Synology Firewall Regeln für Zugriffe auf Ressourcen hinter VPN notwendig?

Status
Für weitere Antworten geschlossen.

mexx81

Benutzer
Mitglied seit
17. Dez 2013
Beiträge
597
Punkte für Reaktionen
0
Punkte
42
Hallo zusammen,

ich habe meinen Router hinter der Fritzbox hängen, als Exposed Host. Die Firewall und Portweiterleitungen sind alle konfiguriert um SSH oder DSM übers Internet machen zu können. Zusätzlich nutze ich L2TP VPN um per RP auf Windows Clients hinter den Router zugreifen zu können. Ich kann eine VPN Verbindung aufbauen, komme aber auf Systeme die im LAN hängen nur drauf, wenn ich dafür eine zusätzliche Firewallregel erstelle.

Die VPN Clients bekommen eine IP aus dem 10.0.0.0 Pool. Um RDP nutzen zu können, musste ich eine Firewall Regel machen, dessen Quelle aus das 10er Netz ist und Ziel auf die Windows Maschinen Port für RDP.

Wenn IPv4-WAN-zu-SRM-Datenverkehr mit keiner Regel übereinstimmt: steht auf verweigern
Wenn IPv4-WAN-zu-LAN-Datenverkehr mit keiner Regel übereinstimmt: steht auf verweigern
Wenn IPv6-WAN-zu-SRM-Datenverkehr mit keiner Regel übereinstimmt: steht auf verweigern
Wenn IPv6-WAN-zu-LAN-Datenverkehr mit keiner Regel übereinstimmt: steht auf verweigern


Ist das denn korrekt so? Muss ich für Zugriffe auf Ressourcen hinter dem VPN wirklich Firewall Regeln machen? Ich ging davon aus, dass man beim VPN Zugriff direkt auf dem Router landet und er den Zugang/Traffic als "internes" LAN betrachtet, in dem keine Firewall Regeln notwendig sind.

Vielen Dank für eure Hilfe,
mexx
 

_Axel_

Benutzer
Mitglied seit
08. Mrz 2017
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Hy,

Ja so ist es bei mir auch. Das 10.x.x.x Netz wird per Firewall auf das interne Netz freigegeben, damit das routing klappt.

Hatte zuvor im VPN das lokale Netz direkt gewählt. Funktioniert aber nur für eine bestimmte Zeit. Dann wird de VPN Client keine IP mehr vom DHCP gegeben. Unter den Logs steht 0.0.0.0 Glaub hier ist noch ein Bug.

Daher habe ich auf 10.x.x.x umgestellt. Jetzt funktioniert es zuverlässig, wenn ein Routing Eintrag unter Firewall eingestellt ist. So wie bei dir.

Hat obige Zeit gedauert bis ich das mal kappiert habe.

Allerdings wäre mir das direkte lokale Netz lieber. Weil wenn Geräte für den Internet Zugriff gesperrt sind kann ich diese per 10.x.x.x auch nicht erreichen. Nur wenn lokale IP an VPN Client zugewiesen wird....
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat