Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4590 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Zugang - Zugriff nur auf einen PC möglich?

janik.otto
Hallo!

Wir möchten einen VPN-Zugang für die Fernwartung einer externen Firma einrichten. VPN an sich funktioniert und wird von unseren Usern benutzt, jedoch würden wir gern für diesen einen AD-Synchronisierten Benutzer den Zugriff auf lediglich eine IP-Adresse / einen PC ermöglichen.

Problem ist jetzt, dass wir zwar testweise Firewall-Regeln für User > Any > Any auf Deny eingerichtet haben - diese greifen jedoch nicht, was vermutlich daran liegt, dass der Benutzer nach VPN-Anmeldung bereits im internen Netz ist und somit die Pakete nicht mehr durch die Firewall geprüft werden - Ist das richtig?

Wie lässt sich das realisieren bzw. was müssen wir beachten?


This thread was automatically locked due to age.
  • 0
    Du hast ein paar wichtige Infos vergessen! [;)]
    Firmware-Version?
    Verwendete VPN-Technik?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Oh, mist, entschuldige bitte! ;D

    VPN-Technik ist SSL, die Version ist 9.107-33!
  • 0
    Dann richte am Besten ein zweites SSL-Remote-Access-Profil für diesen User ein und gib ihm als "local networks" nur den einen Host.
    (Meine Frage nach der Version war wichtig, da es die SSL-Profile erst seit 9.100 gibt...)

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hi janik.otto,

    also wenn du in dem Profil den Haken gesetzt hast, bei "Automatische Firewallregeln" setzten, dann nutzen deine Firewallregeln nichts, die du manuell setzt.

    Ich würde es nicht über über das "local Network" machen, den Haken bei automatische Firewallregeln entfernen.
    In den Firewallregeln dann selber dieses hier erstellen und gruppieren, denn leider gibt es noch keine Profileinstellungen wie DNS Server etc. Daher lässt es sich hier deutlich besser Freigeben. Außerdem lässt es sich dann hier auch noch anhand von Protokollen steuern, somit deutlich bessere Kontrolle!Und vielleicht hier noch die Protokollierung aktivieren (vergiss nicht den Zugriff auf DNS Server frei zu geben)

    Allow: User Firma X (Network) - ANY - PC 1 / PC2 etc.
    Deny: User Firma X (Network) - ANY - ANY


    Über diesen Regeln kannst du dann darüber setzen:

    Allow: GL_SSL-VPN_User (Netzwork) - ANY - Internal LAN / DMZ / etc.


    Update: das hier muss natürlich über der Deny Regel der Firma X.

    Allow: SSL-VPN Pool (Netzwerk) - DNS - DNS-Server1


    Nice greetings
  • 0
    @ janik.otto

    Also ich würde es auch so machen wie "GuyFawkes" es beschreibt.

    Dass die Deny-Regel, die du erstellt hast, nicht greift, liegt wahrscheinlich daran,
    dass du bei der Konfiguration des SSL-Remote-Access die Option "Automatische Firewallregeln" aktiviert hast.

    Dadurch wurde durch die UTM automatisch eine Firewallregel erstellt,
    die ALLES in Richtung der angegebenen Zielnetzwerke erlaubt.

    Da automatisch erstellte Firewallregeln IMMER vor den manuell erstellten Firewallregeln abgearbeitet werden, greifen diese natürlich vorher, so dass der Zugriff trotz Deny-Regel weiterhin erlaubt ist.

    Das einfachste ist wirklich, wenn du einfach als Zielnetzwerk den einzelnen Host angibst.

    Danach kannst du noch ( falls nötig ) die Option "Automatische Firewallregeln" deaktivieren und im Anschluss über manuell erstellte Regeln genau konfigurieren welche Dienste in Richtung des Zielhosts erlaubt sein sollen.

    Gruß, Datax
  • 0
    Sieht man oben im Dropdown Menü kann man sich alle Regeln anzeigen lassen.

    Ich habe da mal was für dich.
    Haken bei den VPN Profilen (Automatische Firewallregeln) raus nehmen.

    VPN_FW_Rules.JPG

    Nice greetings
  • 0
    Und nicht vergessen: Ggf. kann der Benutzer vom Zielsystem aus überall hin - nicht, dass ihr dann ganz überrascht sein. 

    Je nach Protokoll lohnt der Blick ins "HTML5VPN".
Unfiltered HTML