Beschreibung:
Ist eine VPN-Verbindung abgebaut und es wird auf der Seite des VPN-Responders ein Zugriff auf Ressourcen in dem VPN-Netzwerk initiiert, versucht der Router die VPN-Verbindung aufzubauen. Wurde dem Router keine Gateway-IP-Adresse der Gegenseite bekanntgegeben (etwa bei einer dynamischen IKEv2-Verbindung mit Identitäten), wird der Aufbau der VPN-Verbindung fehlschlagen.
Um dies zu verhindern, kann eine Firewall-Regel erstellt werden, die Datenverkehr zu einem per VPN erreichbaren Netzwerk unterbindet, sofern die VPN-Verbindung noch nicht aufgebaut ist (DENY-VPN-NOT-CONNECTED). Diese muss höher priorisiert werden als die restlichen Firewall-Regeln, damit diese als Erstes greift.
Zusätzlich muss aufgrund einer Sonderbehandlung für DNS-Pakete eine weitere Firewall-Regel für DNS erstellt werden, die höher priorisiert ist als die Regel DENY-VPN-NOT-CONNECTED.
Voraussetzungen:
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
Szenario:
Vorgehensweise:
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
2. Klicken Sie auf Hinzufügen, um die Regel zum Sperren der VPN-Kommunikation bei einer nicht aufgebauten VPN-Verbindung zu erstellen (DENY-VPN-NOT-CONNECTED).
3. Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DENY-VPN-NOT-CONNECTED) und tragen eine Priorität ein, die höher ist als die restlichen Firewall-Regeln (in diesem Beispiel die Priorität 10). Dies ist erforderlich, damit diese Regel vor den bereits vorhandenen Regeln greift.
4. Wechseln Sie in den Reiter Aktionen, markieren die Aktion REJECT und klicken auf Entfernen.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
