Die Kommunikationsregeln legen fest, ob sich die Teilnehmer in der icom Connectivity Suite - VPN, also PCs, INSYS-Router und daran lokal angeschlossene Geräte, miteinander verbinden dürfen.
Die Kommunikationsregeln werden in der klassischen Benutzeroberfläche auf dem Reiter Gruppen konfiguriert.
Kommunikation innerhalb einer Gruppe
Die icom Connectivity Suite – VPN ermöglicht es, allen Geräten, die sich in einer Gruppe befinden, die Kommunikation untereinander zu erlauben oder zu verbieten. Ein Verbot von internen Verbindungen ist beispielsweise sinnvoll, wenn sich Geräte unterschiedlicher Kunden in einer Gruppe befinden.
Die Festlegung der Regel für die interne Kommunikation erfolgt beim Anlegen der Gruppe und kann in der Spalte Interne Verbindungen jederzeit geändert werden. Klicken Sie dazu auf die Schaltfläche in der Spalte Interne Verbindungen, um festzulegen, ob Verbindungen zwischen den Geräten in dieser Gruppe erlaubt oder verboten sind.
Kommunikation zwischen Gruppen
Die icom Connectivity Suite – VPN ermöglicht es, Regeln für die Kommunikation zwischen Geräten, die sich in einer Gruppe befinden, und Geräten, die sich in einer anderen Gruppe befinden, festzulegen. Die Festlegung der Regeln für die Kommunikation zwischen den Gruppen erfolgt in den Spalten Verbindung von (eingehend) bzw. Verbindung nach (ausgehend) für die jeweilige Gruppe. Wenn für eine Gruppe (A) beispielsweise eingehende Verbindungen von einer anderen Gruppe (B) erlaubt werden, werden automatisch für die Gruppe (B) ausgehende Verbindungen zu Gruppe (A) erlaubt.
Klicken Sie zum Konfigurieren der Kommunikationsregeln für die jeweilige Gruppe auf die entsprechenden Schaltflächen und legen Sie fest, mit welchen anderen Gruppen diese Gruppe kommunizieren darf.
.png)
Einschränkungen bei der Kommunikation zwischen Gruppen
Wenn Verbindungen zwischen den Geräten einzelner Gruppen erlaubt sind, ist bei Verbindungen zu einem Router der Zugriff auf das gesamte Netz hinter diesem Router freigegeben. Daher ist es möglich, diese Verbindungen auf bestimmte Protokolle, Ziel-Stationen und Ziel-Ports einzuschränken. Dies erfolgt beim Festlegen der erlaubten Verbindungen unter zusätzliche Beschränkungen für die Verbindungs-Ziele.
Markieren Sie zum Festlegen der Einschränkungen die Checkbox der jeweiligen Gruppe und schränken Sie die Kommunikation entsprechend ein. Siehe zu den einzelnen Parametern die Hinweise und Beispiel unten.
.png)
Protokoll
Es ist möglich, das für die Verbindung verwendete Protokoll auf TCP+UDP, TCP, UDP oder ICMP zu beschränken. Wenn hier ein bestimmtes Protokoll ausgewählt ist, können nur Verbindungen über dieses Protokoll zwischen den Geräten der betreffenden Gruppen aufgebaut werden. Nutzverbindungen verwenden in der Regel TCP oder UDP; der Ping-Befehl zur Prüfung der Erreichbarkeit verwendet ICMP
Ziel-Station
Durch die Angabe einer Ziel-Station ist es möglich, die Verbindungen auf bestimmte Geräte im Netzwerk hinter dem Router zu beschränken. Bei der Ziel-Station wird nur der Teil der Adresse angegeben, der die Bezeichnung innerhalb des jeweiligen Netzwerks angibt. Diese Angabe wird zur Netzadresse addiert, um die IP-Adresse des Ziel-Geräts zu erhalten. Mit Hilfe einer Netzmaske in CIDR-Notation kann auch eine Ziel-Station angegeben werden, die einen ganzen IP-Adressbereich definiert. Folgendes Beispiel illustriert die Wirkungsweise der Angabe einer Ziel-Station:
.png "image(32).png")
In diesem Beispiel ist für Verbindungen zu den Geräten in der unteren Gruppe die Ziel-Station 0.0.0.7 konfiguriert. Das bedeutet, dass beispielsweise im Netzwerk mit der Adresse 192.168.13.0 Verbindungen zum Gerät (Kamera) mit der IP-Adresse 192.168.13.7 über den Router mit der IP-Adresse 192.168.13.1 aufgebaut werden können. Dies gilt entsprechend auch für die anderen Geräte in dieser Gruppe.
Für Verbindungen zu den Geräten in der oberen Gruppe ist die Ziel-Station 0.0.0.12/30 konfiguriert. Das bedeutet, dass beispielsweise im Netzwerk mit der Adresse 192.168.18.0 Verbindungen zu den Geräten mit den IP-Adressen 192.168.18.12 bis 192.168.18.15 über den Router mit der IP-Adresse 192.168.18.1 aufgebaut werden können. Dies gilt entsprechend auch für die anderen Geräte in dieser Gruppe.
Ziel-Port
Durch die Angabe eines Ziel-Ports ist es möglich, TCP- und UDP-Verbindungen auf bestimmte Ports zu beschränken. Es können mehrere Ports, getrennt durch Kommas oder ganze Port-Bereiche angegeben werden. Die Ziel-Port-Angabe 80, 443, 1194-1199 erlaubt beispielsweise Verbindungen über die Ports 80, 443, 1194, 1195, 1196, 1197, 1198 und 1199.