VPN - NPS allow routing of specific ip addresses

celiko
Goto Top
Hallo liebe Community,

wir haben vor kurzem den AlwaysOnVPN von Windows in unsere Infrastruktur implementiert und alles funktioniert genau so, wie wir wollen.

Jetzt wollen wir die gleiche Lösung für externe Benutzer nutzen, die sich über PEAP MS-CHAP-v2 bei uns authentifizieren können, um auf unsere Ressourcen zuzugreifen.
Die Grundstruktur sitzt und alles funktioniert auch.

Jetzt die Frage, ob man beim Network Policy Server den Zugriff auf nur bestimmte IP-Adressen gewähren kann statt auf ganze Netzwerke.

Infos:
Die Clients erhalten ein VPN Profil, das auf alle notwendigen Netzwerke zugreifen können (das haben wir so gestaltet, damit wir Änderungen in unserer Infrastruktur vornehmen können ohne, dass die Clients ein neues VPN Profil installieren müssen).
Der NPS oder eine andere Instanz soll die Verbindungsanfragen auf ganz bestimmte IP-Adresse mit Ports zulassen und nicht auf ganze Netzwerke.

Vielleicht hat hier der ein oder andere eine Lösung dafür?

Vielen Dank im Voraus face-smile
VG Celiko

Content-Key: 666486

Url: https://administrator.de/contentid/666486

Ausgedruckt am: 11.08.2022 um 06:08 Uhr

Mitglied: 148121
Lösung 148121 06.05.2021 aktualisiert um 16:23:59 Uhr
Goto Top
Moin
Erstelle doch einfach Firewall Regeln die das Subnetz/VLAN der Road-Warrior nur auf bestimmte IPs zugreifen lässt.
Wie bei euch die Netzstruktur aufgebaut ist kennen wir ja nicht, aber in der Regel weist man solchen Clients ja ein separates Subnetz/VLAN zu dessen ACLs man dann auf der Firewall entsprechend einfach setzen kann.
Also nach First Match Wins manier
Source: Roadwarrior Subnetz =>Target: Server XYZ Produktivnetz => ALLOW
Source: Roadwarrior Subnetz =>Target: * => DROP


Da fehlen dazwischen natürlich noch essentielle Dinge wie DNS-Zugriff etc. die du ja den Clients wohl auch erlauben wirst.

Gruß
Mitglied: Celiko
Celiko 06.05.2021 um 16:26:06 Uhr
Goto Top
Hallo warranty,

eine Lösung über NPS o.Ä. wäre schön aber klar, über die Firewall kann man das auch direkt filtrieren und eingrenzen.

Ich werde mal die Firewall und die VPN-Konfiguration entsprechend anpassen und externe über ein separates Netzwerk verbinden lassen face-smile

Vielen Dank!

VG Celiko
Mitglied: 148121
Lösung 148121 06.05.2021 aktualisiert um 16:31:45 Uhr
Goto Top
Zitat von @Celiko:
eine Lösung über NPS o.Ä. wäre schön aber klar, über die Firewall kann man das auch direkt filtrieren und eingrenzen.
Also mir wäre eine zentrale Stelle lieber an der ich solche Netzwerk-Zugriffs-Policies regele, sonst sucht man sich wenn's drauf ankommt hinterher noch nen Wolf wo man das eingeschränkt hat face-smile, außer man hat schön braf dokumentiert face-wink.

Ich werde mal die Firewall und die VPN-Konfiguration entsprechend anpassen und externe über ein separates Netzwerk verbinden lassen face-smile
Besser is das.
Vielen Dank!
Bidde bidde face-smile

G. w.