Routerseitige VPN für einzelne Clients sperren
Liebe Experten,
ich stehe vor folgender Aufgabe: Ein Außenbüro ist per VPN an den Hauptstandort (Exchange- & Terminalserver) angebunden. Der Tunnel wird von einem Netgear FVS318 (Außenbüro) aufgebaut und steht somit allen Nutzern im Außenbüro zur Verfügung.
Nun soll in diesem Büro ein weiterer PC angeschlossen werden, der Zugriff aufs Internet bieten, dies aber aus Sicherheits- und Trafficgründen nicht auf/über den VPN-Tunnel.
Kennt jemand eine Möglichkeit das mit dem vorhandenen Router zu realisieren, oder aber eine Hardware in ähnlicher Preisklasse, mit der das machbar ist?
Ergänzend sei noch angemerkt, dass diese Lösung so aussehen sollte, dass sie möglichst nicht, oder nur mit größerem Aufwand vom neuen Clientrechner umgangen werden kann. Auf allen Rechnern im Außenbüro läuft Windows XP.
Ich hoffe, alle relevanten Infos gegeben zu haben und freue mich über jede Rückfrage und Lösung,
vielen Dank bereits im Voraus.
Nun soll in diesem Büro ein weiterer PC angeschlossen werden, der Zugriff aufs Internet bieten, dies aber aus Sicherheits- und Trafficgründen nicht auf/über den VPN-Tunnel.
Kennt jemand eine Möglichkeit das mit dem vorhandenen Router zu realisieren, oder aber eine Hardware in ähnlicher Preisklasse, mit der das machbar ist?
Ergänzend sei noch angemerkt, dass diese Lösung so aussehen sollte, dass sie möglichst nicht, oder nur mit größerem Aufwand vom neuen Clientrechner umgangen werden kann. Auf allen Rechnern im Außenbüro läuft Windows XP.
Ich hoffe, alle relevanten Infos gegeben zu haben und freue mich über jede Rückfrage und Lösung,
vielen Dank bereits im Voraus.
Please also mark the comments that contributed to the solution of the article
Content-Key: 116135
Url: https://administrator.de/contentid/116135
Printed on: April 25, 2024 at 22:04 o'clock
6 Comments
Latest comment
ich hoffe mal das $aussenbüro eine Firewall hat -> und der router dahinter steht... Dann is es einfach:
$böserpc bekommt einfach ein Block beim Zugriff auf $deinHauptstandortnetzwerk.
Ggf. das ganze an die MAC binden (je nachdem ob das geht) bzw. der Sicherheit halber nur die PCs (MAC-Adressen erlauben die den VPN-Tunnel nutzen dürfen) und thema erledigt
Allerdings verstehe ich den Sinn nicht wirklich - aus "Traffic-Gründen"? Dann müsste man das gesamte Netzwerk sperren... Ansonsten hoffe ich das du in $hauptstandort einen Server hast und entsprechend dort die Auth. stattfindet... D.h. ohne User-Account kann der bei dir in $hauptstandort nicht viel machen...
$böserpc bekommt einfach ein Block beim Zugriff auf $deinHauptstandortnetzwerk.
Ggf. das ganze an die MAC binden (je nachdem ob das geht) bzw. der Sicherheit halber nur die PCs (MAC-Adressen erlauben die den VPN-Tunnel nutzen dürfen) und thema erledigt
Allerdings verstehe ich den Sinn nicht wirklich - aus "Traffic-Gründen"? Dann müsste man das gesamte Netzwerk sperren... Ansonsten hoffe ich das du in $hauptstandort einen Server hast und entsprechend dort die Auth. stattfindet... D.h. ohne User-Account kann der bei dir in $hauptstandort nicht viel machen...
Moin,
also grade bei "problemmatischen Klientel" würde ich doch die Firewall etwas komplexer machen - und einen zwangsproxy vorschreiben! Denn nur so kann man verhindern das die dort irgendwelchen Müll machen...
Hier kann man sich nen kleinen Linux-Rechner mit Squid & IPTables nehmen - und schon hat man auch gleich die möglichen Filter-Optionen...
also grade bei "problemmatischen Klientel" würde ich doch die Firewall etwas komplexer machen - und einen zwangsproxy vorschreiben! Denn nur so kann man verhindern das die dort irgendwelchen Müll machen...
Hier kann man sich nen kleinen Linux-Rechner mit Squid & IPTables nehmen - und schon hat man auch gleich die möglichen Filter-Optionen...
Es sollte doch ohne Probleme so einzustellen sein, daß nur der interne Netzwerkverkehr, also der Zugriff auf den Hauptstandort, über die VPN-Strecke läuft. Den Internetzugriff sollte man aus Performancegründen immer über den lokalen DSL-Anschluß führen. Dafür muß das Routing um die Route in das Subnetz des Hauptstandortes ergänzt werden.