6
Routerseitige VPN für einzelne Clients sperren
Liebe Experten,
ich stehe vor folgender Aufgabe: Ein Außenbüro ist per VPN an den Hauptstandort (Exchange- & Terminalserver) angebunden. Der Tunnel wird von einem Netgear FVS318 (Außenbüro) aufgebaut und steht somit allen Nutzern im Außenbüro zur Verfügung.
Nun soll in diesem Büro ein weiterer PC angeschlossen werden, der Zugriff aufs Internet bieten, dies aber aus Sicherheits- und Trafficgründen nicht auf/über den VPN-Tunnel.
Kennt jemand eine Möglichkeit das mit dem vorhandenen Router zu realisieren, oder aber eine Hardware in ähnlicher Preisklasse, mit der das machbar ist?
Ergänzend sei noch angemerkt, dass diese Lösung so aussehen sollte, dass sie möglichst nicht, oder nur mit größerem Aufwand vom neuen Clientrechner umgangen werden kann. Auf allen Rechnern im Außenbüro läuft Windows XP.
Ich hoffe, alle relevanten Infos gegeben zu haben und freue mich über jede Rückfrage und Lösung,
vielen Dank bereits im Voraus.
Nun soll in diesem Büro ein weiterer PC angeschlossen werden, der Zugriff aufs Internet bieten, dies aber aus Sicherheits- und Trafficgründen nicht auf/über den VPN-Tunnel.
Kennt jemand eine Möglichkeit das mit dem vorhandenen Router zu realisieren, oder aber eine Hardware in ähnlicher Preisklasse, mit der das machbar ist?
Ergänzend sei noch angemerkt, dass diese Lösung so aussehen sollte, dass sie möglichst nicht, oder nur mit größerem Aufwand vom neuen Clientrechner umgangen werden kann. Auf allen Rechnern im Außenbüro läuft Windows XP.
Ich hoffe, alle relevanten Infos gegeben zu haben und freue mich über jede Rückfrage und Lösung,
vielen Dank bereits im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116135
Url: https://administrator.de/contentid/116135
Printed on: April 25, 2024 at 22:04 o'clock
6 Comments
Latest comment
ich hoffe mal das $aussenbüro eine Firewall hat -> und der router dahinter steht... Dann is es einfach:
$böserpc bekommt einfach ein Block beim Zugriff auf $deinHauptstandortnetzwerk.
Ggf. das ganze an die MAC binden (je nachdem ob das geht) bzw. der Sicherheit halber nur die PCs (MAC-Adressen erlauben die den VPN-Tunnel nutzen dürfen) und thema erledigt
Allerdings verstehe ich den Sinn nicht wirklich - aus "Traffic-Gründen"? Dann müsste man das gesamte Netzwerk sperren... Ansonsten hoffe ich das du in $hauptstandort einen Server hast und entsprechend dort die Auth. stattfindet... D.h. ohne User-Account kann der bei dir in $hauptstandort nicht viel machen...
$böserpc bekommt einfach ein Block beim Zugriff auf $deinHauptstandortnetzwerk.
Ggf. das ganze an die MAC binden (je nachdem ob das geht) bzw. der Sicherheit halber nur die PCs (MAC-Adressen erlauben die den VPN-Tunnel nutzen dürfen) und thema erledigt
Allerdings verstehe ich den Sinn nicht wirklich - aus "Traffic-Gründen"? Dann müsste man das gesamte Netzwerk sperren... Ansonsten hoffe ich das du in $hauptstandort einen Server hast und entsprechend dort die Auth. stattfindet... D.h. ohne User-Account kann der bei dir in $hauptstandort nicht viel machen...
Hallo maretz,
Danke für die schnelle Antwort - aus der ich leider nur bedingt schlauer werde. Daher erstmal noch ein paar Infos zur Situation:
Über den Sinn & Zweck der Anforderung habe ich leider nur bedingt mitzuentscheiden, die Argumente dafür sehen in etwa so aus:
- Sicherheitsaspekt: Natürlich müssen sich Nutzer am Hauptstandort authentifizieren, indem sie bis dahin aber bereits eine wichtige (?) Sicherheitsschwelle überwunden haben wird dies kritisch gesehen. Insbesondere, da nicht auszuschliessen ist, dass an dem Clientrechner Leute unbeobachtet sitzen, die nicht vertrauenswürdig sind (soziale Einrichtung mit teilweise problematischem Klientel).
- Traffic: Wenn auf diesem Client trafficintensive Anwendungen laufen (streaming etc) geht das bisher nicht nur über die DSL-Flat des Aussenbüros (unproblematisch), sondern (via VPN) auch auf Kosten der Leitung des Hauptstandortes, der leider nur einen Volumentarif hat (problematisch).
Die 'Firewall' des Außenbüros besteht leider in dem genannten Router, also :Clients--Switch--NetgearFVS318-Internet(VPN-Tunnel)
Eine einfache Sperre des Clients würde ihn also nicht nur vom VPN-Tunnel, sondern gleich ganz vom Internetzugang abtrennen. Oder habe ich da was missverstanden?
LG.
