Zugriff auf VNP Site to Site mit Zertifikaten regeln
Hallo zusammen!
Ich habe 2 Standorte mittels einer VPN Site to Site Verbindung miteinander verbunden!
Die Kommunikation untereinader funktioniert nun komplett!
Nun möchte ich aber, dass es nicht allen Nutzern der internen LANs erlaubt sein darf auf den Tunnel zuzugreifen. Deshalb möchte ich gerne eine Zertifikatsbasierende Authentifizierung einführen, die regelt, ob ein Nutzer Zugriff auf den Tunnel hat oder nicht!
Leider fällt mir da keine Möglichkeit ein, wie das zu bewerkstelligen ist.
Vielleich könnte man ja mit einem DHCP Server Adressen aus verschiedenen Subnetzen verteilen und dann eben dem einen Subnetz den Zugriff gestatten und dem anderen nicht. Nur wie steure ich sowas mit Zertifikaten? Das ließe sich doch nur mit MAC Adressen realisieren, was mir aber zu unsicher wäre.
Habt ihr da vll. ne Idee?
Gruß und Danke schonmal im voraus,
Mixdeby!
Ich habe 2 Standorte mittels einer VPN Site to Site Verbindung miteinander verbunden!
Die Kommunikation untereinader funktioniert nun komplett!
Nun möchte ich aber, dass es nicht allen Nutzern der internen LANs erlaubt sein darf auf den Tunnel zuzugreifen. Deshalb möchte ich gerne eine Zertifikatsbasierende Authentifizierung einführen, die regelt, ob ein Nutzer Zugriff auf den Tunnel hat oder nicht!
Leider fällt mir da keine Möglichkeit ein, wie das zu bewerkstelligen ist.
Vielleich könnte man ja mit einem DHCP Server Adressen aus verschiedenen Subnetzen verteilen und dann eben dem einen Subnetz den Zugriff gestatten und dem anderen nicht. Nur wie steure ich sowas mit Zertifikaten? Das ließe sich doch nur mit MAC Adressen realisieren, was mir aber zu unsicher wäre.
Habt ihr da vll. ne Idee?
Gruß und Danke schonmal im voraus,
Mixdeby!
Please also mark the comments that contributed to the solution of the article
Content-Key: 98088
Url: https://administrator.de/contentid/98088
Printed on: April 19, 2024 at 23:04 o'clock
9 Comments
Latest comment
Deine Frage ist sowas wie eine Schrotschussfrage ohne Details so das eine qualifizierte Antwort sehr schwer fällt.
Nicht das du es versäumst das VPN Protokoll zu nennen mit dem du diese Site to Site Verbindung realisierst, sondern zur Hardware steht da auch rein gar nichts. Letztlich bleibt dann nur raten...
Gute VPN Gateways und auch einige freie Lösungen wie z.B. das sehr bekannte OpenVPN haben eine Zertifikatsunterstützung oder wenigstens eine Radius Server Unterstützung mit der eine Zertifikatssteuerung problemlos zu realisieren ist.
Es kommt also auf deine Hardware an die diese Site to Site Kopplung macht !
Scheinbar gehst du auch weiterhin von einem Funktionsirrtum bei einem VPN aus bzw. weisst nicht wie so etwas realisiert ist.
Bei einer Site to Site VPN Kopplung ist der VPN Tunnel sowas wie ein weiteres Interface für den Router das erstmal alle Benutzer der Netzwerke auf beiden Seiten transparent den Zugriff erlaubt. Der Nutzer im netz muss sich ja nicht mehr authentifizieren, da der Router beide Netze transparent über den VPN Tunnel verbindet !! Der Router ist also für die Verschlüsselung und Authentifizierung zuständig nicht der einzelne Client im angeschlossenen Netz !!
Was du oben aber beschreibst ist ein sog. Roadwarrior Szenario also ein Remote Dialin Szenario mit dem sich mobile Mitarbeiter per VPN temporär einwählen.
