Gelöst Zugriff bei VPN auf bestimmte IPs begrenzen (Firewall)

Dieses Thema im Forum "Bintec" wurde erstellt von to-wer, 5. Juni 2020.

Schlagworte:
  1. to-wer

    to-wer Starter

    Registriert seit:
    5. Juni 2020
    Beiträge:
    5
    Punkte für Erfolge:
    3
    Hallo zusammen,
    ich habe mich hier angemeldet und hoffe, Unterstützung zu finden. Da ich beim Bintec-Router ein Neuling bin.

    Auf der be.ip habe ich ein VPN über IKEv2 eingerichtet und die Schnittstelle bei der Firewall/Richtlinien/Standardfilterregeln unter vertrauenswürdigen Schnittstellen markiert. -> funktioniert alles prima

    Jetzt möchte ich jedoch den Zugriff von außen auf wenige interne IPs begrenzen.
    Dazu habe ich unter Firewall/Adressen diese Rechner registiert und Gruppen mit den jeweiligen Rechner-IPs erstellt.

    Diese Gruppen habe ich bei den individuellen Filterregeln als Ziel zugewiesen (mit Dienst "any" und Aktion "Zugriff").
    Dies funktioniert leider nicht - der externe Zugriff wird komplett blockiert.

    Habe ich etwas übersehen, was noch eingestellt werden muss?

    Danke für eure Vorschläge

    Torsten
     
  2. holdes

    holdes Aufsteiger

    Registriert seit:
    29. Januar 2020
    Beiträge:
    34
    Punkte für Erfolge:
    8
    Dafür sind wir ja alle hier :)

    Site-to-Site VPN oder Einwahl eines einzelnen Clients? Falls letzteres, bekommt der Client eine IP aus dem gleichen Subnetz wie dein eigentliches Netzwerk oder ist das ein eigener IP Bereich?

    Das ist schon einmal ein guter Ansatz. Je nachdem ob du eine Site-to-Site VPN hast könnte man das auch einfach lösen indem es nur die Routen zu den erlaubten Zielen gibt. Ansonsten ist die Firewall wahrscheinlich sogar die bessere Wahl.

    Deine IPSec Schnittstelle ist vertrauenswürdig, alle Pakete werden default also erst einmal durchgelassen sofern keinerlei Regeln bestehen, warum dann eine explizite Regel die diesen Verkehr erlaubt? Gibt es vorher noch eine Regel die alles verbietet? Sollen die von außen angebundenen Verbindungen nicht intern alle IPs erreichen? Dann wäre die IPSec Schnittstelle eher die Quelle nicht das Ziel. Gibt es die Regel nur einseitig oder auch in die Gegenrichtung?
     
  3. to-wer

    to-wer Starter

    Registriert seit:
    5. Juni 2020
    Beiträge:
    5
    Punkte für Erfolge:
    3
    Es sind Einwahl verschiedener Clients, die auf unterschiedliche Rechner zugreifen dürfen sollen (diverse Ports und Dienste, deshalb "any") Die vergebenen IP sind aus einen per Pool definierten Bereich aus dem eigentlichen Netzwerk.

    Es ist - so wie ich das sehe - nur in einer Richtung gefiltert, als Eingang.
    Die IPSec Schnittstelle ist als Quelle eingestellt.
    bei den Standardfilterregeln habe ich sie nicht als vertrauenswürdig eingestuft, da ich denke, dass sonst alle Pakete durchgehen.
    Die Frage ist für mich, wie die Filterregeln beachtet werden, parallel oder nacheinder. Wenn letzteres, dann ist die Frage, in welcher Reihenfolge.
    Kann oder muss man die IPSec Schnittstelle in der Standardfilterregel als vertrauenswürdig einstufen UND kann dann über eine "normale" Filterregel die IP begrenzen?
     
  4. holdes

    holdes Aufsteiger

    Registriert seit:
    29. Januar 2020
    Beiträge:
    34
    Punkte für Erfolge:
    8
    Wenn die Clients IP Adressen aus dem gleichen Bereich bekommen, prüfe mal bitte ob du Proxy ARP auf der LAN Schnittstelle aktiv hast, das kann je nach Konfiguration notwendig sein.

