Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Client soll je nach Anmeldenamen ein bestimmtes VLAN erreichen

Mitglied: SonneLacht

SonneLacht (Level 1) - Jetzt verbinden

08.02.2019 um 20:08 Uhr, 316 Aufrufe, 2 Kommentare

Hallo,

unsere Struktur trennt jede Abteilung in ein eigenes VLAN. Die VLANs untereinander werden, je nach Intention, auf einem Switch mit entsprechenden ACLs geroutet.

Außer den Abteilungs-VLANs gibt es ein VLAN für VPN-Clients (historisch bedingt). Und natürlich ein Server-VLAN und ein Admin-VLAN und und und.

Ich habe einen Firewall-Server Windows Server 2008 R2, auf dem RRAS-Dienste installiert sind. Der Server dient VPN-Clienten zur Verbindung mit dem internen Netzwerk über L2TP/IPSec. Bisher war an dem Server intern eine NIC angeschlossen, die im Adressbereich des VLAN VPN-Cleinten angebunden war. Die Client-IP-Adresse wurde vom DHCP-Server vergeben, der auf dem DC installiert ist und alle Bereiche (VLANs) bereitstellt.

Das VLAN für VPN-Clients, in dem diese nach der Einwahl "gelandet" sind, wird (fälschlicherweise) in alle Abteilungs-VLANs geroutet. Das hebelt natürlich die Restriktionen der ACLs auf dem Switch aus. Wenn man von einer Abteilung in die andere rein möchte, muss man einfach nur den VPN-Client nehmen.

Das soll nun geändert werden. Ich habe dem Server nun statt einer internen Netzwerkkarte für VLAN VPN-Clients alle relevanten internen Netzwerkkarten aus allen Abteilungs-VLANs gegeben.

Leider bekomme ich es nicht hin, je nach Benutzername bzw. Gruppenzugehörigkeit des Benutzers der sich gerade per VPN anmeldet, eine Adresse aus dem "richtigen" Abteilungs-VLAN vom DHCP zu holen. Ich habe NAP installiert und auch eine Policy definiert. Ich kann (zum Test ob die Policy greift) damit einen Benutzer aussperren oder dem Clienten eine feste IP-Adresse (aus jedem beliebigen VLAN) vergeben. Das scheint also die richtige Stelle zu sein.

Funktioniert aber nicht. Bei den Radius-Standard-Optionen der Policy kann man in Tunnel-Group-ID die VLAN-ID vergeben, das hat aber keine Auswirkungen. Egal ob ich die VLAN-ID numerisch, als String, dezimal oder hexadezimal eingebe, es bringt gar nichts. Er holt immer die IP-Adresse vom "zentralen" Servernetzwerk, in dem der DHCP steht, und bekommt damit eine IP-Adresse aus diesem Netzwerk und nicht aus einem der anderen Abteilungs-VLANs.

Was mache ich falsch? Hat das schon mal jemand gemacht?

Jens
Mitglied: NordicMike
10.02.2019 um 11:44 Uhr
Ich habe zwar keine Lösung für Deine Frage, aber die Idee finde ich nicht schlecht. Ich frage mich gerade, ob es überhaupt nötig ist die VPN User ins Abteilungs-VLAN zu stecken, er würde ja höchstens seine benachbarten PCs aus seiner Abteilung sehen. Im Endeffekt musst Du ja trotzdem zu den zentralen Diensten routen, Fileserver, Druckerserver, Internet usw.

Wenn es wenige Abteilungen sind, kannst Du ja auch einfach mehrere VPN Dienste starten, eines für jedes VLAN.
Bitte warten ..
Mitglied: SonneLacht
11.02.2019 um 11:50 Uhr
Danke... Das hat mich jetzt zum Nachdenken gebracht. Ist nicht ganz abwegig.

- Manchmal soll zwischen einem internen PC und einem externen, mit VPN verbundenem Gerät, eine Verbindung hergestellt werden. Das wollte ich eigentich im Abteilungs-VLAN lassen. Kann ich aber sicher neu durchdenken.
- Richtig ist, dass ja nur Zugriffe zu Servern und Druckern realisiert werden müssen.

Ich glaube der Fehler ist, dass mich der VPN-Zugang der etxernen Geräte gestört hat. Und wenn die über VPN reinkommen, können die alles. Nicht nur Sever, sondern alle Abteilungen. Mich hat nicht gestört, dass Außendienstler in alle Abteilungen und Server können.

Ich glaube ich werden den externen Geräten einen extra VPN-Zugang und ein eigenes VLAN geben.

Mit "mehrere VPN Dienste starten" meinst Du auf einem (!) Server? Mehrere RRAS-Dienste? Geht das?
Bitte warten ..
Ähnliche Inhalte
Netzwerke
FritzBox Client-Site VPN ins VLAN
Frage von doncalleNetzwerke3 Kommentare

Hallo Community, ich habe angefangen unser Netzwerk mit VLANs zu trennen. Mit Hilfe der Tutorials von aqui ist mir ...

Microsoft

Über VPN nur bestimmt große Daten übertragen

gelöst Frage von Peter007Microsoft5 Kommentare

Hallo zusammen, gibt es eine Möglichkeit bei Außendienstmitarbeitern die über VPN angebunden sind, die übertragbare Datenmenge zum Fileserver über ...

Router & Routing

VPN Client zu VPN Client - Kein ping

gelöst Frage von neueradmuserRouter & Routing5 Kommentare

Hallo, ich habe 2 vpn Client user die sich gegenseitig anpingen wollen sprich von Stuttgart nach Frankfurt per vpn ...

Microsoft Office

Word bestimmt Sprache selbst

gelöst Frage von honeybeeMicrosoft Office1 Kommentar

Hallo, habe in Word 2016 ein nerviges Problem: Auf meinem Computer (Windows 10) sind zwei Sprachen installiert: Deutsch und ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)8 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet6 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...

Batch & Shell
Batchdatei für das Erstellen eines Unterordner bei Vorhandensein eines bestimmten Ordnernamens
Frage von KarstenPaBatch & Shell14 Kommentare

Hallo zusammen , ich suche nach einer Möglichkeit, ein freigegebenes Laufwerk nach einem bestimmten Ordnernamen ("Schriftverkehr") zu durchsuchen, und ...