Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4592 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Zugang - Zugriff nur auf einen PC möglich?

janik.otto
Hallo!

Wir möchten einen VPN-Zugang für die Fernwartung einer externen Firma einrichten. VPN an sich funktioniert und wird von unseren Usern benutzt, jedoch würden wir gern für diesen einen AD-Synchronisierten Benutzer den Zugriff auf lediglich eine IP-Adresse / einen PC ermöglichen.

Problem ist jetzt, dass wir zwar testweise Firewall-Regeln für User > Any > Any auf Deny eingerichtet haben - diese greifen jedoch nicht, was vermutlich daran liegt, dass der Benutzer nach VPN-Anmeldung bereits im internen Netz ist und somit die Pakete nicht mehr durch die Firewall geprüft werden - Ist das richtig?

Wie lässt sich das realisieren bzw. was müssen wir beachten?


This thread was automatically locked due to age.
Parents
  • 0
    @ janik.otto

    Also ich würde es auch so machen wie "GuyFawkes" es beschreibt.

    Dass die Deny-Regel, die du erstellt hast, nicht greift, liegt wahrscheinlich daran,
    dass du bei der Konfiguration des SSL-Remote-Access die Option "Automatische Firewallregeln" aktiviert hast.

    Dadurch wurde durch die UTM automatisch eine Firewallregel erstellt,
    die ALLES in Richtung der angegebenen Zielnetzwerke erlaubt.

    Da automatisch erstellte Firewallregeln IMMER vor den manuell erstellten Firewallregeln abgearbeitet werden, greifen diese natürlich vorher, so dass der Zugriff trotz Deny-Regel weiterhin erlaubt ist.

    Das einfachste ist wirklich, wenn du einfach als Zielnetzwerk den einzelnen Host angibst.

    Danach kannst du noch ( falls nötig ) die Option "Automatische Firewallregeln" deaktivieren und im Anschluss über manuell erstellte Regeln genau konfigurieren welche Dienste in Richtung des Zielhosts erlaubt sein sollen.

    Gruß, Datax
Reply
  • 0
    @ janik.otto

    Also ich würde es auch so machen wie "GuyFawkes" es beschreibt.

    Dass die Deny-Regel, die du erstellt hast, nicht greift, liegt wahrscheinlich daran,
    dass du bei der Konfiguration des SSL-Remote-Access die Option "Automatische Firewallregeln" aktiviert hast.

    Dadurch wurde durch die UTM automatisch eine Firewallregel erstellt,
    die ALLES in Richtung der angegebenen Zielnetzwerke erlaubt.

    Da automatisch erstellte Firewallregeln IMMER vor den manuell erstellten Firewallregeln abgearbeitet werden, greifen diese natürlich vorher, so dass der Zugriff trotz Deny-Regel weiterhin erlaubt ist.

    Das einfachste ist wirklich, wenn du einfach als Zielnetzwerk den einzelnen Host angibst.

    Danach kannst du noch ( falls nötig ) die Option "Automatische Firewallregeln" deaktivieren und im Anschluss über manuell erstellte Regeln genau konfigurieren welche Dienste in Richtung des Zielhosts erlaubt sein sollen.

    Gruß, Datax
Children
No Data
Unfiltered HTML