    Ansonsten so wie es in der Hilfe vom Router steht:
    Firewallregeln werden immer der Reihe nach abgearbeitet. Ansonsten gilt so wie es in der GUI steht:
    n+1 Vertrauenswürdige Schnittstellen
    n+2 Nicht vertrauenswürdige Schnittstellen

    Aber ja kannst du auch, es gibt bei Firewall einfach gesagt immer 2 Konzepte:
    1.alles verbieten und nach und nach erlauben was gewollt ist
    2.alles erlauben und verbieten was nicht durch soll

    Hier nochmal der Text direkt aus dem Router:
    "Das Standard-Verhalten mit der Aktion = Zugriff besteht aus zwei impliziten Filterregeln: wenn ein eingehendes Paket einer bereits bestehenden Verbindung zugeordnet werden kann und wenn eine entsprechende Verbindung zu erwarten ist (z. B. als Tochterverbindung einer bereits bestehenden), wird das Paket zugelassen.

    Die Abfolge der Filterregeln in der Liste ist relevant: Die Filterregeln werden der Reihe nach auf jedes Paket angewendet, bis eine Filterregel zutrifft. Kommt es zu Überschneidungen, d. h. trifft für ein Paket mehr als eine Filterregel zu, wird lediglich die erste Filterregel ausgeführt. Wenn also die erste Filterregel ein Paket zurückweist, während eine spätere Regel es zulässt, so wird es abgewiesen. Ebenso bleibt eine Verwerfen-Regel ohne Auswirkung, wenn ein entsprechendes Paket zuvor von einer anderen Filterregel zugelassen wird.

    Dem Sicherheitskonzept liegt die Vorstellung zugrunde, dass die Infrastruktur aus vertrauenswürdigen und nicht vertrauenswürdigen Zonen besteht. Die beiden Sicherheitsrichtlinien Vertrauenswürdig bzw. Nicht Vertrauenswürdig beschreiben diese Vorstellung. Sie definieren die beiden Filterregeln Vertrauenswürdige Schnittstellen und Nicht vertrauenswürdige Schnittstellen, die standardmäßig angelegt sind und nicht gelöscht werden können.

    Falls Sie die Sicherheitsrichtlinie Vertrauenswürdig verwenden, werden alle Datenpakete akzeptiert. Sie können nun zusätzliche Filterregeln definieren, die bestimmte Pakete verwerfen. Auf die gleiche Weise können Sie für die Einstellung Nicht Vertrauenswürdig ausgewählte Datenpakete freigeben.

    Im Menü Firewall->Richtlinien->IPv4-Filterregeln wird eine Liste aller konfigurierten IPv4-Filterregeln angezeigt."
     
  5. to-wer

    to-wer Starter

    Registriert seit:
    5. Juni 2020
    Beiträge:
    5
    Punkte für Erfolge:
    3
    Hallo holdes,
    auf der IPSec Schnittstelle ist Proxy ARP als "Aktiv oder Ruhend" markiert.

    Bzgl. der Firewall wäre also die beste Methode, die IPSec Schnittstelle als vertrauenswürdig einzustufen und alle Pakete die an nicht gewollte IPs gehen, zu verbieten?!
    Da probiere ich aus.
     
  6. holdes

    holdes Aufsteiger

    Registriert seit:
    29. Januar 2020
    Beiträge:
    34
    Punkte für Erfolge:
    8
    Nicht nur auf der IPSec Schnittstelle, tatsächlich mal auf der LAN Schnittstelle aktivieren ;). Wenn ich das bei mir auslasse komme ich auch nicht ins Netz bei gleichen IPs (bzw. Nur bis zum Router)
     
  7. to-wer

    to-wer Starter

    Registriert seit:
    5. Juni 2020
    Beiträge:
    5
    Punkte für Erfolge:
    3
    auf der br0 ist es auch eingestellt...
     
  8. to-wer

    to-wer Starter

    Registriert seit:
    5. Juni 2020
    Beiträge:
    5
    Punkte für Erfolge:
    3
    Es funktioniert... wenn ich die IPSec Schnitstelle als vertrauenswürdig einstufe und die Pakete an die gewollt nicht erreichbaren Rechner verweigere.

    Danke holes und viele Grüße
     
    holdes hat sich bedankt.
  9. holdes

    holdes Aufsteiger

    Registriert seit:
    29. Januar 2020
    Beiträge:
    34
    Punkte für Erfolge:
    8
    Freut mich wenn’s funktioniert hat, das hätte auch andersherum gehen müssen allerdings muss man genau wissen welchen Dienst in welche Richtung, manchmal ist daher die Reglung so herum einfacher.