Beschreibung:

Ist eine VPN-Verbindung abgebaut und es wird auf der Seite des VPN-Responders ein Zugriff auf Ressourcen in dem VPN-Netzwerk initiiert, versucht der Router die VPN-Verbindung aufzubauen. Wurde dem Router keine Gateway-IP-Adresse der Gegenseite bekanntgegeben (etwa bei einer dynamischen IKEv2-Verbindung mit Identitäten), wird der Aufbau der VPN-Verbindung fehlschlagen.

Um dies zu verhindern, kann eine  Firewall-Regel  erstellt werden, die  Datenverkehr zu einem per VPN erreichbaren Netzwerk unterbindet, sofern die VPN-Verbindung noch nicht aufgebaut  ist (DENY-VPN-NOT-CONNECTED). Diese muss  höher priorisiert werden als die restlichen Firewall-Regeln, damit diese als Erstes greift.

Zusätzlich muss aufgrund einer  Sonderbehandlung für DNS-Pakete  eine  weitere Firewall-Regel für DNS  erstellt werden, die  höher priorisiert  ist als die  Regel   DENY-VPN-NOT-CONNECTED.  

Voraussetzungen:

• LCOS ab Version 9.24 (download aktuelle Version)
• LANtools ab Version 9.24 (download aktuelle Version)

Szenario:

• Es besteht eine VPN-Verbindung zwischen einem Router in der Zentrale und einem Router in einer Filiale.
• Der Router in der Zentrale verfügt über die feste öffentliche IP-Adresse 81.81.81.1.
• Der Router in der Filiale verfügt über keine feste öffentliche IP-Adresse (dynamische öffentliche IP-Adresse).
• Der Router in der Filiale baut die VPN-Verbindung auf. Es handelt sich somit um den VPN-Initiator.
• Der Router in der Zentrale nimmt die VPN-Verbindung an. Es handelt sich somit um den VPN-Responder.

Vorgehensweise:

1. Öffnen Sie die Konfiguration des VPN-Responders in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

2. Klicken Sie auf Hinzufügen, um die Regel zum Sperren der VPN-Kommunikation bei einer nicht aufgebauten VPN-Verbindung zu erstellen (DENY-VPN-NOT-CONNECTED).

3. Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel DENY-VPN-NOT-CONNECTED) und tragen eine Priorität ein, die höher ist als die restlichen Firewall-Regeln (in diesem Beispiel die Priorität 10). Dies ist erforderlich, damit diese Regel vor den bereits vorhandenen Regeln greift.

4. Wechseln Sie in den Reiter Aktionen, markieren die Aktion REJECT und klicken auf Entfernen.

5. Klicken Sie auf Hinzufügen und anschließend auf Benutzerdefinierte Aktion hinzufügen.

6. Passen Sie die folgenden Parameter an und erstellen die Firewall-Regel:

• Aktivieren Sie die Option wenn Verbindung nicht besteht.
• Aktivieren Sie die Option für VPN-Route.
• Stellen Sie sicher, dass die Paket-Aktion Zurückweisen ausgewählt ist.

7. Erstellen Sie mit einem Klick auf Hinzufügen eine weitere Firewall-Regel, um DNS-Anfragen zu erlauben.

8. Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ALLOW-DNS) und tragen eine Priorität ein, die höher ist als die in Schritt 3. - 6. erstellte Regel DENY-VPN-NOT-CONNECTED (in diesem Beispiel die Priorität 15).

9. Wechseln Sie in den Reiter Aktionen, markieren die Aktion Zurückweisen; Nur wenn nicht verbunden und klicken auf Entfernen.

10. Klicken Sie auf Hinzufügen und wählen die Aktion ACCEPT aus.

11. Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → LOCALNET.

12. Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen → DNS. 

13. Die Firewall-Regeln sehen anschließend wie folgt aus.

14. Die Konfiguration der Firewall-Regeln ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.