Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4035 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN ohne Netzwerkzugriff - Clients nur untereinander

Torsten Z.
Hallo zusammen,

mein Name ist Torsten und ich bin neu im Forum. Ich habe mir heute einen kleinen Rechner hingestellt und eine Home-Lizenz installiert. Ich habe ein bisschen an Vorerfahrung aber an Folgendem scheitere ich gerade:

Zu Testzwecken möchte ich ein SSL-VPN aufbauen, in dem man Zocken, Chatten (wie im LAN) kann, ohne auf mein tatsächliches Netz zugreifen zu können (ähnlich Hamachi). Die Clients (bei mir) im 10.10.10.0/24 Netz sollen sich nur im 10.10.10.0/24 er Netz bewegen und finden können.

Ich habe aber keine Idee mehr, wie das gehen kann. Anfangs dachte ich, es reicht ein SSL-VPN zu erstellen, und die Benutzer hinzuzufügen. Allerdings hab ich beim Testen festgestellt, dass die Benutzer untereinander nicht kommunizieren können, da die Clients die Subnetzmaske 255.255.255.252 haben. Diese Subnetzmaske kann ich scheinbar auch nirgends konfigurieren, auch nicht beim DHCP, wo ich es eigentlich erwartet hätte.

Mal schnell die Konfiguration zusammengefasst:
- Remote Access -> SSL -> Meine Benutzer sind hinzugefügt und als Local network VPN Pool (SSL)
- Network Protection -> Firewall -> Regel mit "VPN-Pool -> ANY -> VPN Pool (Allowed)"
-Am Router sind alle Ports auf die UTM umgeleitet. Ich nutze Dyndns.
 
Eine Verbindung in mein Netzwerk bekomme ich problemlos hin, will ich aber nicht :-P

Hat jemand eine Idee?

Vielen Dank im Voraus. Und entschuldigt, wenn ich schlecht erklärt habe, ich bin ein bisschen gestresst :-P

LG
Torsten


This thread was automatically locked due to age.
Parents
  • 0
    Hm, meine Antwort war schon ernst gemeint :-).
    Allerdings wird zumindest mir nicht ganz klar wie es bei dir in der UTM ausschaut. Den anderen anscheinend auch nicht so ganz, sonst hätten bestimmt noch andere User geantwortet.

    Dein erster Post hat sich für mich so gelesen, dass du ein VPN "SSL" hast und sich deine lokalen Clients im 10er Netz bewegen. 
    VPN "SSL" darf auf "10er Netz" nicht zugreifen.
    Wenn du nun eine "SSL" -> "Any" -> "10er Netz" Droprule rein machst würdest du dich nicht aussperren, sofern du dich im lokalen Netz befindest oder drüber z.B. noch einmal eine Regel hast wie "admin (User Network)" -> "Any" -> "***" und natürlich noch "admin (User Network)" in den WebAdmin Settings.

    Zudem hast du in den Definitionen die einzelnen VPN-User und könntest die Regeln auch User-spezifisch erstellen. Die Regeln werden ja von oben nach unten abgearbeitet - sobald eine Regel zutrifft wird keine andere mehr angewandt!


    Der VPN-Pool ist modifiziert. Ich hab das Netz 10.10.10.0/24 gewählt, weil es einfach zu merken ist. Eine Netzmaske kann ich aber nicht vorgeben...


    /24 ist doch die Netzmaske?? (Hab dir ein Screenshot angehängt).


    3. Any - Any - Any (Geblockt)


    Diese Regel steht bereits unsichtbar ganz unten und wird automatisch angewandt, wenn keine der oberen Regeln zutrifft.
    PS. unter "ANY" als Service, verbirgt sich meines Wissens NUR TCP/UDP

    Im Log sehe ich aber keine Pakete die hängen bleiben. Daher bin ich davon ausgegangen, dass es an der eingestellten Subnetzmaske, oder einer fehlenden Einstellung im NAT liegt.


    NAT brauchst du eigentlich nicht. Masquerading nur, wenn das VPN z.B. ins Internet soll.

    -------------

    Abschließend muss ich nun doch noch einmal fragen

    Möchtest du nun deine VPN Clients nicht ins lokale Netz lassen? (wie lautet das lokale Netz?)

    Oder möchtest du deine VPN Clients untereinander nicht im VPN Netz kommunizieren lassen? (dagegen spricht die Überschrift)

    Zudem solltest du darüber nachdenken dir eine Testumgebung aufzubauen, wenn die UTM in der Firma (Liveumgebung) genutzt wird. Mit der kostenlosen Homelizenz hast du alle wichtigen Funktionen und 50 IPs freigeschalten.

    Gruß
  • 0 in reply to wiLLow
    Ok danke danke. [:)]

    Ich drücke mich offenbar schlecht aus. Ich versuchs nochmal :-).

    Ich habe eine Astaro in der Firma. An dieser Teste ich nichts.

    Dann habe ich mir Vorgestern eine kleine Box zuhause hingestellt, hinter meine FritzBox gehangen, die im 192.168.1.0/24er Netz agiert, Port Forwarding und DynDNS eingerichtet.

    Alle VPN-User sollen jetzt in ein Netz 10.10.10.0/24 kommen, ohne auf mein 192.168.1.0/24er Netz zugreifen zu können. Alle PCs im VPN sollen aber untereinander verbunden sein. Wenn ich also z.B. einen Teamspeak-Server auf dem Rechner mit der zugewiesenen IP 10.10.10.10 aufmache, möchte ich, dass sich der PC (auch VPN) mit 10.10.10.100 verbinden kann.