Danke für die schnelle Antwort - aus der ich leider nur bedingt schlauer werde. Daher erstmal noch ein paar Infos zur Situation:
Über den Sinn & Zweck der Anforderung habe ich leider nur bedingt mitzuentscheiden, die Argumente dafür sehen in etwa so aus:
- Sicherheitsaspekt: Natürlich müssen sich Nutzer am Hauptstandort authentifizieren, indem sie bis dahin aber bereits eine wichtige (?) Sicherheitsschwelle überwunden haben wird dies kritisch gesehen. Insbesondere, da nicht auszuschliessen ist, dass an dem Clientrechner Leute unbeobachtet sitzen, die nicht vertrauenswürdig sind (soziale Einrichtung mit teilweise problematischem Klientel).
- Traffic: Wenn auf diesem Client trafficintensive Anwendungen laufen (streaming etc) geht das bisher nicht nur über die DSL-Flat des Aussenbüros (unproblematisch), sondern (via VPN) auch auf Kosten der Leitung des Hauptstandortes, der leider nur einen Volumentarif hat (problematisch).
Die 'Firewall' des Außenbüros besteht leider in dem genannten Router, also :Clients--Switch--NetgearFVS318-Internet(VPN-Tunnel)
Eine einfache Sperre des Clients würde ihn also nicht nur vom VPN-Tunnel, sondern gleich ganz vom Internetzugang abtrennen. Oder habe ich da was missverstanden?
LG.
Moin,
also grade bei "problemmatischen Klientel" würde ich doch die Firewall etwas komplexer machen - und einen zwangsproxy vorschreiben! Denn nur so kann man verhindern das die dort irgendwelchen Müll machen...
Hier kann man sich nen kleinen Linux-Rechner mit Squid & IPTables nehmen - und schon hat man auch gleich die möglichen Filter-Optionen...
also grade bei "problemmatischen Klientel" würde ich doch die Firewall etwas komplexer machen - und einen zwangsproxy vorschreiben! Denn nur so kann man verhindern das die dort irgendwelchen Müll machen...
Hier kann man sich nen kleinen Linux-Rechner mit Squid & IPTables nehmen - und schon hat man auch gleich die möglichen Filter-Optionen...
Es sollte doch ohne Probleme so einzustellen sein, daß nur der interne Netzwerkverkehr, also der Zugriff auf den Hauptstandort, über die VPN-Strecke läuft. Den Internetzugriff sollte man aus Performancegründen immer über den lokalen DSL-Anschluß führen. Dafür muß das Routing um die Route in das Subnetz des Hauptstandortes ergänzt werden.
Danke für die Anregungen.
Ich werde es in der nächsten Zeit mit einem (homeuser-) Router versuchen, den ich zwischen Modem und Netgear schalte und an den dann die 'unsicheren' Clients gebunden werden. Falls jemand weiß, dass das nicht funktioniert, wäre ich natürlich für einen entsprechenden Hinweis dankbar...
Wenn es klappt, werde ich den Beitrag als gelöst markieren, wenn nicht bei Gelegenheit weiter berichten.
Einen lieben Dank an alle Mitleser und -schreiber.
Ich werde es in der nächsten Zeit mit einem (homeuser-) Router versuchen, den ich zwischen Modem und Netgear schalte und an den dann die 'unsicheren' Clients gebunden werden. Falls jemand weiß, dass das nicht funktioniert, wäre ich natürlich für einen entsprechenden Hinweis dankbar...
Wenn es klappt, werde ich den Beitrag als gelöst markieren, wenn nicht bei Gelegenheit weiter berichten.
Einen lieben Dank an alle Mitleser und -schreiber.
Ein paar abschliessende Worte zu diesem Beitrag:
'habe das Ganze inzwischen so angeschlossen, wie in obigem Beitrag beschrieben und es klappt halbwegs. D.h. der NetgearRouter kann eine VPN zur Zentrale aufbauen, die der kleine Router 'durchleitet'. Da dieser kleine Router einen anderen IP-Bereich hat sind die an ihm angeschlossenen 'unsicheren' Clients von dieser Verbindung ebenso abgekapselt wie von den Dateifreigaben der Bürorechner untereinander.
Der Traffic des Routers läuft inzwischen nur noch dann über die VPn, wenn das auch notwendig ist.
Diese Lösung scheint mir zwar sehr sicher zu sein, hat aber einen Haken: Die VPN (2-Phasen IPsek) lässt sich nun ausschliesslich von der Aussenstelle aus aufbauen und nicht mehr von der Zentrale.Bleibt erstmal so, aber langfristig scheint mir kein Weg an teurerer Hardware vorbeizuführen.
'habe das Ganze inzwischen so angeschlossen, wie in obigem Beitrag beschrieben und es klappt halbwegs. D.h. der NetgearRouter kann eine VPN zur Zentrale aufbauen, die der kleine Router 'durchleitet'. Da dieser kleine Router einen anderen IP-Bereich hat sind die an ihm angeschlossenen 'unsicheren' Clients von dieser Verbindung ebenso abgekapselt wie von den Dateifreigaben der Bürorechner untereinander.
Der Traffic des Routers läuft inzwischen nur noch dann über die VPn, wenn das auch notwendig ist.
Diese Lösung scheint mir zwar sehr sicher zu sein, hat aber einen Haken: Die VPN (2-Phasen IPsek) lässt sich nun ausschliesslich von der Aussenstelle aus aufbauen und nicht mehr von der Zentrale.Bleibt erstmal so, aber langfristig scheint mir kein Weg an teurerer Hardware vorbeizuführen.
