BaSe 10 Geschrieben 19. November 2007 Melden Teilen Geschrieben 19. November 2007 Mich interessiert wie Ihr das bei euch handhabt wird. Können bei euch User per VPN aus dem internen LAN heraus auf Kundensysteme zugreifen oder gibt es bei euch ein extra Subnet, physisch getrennt vom internen LAN, wo sich die User mit ihrem Patchkabel reinstecken können? Wenn ein User 2 Netzwerkkarten hat. darf er dann gleichzeitig in diesem Subnet und im internen LAN drinnenstecken? Zitieren Link zu diesem Kommentar
Dustin781 11 Geschrieben 19. November 2007 Melden Teilen Geschrieben 19. November 2007 HI, bei uns kann jeder VPN machen wie er lustig ist. Normal haben wir VPN Standleitungen zu Kunden im IPSec und ältere per ISDN .. Hierläuft eine Firewall das wir nur die Fernwartungsdienste zu den Kunden können und die Kunden absolut nichts zu uns können. Nicht mal ein Ping. Sonst gibt es noch Kunden mit Cisco VPN Client (etc), dort starten wir machmal eine VMware der Cisco Client den Lokalen Traffic lahmlegt oder einfach so von den Rechnern aus. subnetze gibt es nicht, das wäre zu umständlich und würde so lange dauern wenn ein Kunde ein Problem hat, wollen wir auch in sekunden helfen. gruß Zitieren Link zu diesem Kommentar
BaSe 10 Geschrieben 19. November 2007 Autor Melden Teilen Geschrieben 19. November 2007 Ich hab mich damit noch nicht viel beschäftigt. Ich kann ja an der FW ein Portforwarding(z.b UDP 1701,500,4500 für IPsec) auf die IP des Kunden machen, so kann der Client aus dem LAN die VPN Verbindung aufbauen. Aber wie und wo bestimmt man denn welche Ports innerhalb des Tunnels gestattet sind, z.b das der Kunde kein Ping über den VPN Tunnel ins LAN machen kann? Oder meintest du den Ping auf den Client, der die VPN Verbindung aufgebaut? Ein Ping ins LAN funktioniert doch sowieso nicht, da müsste doch wenigstens die Routingtabelle des Clients angepasst werden oder? Ich möchte verhindern das der Kunde aus dem Kundennetz auf unser LAN, bzw. die Server zugreifen kann. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. November 2007 Melden Teilen Geschrieben 19. November 2007 Erstmal muss beim Kunden ein Gerät stehen, was VPNs terminiert. Dann musst Du auf der Deiner Firewall die Verbindung via VPN erlauben, wie auch immer das VPN dann hergestellt wird (spezielle Clients, Windows-Client ...) . Üblicherweise werden Tunnelregeln auf den Appliances erstellt ... Bei uns halten wir es so, dass nicht jeder verschlüsselte Verbindungen aufbauen darf. Der Firewalladministrator möchte es gerne sehen können, was wer wo macht. Und genau diesen Einblick wird von einem verschlüsselten VPN verhindert. Deswegen dürfen es nur bestimmte Mitarbeiter, die vom Firewalladmin freigeschaltet werden ... Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 20. November 2007 Melden Teilen Geschrieben 20. November 2007 Wir haben ein separates Netz dafür. Policy der Admins. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.