BaSe 10 Posted November 19, 2007 Report Share Posted November 19, 2007 Mich interessiert wie Ihr das bei euch handhabt wird. Können bei euch User per VPN aus dem internen LAN heraus auf Kundensysteme zugreifen oder gibt es bei euch ein extra Subnet, physisch getrennt vom internen LAN, wo sich die User mit ihrem Patchkabel reinstecken können? Wenn ein User 2 Netzwerkkarten hat. darf er dann gleichzeitig in diesem Subnet und im internen LAN drinnenstecken? Quote Link to comment
Mausschubser443 11 Posted November 19, 2007 Report Share Posted November 19, 2007 HI, bei uns kann jeder VPN machen wie er lustig ist. Normal haben wir VPN Standleitungen zu Kunden im IPSec und ältere per ISDN .. Hierläuft eine Firewall das wir nur die Fernwartungsdienste zu den Kunden können und die Kunden absolut nichts zu uns können. Nicht mal ein Ping. Sonst gibt es noch Kunden mit Cisco VPN Client (etc), dort starten wir machmal eine VMware der Cisco Client den Lokalen Traffic lahmlegt oder einfach so von den Rechnern aus. subnetze gibt es nicht, das wäre zu umständlich und würde so lange dauern wenn ein Kunde ein Problem hat, wollen wir auch in sekunden helfen. gruß Quote Link to comment
BaSe 10 Posted November 19, 2007 Author Report Share Posted November 19, 2007 Ich hab mich damit noch nicht viel beschäftigt. Ich kann ja an der FW ein Portforwarding(z.b UDP 1701,500,4500 für IPsec) auf die IP des Kunden machen, so kann der Client aus dem LAN die VPN Verbindung aufbauen. Aber wie und wo bestimmt man denn welche Ports innerhalb des Tunnels gestattet sind, z.b das der Kunde kein Ping über den VPN Tunnel ins LAN machen kann? Oder meintest du den Ping auf den Client, der die VPN Verbindung aufgebaut? Ein Ping ins LAN funktioniert doch sowieso nicht, da müsste doch wenigstens die Routingtabelle des Clients angepasst werden oder? Ich möchte verhindern das der Kunde aus dem Kundennetz auf unser LAN, bzw. die Server zugreifen kann. Quote Link to comment
IThome 10 Posted November 19, 2007 Report Share Posted November 19, 2007 Erstmal muss beim Kunden ein Gerät stehen, was VPNs terminiert. Dann musst Du auf der Deiner Firewall die Verbindung via VPN erlauben, wie auch immer das VPN dann hergestellt wird (spezielle Clients, Windows-Client ...) . Üblicherweise werden Tunnelregeln auf den Appliances erstellt ... Bei uns halten wir es so, dass nicht jeder verschlüsselte Verbindungen aufbauen darf. Der Firewalladministrator möchte es gerne sehen können, was wer wo macht. Und genau diesen Einblick wird von einem verschlüsselten VPN verhindert. Deswegen dürfen es nur bestimmte Mitarbeiter, die vom Firewalladmin freigeschaltet werden ... Quote Link to comment
djmaker 95 Posted November 20, 2007 Report Share Posted November 20, 2007 Wir haben ein separates Netz dafür. Policy der Admins. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.