Windows LAN o. Netzwerkkarte nur aktivieren bei bestimmten Subnetzen o. IP-Bereichen ? RADIUS ?
Hallo,
aktuell erlaube ich den Rechnern im Netzwerk (Widows XP und Windows 7) den Zugriff über einfache MAC Authorisierung am RADIUS (freeradius2 auf pfsense).
Je nach MAC Adresse werden die Clients in das entsprechende VLAN gehoben. Kennt der RADIUS die MAC Adresse nicht, dann hebt der Switch die Clients in ein sogenanntes Gastnetzwerk.
Das Ganze funktioniert wie gewünscht.
Alle Rechner befinden sich NICHT in einer Domäne, das heisst, ich habe keine Möglichkeit über GPOs etwas zu ändern und zu konfigurieren.
Meine Frage lautet:
Wie kann ich mit Windows XP/7 und/oder RADIUS gewähren, dass diese Clients nur eine Netzwerkverbindung aufbauen können, wenn diese sich an meinem Netzwerk befinden?
Bsp: Mein Netzwerk hat diverse Subnetze/VLANs aus dem Bereich 172.17.0.0/16
Nimmt nun jemand sein Gerät zu Hause am Netzwerk in Betrieb (Bsp: 192.168.1.0/24) dann möchte ich, dass der Zugriff nicht möglich ist.
Gibt es hierfür eine Lösung die ihr mir empfehlen könnt ?
Als AntiVirus Lösung nutze ich Kaspersky Workstation (läuft aus und die Nachfolgeversion lautet wohl Endpoint Security 8) - kann ich eventuell hierrüber Subnetze definieren, an denen der Zugriff erlaubt ist und sonstigen Verkehr blocken ?
Den Kaspersky Administration Server habe ich mir nur kurz angeschaut, aber noch nicht implementiert. Wäre es hiermit möglich, die Zugriffe zu steuern und vor allem Veränderungen durch den Anwender mittels Passwort zu verhindern ? (Kaspersky Konfiguration vor Veränderungen mit Passwort schützen - gibt es glaube ich als Option)?
Ich finde zu dieser Problematik gerade keine Lösung, auch fehlen mir Stichworte und Techniken, in die ich mich einlesen könnte. Ich hoffe deswegen, dass ihr mich unterstützen könnt, mir Ratschläge geben und/oder eventuell praktikable Alternativen anbieten könnt
Vielen Dank im Voraus!
aktuell erlaube ich den Rechnern im Netzwerk (Widows XP und Windows 7) den Zugriff über einfache MAC Authorisierung am RADIUS (freeradius2 auf pfsense).
Je nach MAC Adresse werden die Clients in das entsprechende VLAN gehoben. Kennt der RADIUS die MAC Adresse nicht, dann hebt der Switch die Clients in ein sogenanntes Gastnetzwerk.
Das Ganze funktioniert wie gewünscht.
Alle Rechner befinden sich NICHT in einer Domäne, das heisst, ich habe keine Möglichkeit über GPOs etwas zu ändern und zu konfigurieren.
Meine Frage lautet:
Wie kann ich mit Windows XP/7 und/oder RADIUS gewähren, dass diese Clients nur eine Netzwerkverbindung aufbauen können, wenn diese sich an meinem Netzwerk befinden?
Bsp: Mein Netzwerk hat diverse Subnetze/VLANs aus dem Bereich 172.17.0.0/16
Nimmt nun jemand sein Gerät zu Hause am Netzwerk in Betrieb (Bsp: 192.168.1.0/24) dann möchte ich, dass der Zugriff nicht möglich ist.
Gibt es hierfür eine Lösung die ihr mir empfehlen könnt ?
Als AntiVirus Lösung nutze ich Kaspersky Workstation (läuft aus und die Nachfolgeversion lautet wohl Endpoint Security 8) - kann ich eventuell hierrüber Subnetze definieren, an denen der Zugriff erlaubt ist und sonstigen Verkehr blocken ?
Den Kaspersky Administration Server habe ich mir nur kurz angeschaut, aber noch nicht implementiert. Wäre es hiermit möglich, die Zugriffe zu steuern und vor allem Veränderungen durch den Anwender mittels Passwort zu verhindern ? (Kaspersky Konfiguration vor Veränderungen mit Passwort schützen - gibt es glaube ich als Option)?
Ich finde zu dieser Problematik gerade keine Lösung, auch fehlen mir Stichworte und Techniken, in die ich mich einlesen könnte. Ich hoffe deswegen, dass ihr mich unterstützen könnt, mir Ratschläge geben und/oder eventuell praktikable Alternativen anbieten könnt
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197294
Url: https://administrator.de/forum/windows-lan-o-netzwerkkarte-nur-aktivieren-bei-bestimmten-subnetzen-o-ip-bereichen-radius-197294.html
Ausgedruckt am: 24.12.2024 um 06:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
habe die Clients bei Dir im Firmen LAN statische Adressen? Ansonsten wird es etwas schwer festzustellen, ob der Rechner in einem anderen Netzwerk war.
Was Du z.B. machen könnest, wäre via Firewall alle priv. Netze außer die Firmennetze zu verbieten, aber auch dies kann umgangen werden, wenn jemand ein entsprechenden IP-Kreis zu hause hat.
Gruß
habe die Clients bei Dir im Firmen LAN statische Adressen? Ansonsten wird es etwas schwer festzustellen, ob der Rechner in einem anderen Netzwerk war.
Was Du z.B. machen könnest, wäre via Firewall alle priv. Netze außer die Firmennetze zu verbieten, aber auch dies kann umgangen werden, wenn jemand ein entsprechenden IP-Kreis zu hause hat.
Gruß
Hallo,
also wir machen das folgendermaßen bei uns der Firma:
Auf den Clients ist ein VPN Client installiert, der eine Firewall integriert hat. Diese erlaubt lediglich den Traffic zu userem VPN Gateway und den Traffic in unserem LAN. Diese Firewall wird bei jeder einwahl aktuallisiert und der Anwender hat keine Möglichkeit diese abzuschalten. Auch nicht als Administrator
--> Checkpoint SecuRemote/SecureClient
also wir machen das folgendermaßen bei uns der Firma:
Auf den Clients ist ein VPN Client installiert, der eine Firewall integriert hat. Diese erlaubt lediglich den Traffic zu userem VPN Gateway und den Traffic in unserem LAN. Diese Firewall wird bei jeder einwahl aktuallisiert und der Anwender hat keine Möglichkeit diese abzuschalten. Auch nicht als Administrator
--> Checkpoint SecuRemote/SecureClient