Seitenhistorie

...

Description:

Ist eine VPN-Verbindung abgebaut und es wird auf der Seite des VPN-Responders ein Zugriff auf Ressourcen in dem VPN-Netzwerk initiiert, versucht der Router die VPN-Verbindung aufzubauen. Wurde dem Router keine Gateway-IP-Adresse der Gegenseite bekanntgegeben (etwa bei einer dynamischen IKEv2-Verbindung mit Identitäten), wird der Aufbau der VPN-Verbindung fehlschlagen.

If a VPN connection disconnects and an attempt to initiate access to resources in the VPN network is made on the VPN responder side, the router will try to re-establish the VPN connection. However, if the router has no information about a gateway IP address at the remote side (e.g. with a dynamic IKEv2 connection using identities), the VPN re-connect will fail.

This can be prevented by creating a firewall rule that blocks data traffic to a network accessed via VPN if there is no VPN connection in place Um dies zu verhindern, kann eine Firewall-Regel erstellt werden, die Datenverkehr zu einem per VPN erreichbaren Netzwerk unterbindet, sofern die VPN-Verbindung noch nicht aufgebaut ist (DENY-VPN-NOT-CONNECTED). Diese muss höher priorisiert werden als die restlichen Firewall-Regeln, damit diese als Erstes greift.Zusätzlich muss aufgrund einer Sonderbehandlung für DNS-Pakete eine weitere Firewall-Regel für DNS erstellt werden, die höher priorisiert ist als die Regel This must have a higher priority than the other firewall rules so that it takes effect first.

Additionally, the special treatment of DNS packets requires the creation of another firewall rule for DNS that is prioritized higher than the DENY-VPN-NOT-CONNECTED rule.  

Requirements:

• LCOS ab Version as of version 9.24 (download aktuelle Versionlatest version)
• LANtools ab Version from version 9.24 (download aktuelle Versionlatest version)

Scenario:

• A VPN connection is operated between a router at the headquarters and a router at a branch office.
• The router at the headquarters has the fixed public IP address
• Es besteht eine VPN-Verbindung zwischen einem Router in der Zentrale und einem Router in einer Filiale.
• Der Router in der Zentrale verfügt über die feste öffentliche IP-Adresse 81.81.81.1.
• Der Router in der Filiale verfügt über keine feste öffentliche IP-Adresse (dynamische öffentliche IP-Adresse).
• Der Router in der Filiale baut die VPN-Verbindung auf. Es handelt sich somit um den VPN-Initiator.
• The router at the branch office has no fixed public IP address (dynamic public IP address).
• The router at the branch office should establish the VPN connection. It is therefore the VPN initiator.
• The router at the headquarters receives the VPN connection. It is therefore the VPN responderDer Router in der Zentrale nimmt die VPN-Verbindung an. Es handelt sich somit um den VPN-Responder.

Procedure:

1. Öffnen Sie die Konfiguration des VPN-Responders in LANconfig und wechseln in das Menü ) In LANconfig, open the configuration dialog for the VPN responder and switch to the menu item Firewall/QoS → IPv4 Rules rules → Rules.

2. Klicken Sie auf Add, um die Regel zum Sperren der VPN-Kommunikation bei einer nicht aufgebauten VPN-Verbindung zu erstellen ) Click Add to create the rule for blocking VPN communication if the VPN connection is not established (DENY-VPN-NOT-CONNECTED).

3. Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ) Give it a meaningful name (in this example DENY-VPN-NOT-CONNECTED) und tragen eine Priorität ein, die höher ist als die restlichen Firewall-Regeln (in diesem Beispiel die Priorität 10). Dies ist erforderlich, damit diese Regel vor den bereits vorhandenen Regeln greiftand enter a priority that is higher than the other firewall rules (in this example priority 10). This is necessary so that this rule acts before the other rules.

4. Wechseln Sie in den Reiter Actions, markieren die Aktion REJECT und klicken auf ) Go to the Actions tab, mark the action REJECT and click on Delete.

5. Klicken Sie auf Add und anschließend auf ) Click Add and then on Add custom action.

6. Passen Sie die folgenden Parameter an und erstellen die Firewall-Regel:) Modify the following parameters and create the firewall rule:

• Enable the option Aktivieren Sie die Option if not connected.
• Aktivieren Sie die Option Enable the option for VPN route.
• Stellen Sie sicher, dass die Check that the option Packet action Rejectausgewählt ist is selected.

7. Erstellen Sie mit einem Klick auf Add eine weitere Firewall-Regel, um DNS-Anfragen zu erlauben) Click Add to create another firewall rule to allow DNS requests.

8. Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ALLOW-DNS) und tragen eine Priorität ein, die höher ist als die in Schritt 3. - 6. erstellte Regel ) Give it a meaningful name (in this example ALLOW-DNS) and enter a priority that is higher than the one set for the DENY-VPN-NOT-CONNECTED rule created in steps 3 to 6 (in diesem Beispiel die Priorität this example priority 15).

9. Wechseln Sie in den Reiter Actions, markieren die Aktion ) Switch to the Actions tab, mark the action Reject; Only if not connected; Only if VPN routeund klicken auf Entfernen and click on Delete.

10. Klicken Sie auf Add und wählen die Aktion ACCEPT aus) Click on Add and choose the action ACCEPT.

11. Wechseln Sie in den Reiter Stations, wählen bei Connection source die Option ) Switch to the Stations tab, under Connection source select the option connections from the following stationsaus und klicken auf and click Add → LOCALNET.

12. Wechseln Sie in den Reiter Services, wählen bei ) Navigate to the Services tab. Under Protocols/target services die Option select the option for the following protocols/target services und klicken auf and click Add → DNS.   

13. Die Firewall-Regeln sehen anschließend wie folgt aus) The firewall rules should appear as shown below.

14. Die Konfiguration der Firewall-Regeln ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück) This concludes the configuration of the firewall rules. Write the configuration back to the router.