Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routerseitige VPN für einzelne Clients sperren

Frage Netzwerke Router & Routing

Mitglied: userdaemel

userdaemel (Level 1) - Jetzt verbinden

15.05.2009, aktualisiert 09:38 Uhr, 4586 Aufrufe, 6 Kommentare

Liebe Experten,

ich stehe vor folgender Aufgabe: Ein Außenbüro ist per VPN an den Hauptstandort (Exchange- & Terminalserver) angebunden. Der Tunnel wird von einem Netgear FVS318 (Außenbüro) aufgebaut und steht somit allen Nutzern im Außenbüro zur Verfügung.
Nun soll in diesem Büro ein weiterer PC angeschlossen werden, der Zugriff aufs Internet bieten, dies aber aus Sicherheits- und Trafficgründen nicht auf/über den VPN-Tunnel.
Kennt jemand eine Möglichkeit das mit dem vorhandenen Router zu realisieren, oder aber eine Hardware in ähnlicher Preisklasse, mit der das machbar ist?
Ergänzend sei noch angemerkt, dass diese Lösung so aussehen sollte, dass sie möglichst nicht, oder nur mit größerem Aufwand vom neuen Clientrechner umgangen werden kann. Auf allen Rechnern im Außenbüro läuft Windows XP.

Ich hoffe, alle relevanten Infos gegeben zu haben und freue mich über jede Rückfrage und Lösung,
vielen Dank bereits im Voraus.
Mitglied: maretz
15.05.2009 um 10:12 Uhr
ich hoffe mal das $aussenbüro eine Firewall hat -> und der router dahinter steht... Dann is es einfach:
$böserpc bekommt einfach ein Block beim Zugriff auf $deinHauptstandortnetzwerk.

Ggf. das ganze an die MAC binden (je nachdem ob das geht) bzw. der Sicherheit halber nur die PCs (MAC-Adressen erlauben die den VPN-Tunnel nutzen dürfen) und thema erledigt

Allerdings verstehe ich den Sinn nicht wirklich - aus "Traffic-Gründen"? Dann müsste man das gesamte Netzwerk sperren... Ansonsten hoffe ich das du in $hauptstandort einen Server hast und entsprechend dort die Auth. stattfindet... D.h. ohne User-Account kann der bei dir in $hauptstandort nicht viel machen...
Bitte warten ..
Mitglied: userdaemel
15.05.2009 um 11:24 Uhr
Hallo maretz,

Danke für die schnelle Antwort - aus der ich leider nur bedingt schlauer werde. Daher erstmal noch ein paar Infos zur Situation:
Über den Sinn & Zweck der Anforderung habe ich leider nur bedingt mitzuentscheiden, die Argumente dafür sehen in etwa so aus:
- Sicherheitsaspekt: Natürlich müssen sich Nutzer am Hauptstandort authentifizieren, indem sie bis dahin aber bereits eine wichtige (?) Sicherheitsschwelle überwunden haben wird dies kritisch gesehen. Insbesondere, da nicht auszuschliessen ist, dass an dem Clientrechner Leute unbeobachtet sitzen, die nicht vertrauenswürdig sind (soziale Einrichtung mit teilweise problematischem Klientel).
- Traffic: Wenn auf diesem Client trafficintensive Anwendungen laufen (streaming etc) geht das bisher nicht nur über die DSL-Flat des Aussenbüros (unproblematisch), sondern (via VPN) auch auf Kosten der Leitung des Hauptstandortes, der leider nur einen Volumentarif hat (problematisch).

Die 'Firewall' des Außenbüros besteht leider in dem genannten Router, also :Clients--Switch--NetgearFVS318-Internet(VPN-Tunnel)
Eine einfache Sperre des Clients würde ihn also nicht nur vom VPN-Tunnel, sondern gleich ganz vom Internetzugang abtrennen. Oder habe ich da was missverstanden?
LG.
Bitte warten ..
Mitglied: maretz
15.05.2009 um 12:04 Uhr
Moin,

also grade bei "problemmatischen Klientel" würde ich doch die Firewall etwas komplexer machen - und einen zwangsproxy vorschreiben! Denn nur so kann man verhindern das die dort irgendwelchen Müll machen...

Hier kann man sich nen kleinen Linux-Rechner mit Squid & IPTables nehmen - und schon hat man auch gleich die möglichen Filter-Optionen...
Bitte warten ..
Mitglied: Arch-Stanton
15.05.2009 um 12:05 Uhr
Es sollte doch ohne Probleme so einzustellen sein, daß nur der interne Netzwerkverkehr, also der Zugriff auf den Hauptstandort, über die VPN-Strecke läuft. Den Internetzugriff sollte man aus Performancegründen immer über den lokalen DSL-Anschluß führen. Dafür muß das Routing um die Route in das Subnetz des Hauptstandortes ergänzt werden.
Bitte warten ..
Mitglied: userdaemel
20.05.2009 um 22:46 Uhr
Danke für die Anregungen.
Ich werde es in der nächsten Zeit mit einem (homeuser-) Router versuchen, den ich zwischen Modem und Netgear schalte und an den dann die 'unsicheren' Clients gebunden werden. Falls jemand weiß, dass das nicht funktioniert, wäre ich natürlich für einen entsprechenden Hinweis dankbar...
Wenn es klappt, werde ich den Beitrag als gelöst markieren, wenn nicht bei Gelegenheit weiter berichten.
Einen lieben Dank an alle Mitleser und -schreiber.
Bitte warten ..
Mitglied: userdaemel
13.06.2009 um 15:48 Uhr
Ein paar abschliessende Worte zu diesem Beitrag:
'habe das Ganze inzwischen so angeschlossen, wie in obigem Beitrag beschrieben und es klappt halbwegs. D.h. der NetgearRouter kann eine VPN zur Zentrale aufbauen, die der kleine Router 'durchleitet'. Da dieser kleine Router einen anderen IP-Bereich hat sind die an ihm angeschlossenen 'unsicheren' Clients von dieser Verbindung ebenso abgekapselt wie von den Dateifreigaben der Bürorechner untereinander.
Der Traffic des Routers läuft inzwischen nur noch dann über die VPn, wenn das auch notwendig ist.
Diese Lösung scheint mir zwar sehr sicher zu sein, hat aber einen Haken: Die VPN (2-Phasen IPsek) lässt sich nun ausschliesslich von der Aussenstelle aus aufbauen und nicht mehr von der Zentrale.Bleibt erstmal so, aber langfristig scheint mir kein Weg an teurerer Hardware vorbeizuführen.
Bitte warten ..
Ähnliche Inhalte
JavaScript
Einzelne Formularfelder in PDF sperren
gelöst Frage von Casiopaya80JavaScript6 Kommentare

Hallo, ich habe ein PDF Formular gebaut (Acrobat XI Pro, Version 11.0.07.79) und dieses Formular muss 2 verschiedenen Kollegen ...

Windows 7
Zugangsdaten für VPN sperren
gelöst Frage von blue0711Windows 78 Kommentare

Hallo, für ein paar Laptops, die wechselnd von Usern außerhalb des Netzwerks verwendet werden, haben wir VPN-Zugangsdaten für alle ...

Router & Routing
VPN Client zu VPN Client - Kein ping
gelöst Frage von neueradmuserRouter & Routing5 Kommentare

Hallo, ich habe 2 vpn Client user die sich gegenseitig anpingen wollen sprich von Stuttgart nach Frankfurt per vpn ...

Monitoring
Netzwerktraffic im Netzwerk den einzelnen Clienten zuordnen ?
Frage von schnuepelMonitoring2 Kommentare

Hallo, Ich würde gerne mein Netzwerk so analysieren, dass ich auf einen Blick folgende Sachen sehen kann, 1.IP-Adresse des ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 5 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 18 StundenMac OS X3 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 1 TagDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell25 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1019 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...