geocast
Goto Top

Direct Access bei Site2Site

Guten Abend miteinander

Ich wollte fragen wie das Ablaufen würde mit Direct Access von Microsoft.

Direct Access auf einem Client erkennt, soweit ich es verstanden habe, anhand eines Zertifikats und einer Domäne, ob sich das Gerät innerhalb oder außerhalb vom Netzwerk befindet.

Jetzt angenommen ich habe eine Client in einem Außenstandort der über Site2site VPN angebunden ist (mit PfSense OpenVPN mit DNS Forwarding). Würde dieser Client erkennen, dass er eigentlich in einem internen Netzwerk ist Direct Access nicht aufbauen?

Evtl. hat schon jemand damit Erfahrung gemacht.

Vielen Dank

Content-ID: 324341

Url: https://administrator.de/contentid/324341

Ausgedruckt am: 25.11.2024 um 13:11 Uhr

131381
131381 20.12.2016 aktualisiert um 17:20:39 Uhr
Goto Top
Moin,
der Client prüft eine konfigurierbare Sub-Domain per Default lautet diese:
http://direct-access-WebProbeHost.domain.intern
nur wenn der Client diese extern nicht auflösen und erreichen kann stellt er den Tunnel her.
Man sollte also sicherstellen das diese spezielle Ermittlungs-Domain extern nicht aufgelöst werden kann.

Wenn der Client also in dem Netzwerk einen DNS verwendet dem diesese spezielle Domain nicht bekannt ist wird er Direct Access verwenden.

Gruß
geocast
geocast 21.12.2016 um 09:03:42 Uhr
Goto Top
Vielen Dank für die Antwort! Also könnte ich einfach diese Domain forwarden und er würde dann keine Verbindung aufbauen. Oder ich könnte diese Domain einfach in der Firewall selbst einrichten, dann ist sie Anpingbar.
131381
Lösung 131381 21.12.2016 aktualisiert um 09:33:43 Uhr
Goto Top
Zitat von @geocast:

Vielen Dank für die Antwort! Also könnte ich einfach diese Domain forwarden und er würde dann keine Verbindung aufbauen.
Jepp, solange der Rechner diese Domain (URL) auflösen und die IP an diesem Standort dahinter erreichen kann ja.

Oder ich könnte diese Domain einfach in der Firewall selbst einrichten, dann ist sie Anpingbar.
? Der Rechner muss ja eine komplett transparente Netzwerkverbindung zum DC aufbauen können, also auf dem DNS des Standorts eine Weiterleitung zu dieser Domain über den Tunnel einrichten. Sollte klar sein das der Client dann diese zurückgelieferte private IP direkt über den Tunnel erreichen können muss.
geocast
geocast 21.12.2016 um 09:37:12 Uhr
Goto Top
Gut, dann einfach ein Forwarding.

Vielen Dank!