gehilfe
Goto Top

VPN Benutzer das Surfen mit entfernter IP verbieten

Hallo erstmal,

ich habe ein Problem bei dem ich alleine nicht mehr weiter komme.
Auf meinem "Keller-PC" habe ich vor kurzem Windows Server 2008 Enterprise installiert (als Student einer FH habe ich es kostenlos erhalten).

Ich möchte nun entfernten Benutzern die Möglichkeit geben, sich per VPN mit meinem Netzwerk zu verbinden. Sie sollen auf Netzlaufwerke zugreifen und sich per RDP am Server anmelden können. Das funktioniert soweit auch schon alles.

Nun möchte ich aber, dass die VPN Clients bei bestehender Verbindung zu meinem Server nicht mit der IP Adresse meines Internetanschlusses im Internet herumsufen können.
Ich selber als lokal angemeldeter Benutzer (also nicht über VPN kommend) möchte aber weiterhin Zugriff auf das Internet haben.

Könnt Ihr mit bitte einen Tipp zu meinem Problem geben? "GiDF.de" konnte mir hierbei auch nicht weiterhelfen face-wink

Viele Grüße
Euer Gehilfe

Content-Key: 128457

Url: https://administrator.de/contentid/128457

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: jhinrichs
jhinrichs 02.11.2009 um 15:48:46 Uhr
Goto Top
Hallo,
dazu muss man wissen, wie die Clients/Dein Netzwerk mit dem Internet verbunden sind (über Router/Linux-Firewall/ISA-Server) und um welche Dienste es geht (wenn Du "surfen" schreibst, nehme ich mal an, es geht um das WWW, aber was ist mit POP3/SMTP etc.?)
Dann setzt Du Dich an Deine hoffentlich vorhandene Firewall und sperrst den entsprechenden Client-IPs den Zugriff auf die jeweiligen Ports.
Mitglied: Gehilfe
Gehilfe 02.11.2009 um 16:06:50 Uhr
Goto Top
Hallo jhinrichs,

erst mal vielen Dank für Deine unglaublich schnelle Antwort!

Also, mein Server ist über einen standard DSL Router mit dem Internet verbunden. Im Router habe ich ein Port-Forwarding mit dem VPN Port auf meinen Windows Server eingerichtet. Alle anderen eingehenden Ports in mein Netzwerk werden vom Router aus blockiert.

Der VPN Client (ein Kumpel von mir mit seinem Windows XP PC) wählt sich über seinen DSL Zugang per VPN Verbindung in mein Netzwerk ein. Er kann (soll er ja auch) auf einzelne Dienste meines Servers zugreifen.
Problem: Öffnet er nun seinen Browser und steuert beispielsweise die Internetseite wieistmeineip.de an, dann bekommt er dort die IP-Adresse meines Internetanschlusses angezeigt. Wäre ja eigentlich kein Proglem. Aber, wenn er versehentlich vergisst die VPN Verbindung zu beenden und surft jetzt beispielweise illegale Seiten im Netz an (was er hoffentlich nicht tun wird), dann surfe ja "ich" als Anschlussinhaber die Internetseite an.
Genau dass möchte ich unterbinden.

Die Lösung mit der Firewall klappt leider auch nicht, weil ich als lokal angemeldeter Benutzer am Server uneingeschränkten Zugriff auf alle Internetdienste haben möchte... es sei denn, man könne die Firewall über Benutzerkonten einschränken.

Hast Du vielleicht noch weitere Ideen?
Mitglied: bigzorro
bigzorro 02.11.2009 um 16:16:30 Uhr
Goto Top
in den erweiterten ip-eigenschaften der vpn-verbindung das häkchen bei "standardgateway für das remotenetzwerk verwenden" entfernen.
Mitglied: jhinrichs
jhinrichs 02.11.2009 um 16:17:54 Uhr
Goto Top
Hallo,
über Benutzerkonten ginge es, indem man statt der Firewall einen Proxyserver nimmt, an dem man sich authentifizieren muss (oder an dem man per single-sign-on über die AD-Anmeldung authentifiziert wird). Dann stellt man die Firewall so ein, dass nur der Proxyserver (der ISA ist so ein Proxy) sich über die Ports 80 und 443 mit dem Internetz verbinden darf.
Da kann man aber auch gleich in der Firewall die IP Deines Kumple-PCs sperren (das sollte die Firewall beherrschen!). Oder arbeitet er auf einer Terminalserversitzung auf Deinem Server? Dann bleibt nur die Proxy-Lösung, wobei der Proxy dann per GPO fest eingestellt werden muss, damit er nicht umgangen werden kann.
Mitglied: Gehilfe
Gehilfe 02.11.2009 um 17:36:53 Uhr
Goto Top
Die Proxylösung klingt für mich sehr sympathisch... nur kenn ich mich zu schlecht mit dem Einrichten von Proxys aus. Hast Du vielleicht einen Link zu einem HowTo parat?
Mitglied: Gehilfe
Gehilfe 02.11.2009 um 17:39:31 Uhr
Goto Top
Hallo bigzorro,

diese Lösung funktioniert auf jeden Fall! Habe es eben getestet. Problem ist nur: standardmäßig ist das Häkchen gesetzt und will ein User absichtlich mit meiner IP sufen, dann macht er einfach wieder das Häkchen hin. Muss also noch nach einer weitern Lösung suchen (u.U. wirklich über einen Proxy). Aber danke trotzdem!