Das hat aber mit einer Site zu Site Kopplung nichts zu tun außer das beide einen VPN Tunnel benutzen um die Datenverbindung herzustellen. Hier muss dann auch der Client authentifiziert werden, nicht aber bei einer Site to Site Kopplung per VPN !
Du beschreibst also 2 Dinge die du dann wild zusammenwürfelst und nach eine Lösung fragst. Auch das macht eine Antwort nicht eben leicht
Ist es denn bei dir wirklich eine Site Zu Site Kopplung, regelt man den Zugriff für gewisse Benutzer oder Teilnehmer in den angeschlossenen LAN Netzen problemlos mit einen Accesslitste die man auf dem VPN Router konfiguriert.
Dort kann man dann einfach und problemlos einstellen wer welche Applikation im Zugriff haben darf.
Mit der richtigen Hardware ist das ein Kinderspiel und sehr einfach zu lösen...
Man muss nur wissen was man hat und was man macht, was bei dir leider nicht ganz klar ist !
Nicht das du es versäumst das VPN Protokoll zu nennen mit dem du diese Site to Site Verbindung realisierst, sondern zur Hardware steht da auch rein gar nichts. Letztlich bleibt dann nur raten...
Gute VPN Gateways und auch einige freie Lösungen wie z.B. das sehr bekannte OpenVPN haben eine Zertifikatsunterstützung oder wenigstens eine Radius Server Unterstützung mit der eine Zertifikatssteuerung problemlos zu realisieren ist.
Es kommt also auf deine Hardware an die diese Site to Site Kopplung macht !
Scheinbar gehst du auch weiterhin von einem Funktionsirrtum bei einem VPN aus bzw. weisst nicht wie so etwas realisiert ist.
Bei einer Site to Site VPN Kopplung ist der VPN Tunnel sowas wie ein weiteres Interface für den Router das erstmal alle Benutzer der Netzwerke auf beiden Seiten transparent den Zugriff erlaubt. Der Nutzer im netz muss sich ja nicht mehr authentifizieren, da der Router beide Netze transparent über den VPN Tunnel verbindet !! Der Router ist also für die Verschlüsselung und Authentifizierung zuständig nicht der einzelne Client im angeschlossenen Netz !!
Was du oben aber beschreibst ist ein sog. Roadwarrior Szenario also ein Remote Dialin Szenario mit dem sich mobile Mitarbeiter per VPN temporär einwählen.
Das hat aber mit einer Site zu Site Kopplung nichts zu tun außer das beide einen VPN Tunnel benutzen um die Datenverbindung herzustellen. Hier muss dann auch der Client authentifiziert werden, nicht aber bei einer Site to Site Kopplung per VPN !
Du beschreibst also 2 Dinge die du dann wild zusammenwürfelst und nach eine Lösung fragst. Auch das macht eine Antwort nicht eben leicht
Ist es denn bei dir wirklich eine Site Zu Site Kopplung, regelt man den Zugriff für gewisse Benutzer oder Teilnehmer in den angeschlossenen LAN Netzen problemlos mit einen Accesslitste die man auf dem VPN Router konfiguriert.
Dort kann man dann einfach und problemlos einstellen wer welche Applikation im Zugriff haben darf.
Mit der richtigen Hardware ist das ein Kinderspiel und sehr einfach zu lösen...
Man muss nur wissen was man hat und was man macht, was bei dir leider nicht ganz klar ist !
Du mischt schon wieder alles konfus durcheinander und hast von dem oben geschrieben vermutlich nichts verstanden !!!
Nochmal ganz langsam damit du es jetzt verstehst !!
Deine ISA Server arbeiten als Router, wobei der VPN Tunnel eine direkte (virtuelle) IP Schnittstelle darstellt die beide Netze verbindet.
Der ISA ist also ein Router der erstmal 2 Netze transparent über IP verbindet und sonst nichts....
Die Authentifizierung der beiden Rechner bzw. Tunnelendpunkte macht ein Zertifikat, so das du ja schon eine Zertifikatsauthentisierung hast !! Das gilt nur für den Aufbau der VPN Verbindung über ein öffentliches Netz, damit nicht jeder Hans und Franz im Internet Tunnelendpunkt für dich spielen kann und deine Daten belauschen kann !!