    /24 ist doch die Netzmaske?? (Hab dir ein Screenshot angehängt).


    Da wird nur der Bereich der Adressen angegeben, die an die Clients vergeben wird. (In meinem Fall von 10.10.10.0 - 10.10.10.254). Die Netzmaske, die die Clients zugewiesen bekommen ist aber leider 255.255.255.252 anstatt 255.255.255.0.

    Wenn ich von einem Client (10.10.10.10) aus die IP 10.10.10.1 (die Astaro) anpinge bekomme ich sofort eine Antwort. Versuche ich aber einen anderen Rechner (z.B. 10.10.10.100) anzupingen, klappt das nicht.

    Hoffe das war jetzt verständlich :-) Sonst formuliere ich das nochmal anders.

    Danke und Grüße,
    Torsten
Reply
  • 0 in reply to wiLLow
    Ok danke danke. [:)]

    Ich drücke mich offenbar schlecht aus. Ich versuchs nochmal :-).

    Ich habe eine Astaro in der Firma. An dieser Teste ich nichts.

    Dann habe ich mir Vorgestern eine kleine Box zuhause hingestellt, hinter meine FritzBox gehangen, die im 192.168.1.0/24er Netz agiert, Port Forwarding und DynDNS eingerichtet.

    Alle VPN-User sollen jetzt in ein Netz 10.10.10.0/24 kommen, ohne auf mein 192.168.1.0/24er Netz zugreifen zu können. Alle PCs im VPN sollen aber untereinander verbunden sein. Wenn ich also z.B. einen Teamspeak-Server auf dem Rechner mit der zugewiesenen IP 10.10.10.10 aufmache, möchte ich, dass sich der PC (auch VPN) mit 10.10.10.100 verbinden kann.

    /24 ist doch die Netzmaske?? (Hab dir ein Screenshot angehängt).


    Da wird nur der Bereich der Adressen angegeben, die an die Clients vergeben wird. (In meinem Fall von 10.10.10.0 - 10.10.10.254). Die Netzmaske, die die Clients zugewiesen bekommen ist aber leider 255.255.255.252 anstatt 255.255.255.0.

    Wenn ich von einem Client (10.10.10.10) aus die IP 10.10.10.1 (die Astaro) anpinge bekomme ich sofort eine Antwort. Versuche ich aber einen anderen Rechner (z.B. 10.10.10.100) anzupingen, klappt das nicht.

    Hoffe das war jetzt verständlich :-) Sonst formuliere ich das nochmal anders.

    Danke und Grüße,
    Torsten
Children
  • 0 in reply to Torsten Z.
    Ok danke danke. [:)]

    Ich drücke mich offenbar schlecht aus. Ich versuchs nochmal :-).

    Ich habe eine Astaro in der Firma. An dieser Teste ich nichts.

    Dann habe ich mir Vorgestern eine kleine Box zuhause hingestellt, hinter meine FritzBox gehangen, die im 192.168.1.0/24er Netz agiert, Port Forwarding und DynDNS eingerichtet.

    Alle VPN-User sollen jetzt in ein Netz 10.10.10.0/24 kommen, ohne auf mein 192.168.1.0/24er Netz zugreifen zu können. Alle PCs im VPN sollen aber untereinander verbunden sein. Wenn ich also z.B. einen Teamspeak-Server auf dem Rechner mit der zugewiesenen IP 10.10.10.10 aufmache, möchte ich, dass sich der PC (auch VPN) mit 10.10.10.100 verbinden kann.



    Da wird nur der Bereich der Adressen angegeben, die an die Clients vergeben wird. (In meinem Fall von 10.10.10.0 - 10.10.10.254). Die Netzmaske, die die Clients zugewiesen bekommen ist aber leider 255.255.255.252 anstatt 255.255.255.0.

    Wenn ich von einem Client (10.10.10.10) aus die IP 10.10.10.1 (die Astaro) anpinge bekomme ich sofort eine Antwort. Versuche ich aber einen anderen Rechner (z.B. 10.10.10.100) anzupingen, klappt das nicht.

    Hoffe das war jetzt verständlich :-) Sonst formuliere ich das nochmal anders.

    Danke und Grüße,
    Torsten


    Welchen Typ VPN nutzt du?
    Hast du Regeln gesetzt?
    Hast du an den Definitionen was geändert. Hier steht per Default 255.255.255.0 drin.

    Gruss
  • 0 in reply to rprengel
    Welchen Typ VPN nutzt du?

    SSL-VPN 

    Hast du Regeln gesetzt?

    Firewall-Regeln gibt es jetzt nichts mehr, ich habe die Automatischen Firewall regeln aktiviert.

    Hast du an den Definitionen was geändert. Hier steht per Default 255.255.255.0 drin.

    Nein. Es steht immernoch 255.255.255.0 (/24) drin.

    Die Clients bekommen aber blöderweise 255.255.255.252 zugewiesen...

    Ich habe jetzt mal alles mit Screenshots dokumentiert.

    Ich nehme an, dass mein Problem behoben ist, wenn die Clients anstatt einer /30er Maske eine /24er Maske zugewiesen bekämen. Aber ich weiß nicht, wie man das einstellt.
Cookie Information Banner