3
VPN - NPS allow routing of specific ip addresses
Hallo liebe Community,
wir haben vor kurzem den AlwaysOnVPN von Windows in unsere Infrastruktur implementiert und alles funktioniert genau so, wie wir wollen.
Jetzt wollen wir die gleiche Lösung für externe Benutzer nutzen, die sich über PEAP MS-CHAP-v2 bei uns authentifizieren können, um auf unsere Ressourcen zuzugreifen.
Die Grundstruktur sitzt und alles funktioniert auch.
Jetzt die Frage, ob man beim Network Policy Server den Zugriff auf nur bestimmte IP-Adressen gewähren kann statt auf ganze Netzwerke.
Infos:
Die Clients erhalten ein VPN Profil, das auf alle notwendigen Netzwerke zugreifen können (das haben wir so gestaltet, damit wir Änderungen in unserer Infrastruktur vornehmen können ohne, dass die Clients ein neues VPN Profil installieren müssen).
Der NPS oder eine andere Instanz soll die Verbindungsanfragen auf ganz bestimmte IP-Adresse mit Ports zulassen und nicht auf ganze Netzwerke.
Vielleicht hat hier der ein oder andere eine Lösung dafür?
Vielen Dank im Voraus
VG Celiko
wir haben vor kurzem den AlwaysOnVPN von Windows in unsere Infrastruktur implementiert und alles funktioniert genau so, wie wir wollen.
Jetzt wollen wir die gleiche Lösung für externe Benutzer nutzen, die sich über PEAP MS-CHAP-v2 bei uns authentifizieren können, um auf unsere Ressourcen zuzugreifen.
Die Grundstruktur sitzt und alles funktioniert auch.
Jetzt die Frage, ob man beim Network Policy Server den Zugriff auf nur bestimmte IP-Adressen gewähren kann statt auf ganze Netzwerke.
Infos:
Die Clients erhalten ein VPN Profil, das auf alle notwendigen Netzwerke zugreifen können (das haben wir so gestaltet, damit wir Änderungen in unserer Infrastruktur vornehmen können ohne, dass die Clients ein neues VPN Profil installieren müssen).
Der NPS oder eine andere Instanz soll die Verbindungsanfragen auf ganz bestimmte IP-Adresse mit Ports zulassen und nicht auf ganze Netzwerke.
Vielleicht hat hier der ein oder andere eine Lösung dafür?
Vielen Dank im Voraus
VG Celiko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666486
Url: https://administrator.de/contentid/666486
Printed on: April 20, 2024 at 00:04 o'clock
3 Comments
Latest comment
Moin
Erstelle doch einfach Firewall Regeln die das Subnetz/VLAN der Road-Warrior nur auf bestimmte IPs zugreifen lässt.
Wie bei euch die Netzstruktur aufgebaut ist kennen wir ja nicht, aber in der Regel weist man solchen Clients ja ein separates Subnetz/VLAN zu dessen ACLs man dann auf der Firewall entsprechend einfach setzen kann.
Also nach First Match Wins manier
Da fehlen dazwischen natürlich noch essentielle Dinge wie DNS-Zugriff etc. die du ja den Clients wohl auch erlauben wirst.
Gruß
Erstelle doch einfach Firewall Regeln die das Subnetz/VLAN der Road-Warrior nur auf bestimmte IPs zugreifen lässt.
Wie bei euch die Netzstruktur aufgebaut ist kennen wir ja nicht, aber in der Regel weist man solchen Clients ja ein separates Subnetz/VLAN zu dessen ACLs man dann auf der Firewall entsprechend einfach setzen kann.
Also nach First Match Wins manier
Source: Roadwarrior Subnetz =>Target: Server XYZ Produktivnetz => ALLOWSource: Roadwarrior Subnetz =>Target: * => DROPDa fehlen dazwischen natürlich noch essentielle Dinge wie DNS-Zugriff etc. die du ja den Clients wohl auch erlauben wirst.
Gruß
Hallo warranty,
eine Lösung über NPS o.Ä. wäre schön aber klar, über die Firewall kann man das auch direkt filtrieren und eingrenzen.
Ich werde mal die Firewall und die VPN-Konfiguration entsprechend anpassen und externe über ein separates Netzwerk verbinden lassen
Vielen Dank!
VG Celiko
eine Lösung über NPS o.Ä. wäre schön aber klar, über die Firewall kann man das auch direkt filtrieren und eingrenzen.
Ich werde mal die Firewall und die VPN-Konfiguration entsprechend anpassen und externe über ein separates Netzwerk verbinden lassen
Vielen Dank!
VG Celiko
Zitat von @Celiko:
eine Lösung über NPS o.Ä. wäre schön aber klar, über die Firewall kann man das auch direkt filtrieren und eingrenzen.
Also mir wäre eine zentrale Stelle lieber an der ich solche Netzwerk-Zugriffs-Policies regele, sonst sucht man sich wenn's drauf ankommt hinterher noch nen Wolf wo man das eingeschränkt hat eine Lösung über NPS o.Ä. wäre schön aber klar, über die Firewall kann man das auch direkt filtrieren und eingrenzen.
, außer man hat schön braf dokumentiert 
.Ich werde mal die Firewall und die VPN-Konfiguration entsprechend anpassen und externe über ein separates Netzwerk verbinden lassen
Besser is das.Vielen Dank!
Bidde bidde G. w.