Mit der eigentlichen Netzkopplung hat das aber rein gar nichts zu tun !
Generell ist der bestehende Tunnel dann transparent für alle Benutzer im LAN verfügbar.
Diese Benutzer müssen sich NICHT mehr separat authentifizieren, denn sie sehen ja nur einen Router der das für sie erledigt. Den VPN Tunnel als solchen sehen sie ja gar nicht....müssen sie ja auch nicht.
Es gibt also gar keine User die "...mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben.." denn sie müssen sich NICHT authentifizieren.
Genau DAS ist ja der Sinn einer LAN zu LAN VPN Verbindung.
Es ei denn du hast dich ungeschickt ausgedrückt und hast noch mobile Mitarbeiter die sich per VPN einwählen um so ebenfalls Zugriff aufs Netz zu bekommen ???!
Du kannst den Zugang dann nur über die Firewall Funktion des ISA Regeln indem zu bestimmte IPs und TCP Ports sperrst.
Anders ist das nicht möglich !
Nochmal ganz langsam damit du es jetzt verstehst !!
Deine ISA Server arbeiten als Router, wobei der VPN Tunnel eine direkte (virtuelle) IP Schnittstelle darstellt die beide Netze verbindet.
Der ISA ist also ein Router der erstmal 2 Netze transparent über IP verbindet und sonst nichts....
Die Authentifizierung der beiden Rechner bzw. Tunnelendpunkte macht ein Zertifikat, so das du ja schon eine Zertifikatsauthentisierung hast !! Das gilt nur für den Aufbau der VPN Verbindung über ein öffentliches Netz, damit nicht jeder Hans und Franz im Internet Tunnelendpunkt für dich spielen kann und deine Daten belauschen kann !!
Mit der eigentlichen Netzkopplung hat das aber rein gar nichts zu tun !
Generell ist der bestehende Tunnel dann transparent für alle Benutzer im LAN verfügbar.
Diese Benutzer müssen sich NICHT mehr separat authentifizieren, denn sie sehen ja nur einen Router der das für sie erledigt. Den VPN Tunnel als solchen sehen sie ja gar nicht....müssen sie ja auch nicht.
Es gibt also gar keine User die "...mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben.." denn sie müssen sich NICHT authentifizieren.
Genau DAS ist ja der Sinn einer LAN zu LAN VPN Verbindung.
Es ei denn du hast dich ungeschickt ausgedrückt und hast noch mobile Mitarbeiter die sich per VPN einwählen um so ebenfalls Zugriff aufs Netz zu bekommen ???!
Du kannst den Zugang dann nur über die Firewall Funktion des ISA Regeln indem zu bestimmte IPs und TCP Ports sperrst.
Anders ist das nicht möglich !
Eine Routen Steuerung mit Zertifikaten ist generell technisch NICHT möglich !!!
Zertifikate können lediglich den Zugang von Clients regeln sonst nichts. Niemals eine Wegefindung im IP Netzwerk !!
Das schonmal als Fakt vorweg !!!
Mit deinem Workaround hast du eine Quick and Dirty Lösung implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.
MAC Adressen sind problemlos konfigurierbar und damit kann man dein System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst natürlich niemals !!
Zertifikate können lediglich den Zugang von Clients regeln sonst nichts. Niemals eine Wegefindung im IP Netzwerk !!
Das schonmal als Fakt vorweg !!!
Mit deinem Workaround hast du eine Quick and Dirty Lösung implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.
MAC Adressen sind problemlos konfigurierbar und damit kann man dein System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst natürlich niemals !!
Es gibt dynamische Routing Protokolle die eine Verschlüsselung haben und Authentisierung ihrer Neighbors durchführen wie z.B. OSPF mit MD-5 Passwörtern aber auch damit ist eine Routensteuerung niemals möglich da eben nur Layer 3.
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !