teilen Geschrieben 21. Januar 2015 also in der Verbindungsliste steht das Ganze auf manuell. sorry. Muss ich dann jetzt für mein zusätzliches Subnet eine normale Regel erstellen oder in der verbindungsliste auf automatisch stellen ? Danke. Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Die Regelerzeugung soll auf manuell bleiben. Ob du eine Firewallregel konfigurieren musst, hängt von deiner vorhanden Firewallkonfiguration ab. Das solltest du selber wissen, ob es eine Regel gibt, die dem VPN Client bzw. der VPN IP Range verbietet, in das andere Subnetz zu kommunizieren. Ich vermute es gibt eine solche Regel, da es ansonsten funktionieren sollte. Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 21. Januar 2015 Autor Melden Teilen Geschrieben 21. Januar 2015 Das schaue ich mir nochmal in Ruhe an. Vielen Dank nochmal für deine Hilfe. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 (bearbeitet) Noch ein kleiner Nachtrag von mir - VPN Client Lizenzen von NCP sind bei 25 LIzenzen ERHEBLICH billiger als 99€/Stück. So ca. 55€ um den Dreh. Und der Client kann halt auch wesentlich mehr als der Shrewsoft Client. Für UMME ist ShrewSoft aber der beste Client an sich. LGLars P.S: Ein Profil das mit dem 1-Klick-Wizzard vom Lancom "Out of the Box" läuft sieht bei mir so aus: (OK is PSK und damit nur mäßig sicher) Zertifikate wären da besser) - Einfach als *.vpn abspeichern und editiern. n:version:4 n:network-ike-port:500 n:network-mtu-size:1380 n:client-addr-auto:1 n:network-natt-port:4500 n:network-natt-rate:15 n:network-frag-size:540 n:network-dpd-enable:1 n:client-banner-enable:1 n:network-notify-enable:1 n:client-wins-used:1 n:client-wins-auto:1 n:client-dns-used:1 n:client-dns-auto:1 n:client-splitdns-used:1 n:client-splitdns-auto:1 n:phase1-dhgroup:2 n:phase1-life-secs:86400 n:phase1-life-kbytes:0 n:vendor-chkpt-enable:0 n:phase2-life-secs:3600 n:phase2-life-kbytes:0 n:policy-nailed:0 n:policy-list-auto:0 n:phase1-keylen:128 n:phase2-keylen:0 n:client-dns-suffix-auto:1 s:network-host:DNS.NAME.DOMAIN s:client-auto-mode:pull s:client-iface:virtual s:network-natt-mode:disable s:network-frag-mode:enable s:auth-method:mutual-psk s:ident-client-type:ufqdn s:ident-server-type:ufqdn s:ident-client-data:BENUTZER@intern s:ident-server-data:BENUTZER@intern b:auth-mutual-psk:DEINPRESHAREDKEYHIER s:phase1-exchange:aggressive s:phase1-cipher:aes s:phase1-hash:md5 s:phase2-transform:esp-aes s:phase2-hmac:md5 s:ipcomp-transform:disabled n:phase2-pfsgroup:2 s:policy-level:auto s:policy-list-include:192.168.x.0 / 255.255.255.0 bearbeitet 21. Januar 2015 von substyle Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Mir wäre der Lancom / NCP Client die Kohle alleine schon wegen IPSec over HTTPS wert. Aber diese Anforderung wird vermutlich erst kommen, wenn der erste Shrew Client User sich im Hotel WLAN oder UMTS Netz nicht anmelden kann ;) Wobei der Lancom Client die Subnetze genauso wenig erreicht, wenn die Firewallregel nicht stimmt. Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 22. Januar 2015 Autor Melden Teilen Geschrieben 22. Januar 2015 (bearbeitet) Klar, die VPN Option 25 wird gekauft. Ich habe aber ab nächster Woche nur noch ein Subnet, das erreicht werden muss und ca. 15 Kollegen, die sich einwählen. Welcher Mehrwert hätte ich da für knapp 2000.- oder meintewegen auch nur 1200.- / 1300.- mehr für die Clients? Es muss ja auch der Geschäftsführung "verkauft" werden. @Lars: Was meinst du mit mäßig sicher bei dieser Art von VPN? Ist das auch nicht das gelbe vom Ei? Aktuell wird ja immer noch auf PPTP gesetzt bearbeitet 22. Januar 2015 von shafner Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 22. Januar 2015 Melden Teilen Geschrieben 22. Januar 2015 Einfach einen Blick in die vom Assistenten generierten Profile werfen. Dort steht der PSK im Klartext drin. Bei einer Einwahl über Zertifikate liegt das Zertifikat (optimaler Weise) auf einem externen Device, welches an den Client angesteckt werden muss und der Zugriff auf das Zertifikat ist Kennwortgeschützt (Grob / Kurz zusammengefasst) Mehrwert: Mir wäre der Lancom / NCP Client die Kohle alleine schon wegen IPSec over HTTPS wert. Zitieren Link zu diesem Kommentar
sakoti 11 Geschrieben 22. Januar 2015 Autor Melden Teilen Geschrieben 22. Januar 2015 Meine Regeln sehen so aus. Da wird aber eigentlich nix verboten bzgl. anderem Subnet oder seht ihr das anders? Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 22. Januar 2015 Melden Teilen Geschrieben 22. Januar 2015 Hi, du solltest dir mal https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/bb6fd1480986547fc1257433004f0c6b?OpenDocument durchlesen und dann überdenken ob deine Firewall das tut, was sie soll ;) Generell sollte aber im aktuellen Status der VPN Client in die dahinterliegenden Subnetze kommen.. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.