45455
26.03.2015
1477
7
0
Radius eingehende IP-Adressen ausschliessen
Hallo,
seit einiger Zeit habe ich in unserem Netzwerk RADIUS für VPN-Router laufen. Radius-Server ist ein 2008 R2-Server.
Das Ganze läuft in einem Netzwerk mit 3 Standorten, die über Lan2Lan-VPN verbunden sind.
Leider lassen sich einige mobile User nicht belehren, dass es völliger Unsinn ist, sich innerhalb dieser verbundenen Standorte am Client nochmals per VPN einzuwählen. Ich möchte daher die Einwahl aus den internen Subnetzen sperren.
Jetzt habe ich aber auf Anhieb keine Möglichkeit gefunden, in den Netzwerkzugriffsrichtlinien Client-IP-Adressbereiche von der Einwahl auszuschliessen.
Kann mir da jemand mal einen Tipp geben?
Vielleicht bin ich ja einfach nur blind ...
Gruß
Kai
seit einiger Zeit habe ich in unserem Netzwerk RADIUS für VPN-Router laufen. Radius-Server ist ein 2008 R2-Server.
Das Ganze läuft in einem Netzwerk mit 3 Standorten, die über Lan2Lan-VPN verbunden sind.
Leider lassen sich einige mobile User nicht belehren, dass es völliger Unsinn ist, sich innerhalb dieser verbundenen Standorte am Client nochmals per VPN einzuwählen. Ich möchte daher die Einwahl aus den internen Subnetzen sperren.
Jetzt habe ich aber auf Anhieb keine Möglichkeit gefunden, in den Netzwerkzugriffsrichtlinien Client-IP-Adressbereiche von der Einwahl auszuschliessen.
Kann mir da jemand mal einen Tipp geben?
Vielleicht bin ich ja einfach nur blind ...
Gruß
Kai
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267539
Url: https://administrator.de/forum/radius-eingehende-ip-adressen-ausschliessen-267539.html
Ausgedruckt am: 01.05.2025 um 06:05 Uhr
7 Kommentare
Neuester Kommentar
Moin Kai,
sperr doch die VPN-Ports für den Zugriff aus deinen Subnetzen mit der Windows Firewall. In der Firewall-Regel kannst du ja die Subnetze als Quelle festlegen.
Gruß jodel32
sperr doch die VPN-Ports für den Zugriff aus deinen Subnetzen mit der Windows Firewall. In der Firewall-Regel kannst du ja die Subnetze als Quelle festlegen.
Gruß jodel32
Oder lege ganz einfach auf der Switch Infrastruktur eine Accesslliste auf die Interfaces die die VPN Ports und Source IP Adressen sperrt. So wär die Lösung Server unabhängig.
Der VPN-Port liegt ja auf dem Router.
Zur Verdeutlichung:
Subnet1 - Router - - VPN - - Router - Subnet 3
Subnet2 - Router - - VPN - - /
Innerhalb jedes Subnets gibt's einen DC oder RODC mit RADIUS, der die Authentifizierung für den jeweiligen Router übernimmt.
Deren Firewall greift also nicht.
Die Firewall des Routers greift auch nicht innerhalb des VPN, daher kann ich darüber auch niemanden hindern, sich zu verbinden.
Ich sehe gerade nur die Möglichkeit über Bedingungen in den Netzwerkzugriffsrichtlinien.
Gruß
Kai
Zur Verdeutlichung:
Subnet1 - Router - - VPN - - Router - Subnet 3
Subnet2 - Router - - VPN - - /
Innerhalb jedes Subnets gibt's einen DC oder RODC mit RADIUS, der die Authentifizierung für den jeweiligen Router übernimmt.
Deren Firewall greift also nicht.
Die Firewall des Routers greift auch nicht innerhalb des VPN, daher kann ich darüber auch niemanden hindern, sich zu verbinden.
Ich sehe gerade nur die Möglichkeit über Bedingungen in den Netzwerkzugriffsrichtlinien.
Gruß
Kai
OK, das wäre ne Möglichkeit. Muss ich mal checken, ob an allen Standorten die Switche mitspielen (an einem ist ein etwas älteres Modell im Einsatz).
Allerdings wäre dann auch keine Verbindung an fremde VPNs möglich. Das könnte zumindest an einem Standort ein Problem sein.
Müsste dann eher Target-IP und die Ports sein.
Gruß
kai
Allerdings wäre dann auch keine Verbindung an fremde VPNs möglich. Das könnte zumindest an einem Standort ein Problem sein.
Müsste dann eher Target-IP und die Ports sein.
Gruß
kai
Solange das managebare Switches sind ist das kein Problem.
Wenn das lokale sind die externe Ziele haben laufen die ja durch durch die ACL und funktionieren !
Allerdings wäre dann auch keine Verbindung an fremde VPNs möglich.
Nein das ist Unsinn, denn du filterst ja nach den Absender IP Adressen. Wenn das lokale sind die lokale Ziele haben blockst du den Traffic.Wenn das lokale sind die externe Ziele haben laufen die ja durch durch die ACL und funktionieren !
Ah, jetzt. Muss ich mir mal genauer anschauen.
Manageable sind alle Switche.
Gruß
Kai
Manageable sind alle Switche.
Gruß
Kai
Dann ist doch alles bestens 
