Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4157 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Datenzugriff via VPN blockieren

futures1988
Guten Abend zusammen,

Ich möchte gerne wissen, wie man seine ASG am besten konfiguriert,
damit die VPN User auf interne Netzwerk keinen Datenzugriff haben?

Momentan habe ich folgende Packetfilter Rule erstellt:

Quelle: VPN Testuser
Dients: Microsoft SMB
Ziel:     Internal Network

Action: Drop / Reject

Ich bin die Regel gerade am Testen. Ich habe auch noch andere Dienste nicht zugelassen. Der Sinn der Sache ist, dass die VPN User unsere DSL Leitung nicht zu fest belasten. Es soll Ihnen nur der Zugriff aufs Outlook gewährleistet werden, welches eine Verbindung mit dem internen Exchange Server herstellt. Dattenzugriff sowie der ganze Rest soll geblockt werden.

Habt Ihr vielleicht eine Lösung oder einen guten Tipp für mich bereit?

Vielen Dank und Gruss


This thread was automatically locked due to age.
Parents
  • 0
    Momentan ist hinterlegt, dass unser DHCP den Clients eine IP zuteilt, also kommt der VPN Pool nicht zum zug.

    Doch die Idee war mal, dass die User mit Ihren Laptops extern nur Surfen dürfen sobald sie sich ins VPN eingeloggt haben, und dann über die Firewall surfen. Damit die Websiten weiterhin geblock / der Content gefilter wird auf Viren und Spyware etc...

    Momentan ist die Regel aktiv welche ich oben beschrieben habe.

    Die VPN User habe ich einer Gruppe zugewiesen (VPN Users)

    Folgende Dienste habe ich auch in eine Gruppe namens "VPN Services not allowed" zusammengefasst (AOL IM, Google Talk IM, Microsoft SMB, Netbios SSN, POP3,  SMTP, TFTP)

    Dann habe ich eine Packetfilter Rule erstellt welche wie folgt aussieht:

    Source:           VPN Users
    Service:          VPN Services not allowed
    Destination:   Internal Network

    Action:           Reject
    Time Event:    Always
  • 0 in reply to futures1988
    Bekommen die externen User vom DHCP einen anderen IP-Adressbereich als die Internen User? (müsste ja eigentlich so sein)
    Dann definiere doch bitte die Regel, was du erlauben möchtest für diesen Bereich.
    Ich glaube du hast in deinen Regeln einfach das Problem, dass die "allow-all" Regel vor der "deny-specific-services" Regel kommt und aus diesem Grund nicht mehr greift. Wenn du die "allow-all" abschaffst und einschränkst sollte die Sache sauberer laufen.

    Grüße

    Schroeder
Reply
  • 0 in reply to futures1988
    Bekommen die externen User vom DHCP einen anderen IP-Adressbereich als die Internen User? (müsste ja eigentlich so sein)
    Dann definiere doch bitte die Regel, was du erlauben möchtest für diesen Bereich.
    Ich glaube du hast in deinen Regeln einfach das Problem, dass die "allow-all" Regel vor der "deny-specific-services" Regel kommt und aus diesem Grund nicht mehr greift. Wenn du die "allow-all" abschaffst und einschränkst sollte die Sache sauberer laufen.

    Grüße

    Schroeder
Children
No Data