4
Direct Access bei Site2Site
Guten Abend miteinander
Ich wollte fragen wie das Ablaufen würde mit Direct Access von Microsoft.
Direct Access auf einem Client erkennt, soweit ich es verstanden habe, anhand eines Zertifikats und einer Domäne, ob sich das Gerät innerhalb oder außerhalb vom Netzwerk befindet.
Jetzt angenommen ich habe eine Client in einem Außenstandort der über Site2site VPN angebunden ist (mit PfSense OpenVPN mit DNS Forwarding). Würde dieser Client erkennen, dass er eigentlich in einem internen Netzwerk ist Direct Access nicht aufbauen?
Evtl. hat schon jemand damit Erfahrung gemacht.
Vielen Dank
Ich wollte fragen wie das Ablaufen würde mit Direct Access von Microsoft.
Direct Access auf einem Client erkennt, soweit ich es verstanden habe, anhand eines Zertifikats und einer Domäne, ob sich das Gerät innerhalb oder außerhalb vom Netzwerk befindet.
Jetzt angenommen ich habe eine Client in einem Außenstandort der über Site2site VPN angebunden ist (mit PfSense OpenVPN mit DNS Forwarding). Würde dieser Client erkennen, dass er eigentlich in einem internen Netzwerk ist Direct Access nicht aufbauen?
Evtl. hat schon jemand damit Erfahrung gemacht.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324341
Url: https://administrator.de/contentid/324341
Printed on: April 24, 2024 at 14:04 o'clock
4 Comments
Latest comment
Moin,
der Client prüft eine konfigurierbare Sub-Domain per Default lautet diese:
nur wenn der Client diese extern nicht auflösen und erreichen kann stellt er den Tunnel her.
Man sollte also sicherstellen das diese spezielle Ermittlungs-Domain extern nicht aufgelöst werden kann.
Wenn der Client also in dem Netzwerk einen DNS verwendet dem diesese spezielle Domain nicht bekannt ist wird er Direct Access verwenden.
Gruß
der Client prüft eine konfigurierbare Sub-Domain per Default lautet diese:
http://direct-access-WebProbeHost.domain.internnur wenn der Client diese extern nicht auflösen und erreichen kann stellt er den Tunnel her.
Man sollte also sicherstellen das diese spezielle Ermittlungs-Domain extern nicht aufgelöst werden kann.
Wenn der Client also in dem Netzwerk einen DNS verwendet dem diesese spezielle Domain nicht bekannt ist wird er Direct Access verwenden.
Gruß
Vielen Dank für die Antwort! Also könnte ich einfach diese Domain forwarden und er würde dann keine Verbindung aufbauen. Oder ich könnte diese Domain einfach in der Firewall selbst einrichten, dann ist sie Anpingbar.
Zitat von @geocast:
Vielen Dank für die Antwort! Also könnte ich einfach diese Domain forwarden und er würde dann keine Verbindung aufbauen.
Jepp, solange der Rechner diese Domain (URL) auflösen und die IP an diesem Standort dahinter erreichen kann ja.Vielen Dank für die Antwort! Also könnte ich einfach diese Domain forwarden und er würde dann keine Verbindung aufbauen.
Oder ich könnte diese Domain einfach in der Firewall selbst einrichten, dann ist sie Anpingbar.
? Der Rechner muss ja eine komplett transparente Netzwerkverbindung zum DC aufbauen können, also auf dem DNS des Standorts eine Weiterleitung zu dieser Domain über den Tunnel einrichten. Sollte klar sein das der Client dann diese zurückgelieferte private IP direkt über den Tunnel erreichen können muss.
Gut, dann einfach ein Forwarding.
Vielen Dank!
Vielen Dank!
