Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routerseitige VPN für einzelne Clients sperren

Frage Netzwerke Router & Routing

Mitglied: userdaemel

userdaemel (Level 1) - Jetzt verbinden

15.05.2009, aktualisiert 09:38 Uhr, 4550 Aufrufe, 6 Kommentare

Liebe Experten,

ich stehe vor folgender Aufgabe: Ein Außenbüro ist per VPN an den Hauptstandort (Exchange- & Terminalserver) angebunden. Der Tunnel wird von einem Netgear FVS318 (Außenbüro) aufgebaut und steht somit allen Nutzern im Außenbüro zur Verfügung.
Nun soll in diesem Büro ein weiterer PC angeschlossen werden, der Zugriff aufs Internet bieten, dies aber aus Sicherheits- und Trafficgründen nicht auf/über den VPN-Tunnel.
Kennt jemand eine Möglichkeit das mit dem vorhandenen Router zu realisieren, oder aber eine Hardware in ähnlicher Preisklasse, mit der das machbar ist?
Ergänzend sei noch angemerkt, dass diese Lösung so aussehen sollte, dass sie möglichst nicht, oder nur mit größerem Aufwand vom neuen Clientrechner umgangen werden kann. Auf allen Rechnern im Außenbüro läuft Windows XP.

Ich hoffe, alle relevanten Infos gegeben zu haben und freue mich über jede Rückfrage und Lösung,
vielen Dank bereits im Voraus.
Mitglied: maretz
15.05.2009 um 10:12 Uhr
ich hoffe mal das $aussenbüro eine Firewall hat -> und der router dahinter steht... Dann is es einfach:
$böserpc bekommt einfach ein Block beim Zugriff auf $deinHauptstandortnetzwerk.

Ggf. das ganze an die MAC binden (je nachdem ob das geht) bzw. der Sicherheit halber nur die PCs (MAC-Adressen erlauben die den VPN-Tunnel nutzen dürfen) und thema erledigt

Allerdings verstehe ich den Sinn nicht wirklich - aus "Traffic-Gründen"? Dann müsste man das gesamte Netzwerk sperren... Ansonsten hoffe ich das du in $hauptstandort einen Server hast und entsprechend dort die Auth. stattfindet... D.h. ohne User-Account kann der bei dir in $hauptstandort nicht viel machen...
Bitte warten ..
Mitglied: userdaemel
15.05.2009 um 11:24 Uhr
Hallo maretz,

Danke für die schnelle Antwort - aus der ich leider nur bedingt schlauer werde. Daher erstmal noch ein paar Infos zur Situation:
Über den Sinn & Zweck der Anforderung habe ich leider nur bedingt mitzuentscheiden, die Argumente dafür sehen in etwa so aus:
- Sicherheitsaspekt: Natürlich müssen sich Nutzer am Hauptstandort authentifizieren, indem sie bis dahin aber bereits eine wichtige (?) Sicherheitsschwelle überwunden haben wird dies kritisch gesehen. Insbesondere, da nicht auszuschliessen ist, dass an dem Clientrechner Leute unbeobachtet sitzen, die nicht vertrauenswürdig sind (soziale Einrichtung mit teilweise problematischem Klientel).
- Traffic: Wenn auf diesem Client trafficintensive Anwendungen laufen (streaming etc) geht das bisher nicht nur über die DSL-Flat des Aussenbüros (unproblematisch), sondern (via VPN) auch auf Kosten der Leitung des Hauptstandortes, der leider nur einen Volumentarif hat (problematisch).

Die 'Firewall' des Außenbüros besteht leider in dem genannten Router, also :Clients--Switch--NetgearFVS318-Internet(VPN-Tunnel)
Eine einfache Sperre des Clients würde ihn also nicht nur vom VPN-Tunnel, sondern gleich ganz vom Internetzugang abtrennen. Oder habe ich da was missverstanden?
LG.
Bitte warten ..
Mitglied: maretz
15.05.2009 um 12:04 Uhr
Moin,

also grade bei "problemmatischen Klientel" würde ich doch die Firewall etwas komplexer machen - und einen zwangsproxy vorschreiben! Denn nur so kann man verhindern das die dort irgendwelchen Müll machen...

Hier kann man sich nen kleinen Linux-Rechner mit Squid & IPTables nehmen - und schon hat man auch gleich die möglichen Filter-Optionen...
Bitte warten ..
Mitglied: Arch-Stanton
15.05.2009 um 12:05 Uhr
Es sollte doch ohne Probleme so einzustellen sein, daß nur der interne Netzwerkverkehr, also der Zugriff auf den Hauptstandort, über die VPN-Strecke läuft. Den Internetzugriff sollte man aus Performancegründen immer über den lokalen DSL-Anschluß führen. Dafür muß das Routing um die Route in das Subnetz des Hauptstandortes ergänzt werden.
Bitte warten ..
Mitglied: userdaemel
20.05.2009 um 22:46 Uhr
Danke für die Anregungen.
Ich werde es in der nächsten Zeit mit einem (homeuser-) Router versuchen, den ich zwischen Modem und Netgear schalte und an den dann die 'unsicheren' Clients gebunden werden. Falls jemand weiß, dass das nicht funktioniert, wäre ich natürlich für einen entsprechenden Hinweis dankbar...
Wenn es klappt, werde ich den Beitrag als gelöst markieren, wenn nicht bei Gelegenheit weiter berichten.
Einen lieben Dank an alle Mitleser und -schreiber.
Bitte warten ..
Mitglied: userdaemel
13.06.2009 um 15:48 Uhr
Ein paar abschliessende Worte zu diesem Beitrag:
'habe das Ganze inzwischen so angeschlossen, wie in obigem Beitrag beschrieben und es klappt halbwegs. D.h. der NetgearRouter kann eine VPN zur Zentrale aufbauen, die der kleine Router 'durchleitet'. Da dieser kleine Router einen anderen IP-Bereich hat sind die an ihm angeschlossenen 'unsicheren' Clients von dieser Verbindung ebenso abgekapselt wie von den Dateifreigaben der Bürorechner untereinander.
Der Traffic des Routers läuft inzwischen nur noch dann über die VPn, wenn das auch notwendig ist.
Diese Lösung scheint mir zwar sehr sicher zu sein, hat aber einen Haken: Die VPN (2-Phasen IPsek) lässt sich nun ausschliesslich von der Aussenstelle aus aufbauen und nicht mehr von der Zentrale.Bleibt erstmal so, aber langfristig scheint mir kein Weg an teurerer Hardware vorbeizuführen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490 (3)

Frage von Samuel113 zum Thema Router & Routing ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...