45455
Goto Top

Radius eingehende IP-Adressen ausschliessen

Hallo,

seit einiger Zeit habe ich in unserem Netzwerk RADIUS für VPN-Router laufen. Radius-Server ist ein 2008 R2-Server.
Das Ganze läuft in einem Netzwerk mit 3 Standorten, die über Lan2Lan-VPN verbunden sind.

Leider lassen sich einige mobile User nicht belehren, dass es völliger Unsinn ist, sich innerhalb dieser verbundenen Standorte am Client nochmals per VPN einzuwählen. Ich möchte daher die Einwahl aus den internen Subnetzen sperren.

Jetzt habe ich aber auf Anhieb keine Möglichkeit gefunden, in den Netzwerkzugriffsrichtlinien Client-IP-Adressbereiche von der Einwahl auszuschliessen.

Kann mir da jemand mal einen Tipp geben?
Vielleicht bin ich ja einfach nur blind ...

Gruß
Kai

Content-Key: 267539

Url: https://administrator.de/contentid/267539

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: 114757
114757 26.03.2015 um 17:41:27 Uhr
Goto Top
Moin Kai,
sperr doch die VPN-Ports für den Zugriff aus deinen Subnetzen mit der Windows Firewall. In der Firewall-Regel kannst du ja die Subnetze als Quelle festlegen.

Gruß jodel32
Mitglied: aqui
aqui 26.03.2015 um 19:13:14 Uhr
Goto Top
Oder lege ganz einfach auf der Switch Infrastruktur eine Accesslliste auf die Interfaces die die VPN Ports und Source IP Adressen sperrt. So wär die Lösung Server unabhängig.
Mitglied: 45455
45455 26.03.2015 um 19:16:50 Uhr
Goto Top
Der VPN-Port liegt ja auf dem Router.

Zur Verdeutlichung:

Subnet1 - Router - - VPN - - Router - Subnet 3
Subnet2 - Router - - VPN - - /

Innerhalb jedes Subnets gibt's einen DC oder RODC mit RADIUS, der die Authentifizierung für den jeweiligen Router übernimmt.
Deren Firewall greift also nicht.
Die Firewall des Routers greift auch nicht innerhalb des VPN, daher kann ich darüber auch niemanden hindern, sich zu verbinden.

Ich sehe gerade nur die Möglichkeit über Bedingungen in den Netzwerkzugriffsrichtlinien.

Gruß
Kai
Mitglied: 45455
45455 26.03.2015 um 19:23:09 Uhr
Goto Top
OK, das wäre ne Möglichkeit. Muss ich mal checken, ob an allen Standorten die Switche mitspielen (an einem ist ein etwas älteres Modell im Einsatz).

Allerdings wäre dann auch keine Verbindung an fremde VPNs möglich. Das könnte zumindest an einem Standort ein Problem sein.
Müsste dann eher Target-IP und die Ports sein.

Gruß
kai
Mitglied: aqui
aqui 26.03.2015 um 20:19:32 Uhr
Goto Top
Solange das managebare Switches sind ist das kein Problem.
Allerdings wäre dann auch keine Verbindung an fremde VPNs möglich.
Nein das ist Unsinn, denn du filterst ja nach den Absender IP Adressen. Wenn das lokale sind die lokale Ziele haben blockst du den Traffic.
Wenn das lokale sind die externe Ziele haben laufen die ja durch durch die ACL und funktionieren !
Mitglied: 45455
45455 26.03.2015 um 20:52:54 Uhr
Goto Top
Ah, jetzt. Muss ich mir mal genauer anschauen.

Manageable sind alle Switche.

Gruß
Kai
Mitglied: aqui
aqui 26.03.2015 um 20:54:23 Uhr
Goto Top
Dann ist doch alles bestens face-wink