Dirk-HH-83 14 Geschrieben 15. Juni 2022 Melden Geschrieben 15. Juni 2022 hallo, Frage: soviel andere Watchguard-VPN-Lösungswege (ausser das was in beiden letzten Sätzen steht) hat man nicht oder? Spontan wüßte ich nicht wie man VPN in der Watchguard wie im letzten Satz stehend konfiguriert. Eine watchguard hat ganz normales Firebox SSL VPN für Aussendienstler. (vpn-default-settings) (d.h. die Aussendienstler sehen das gesamte lokale Netzwerk - wenn Sie danach suchen würde) Ein externer Dienstleister braucht nun Remotezugang zu einem Webgui (es ist eine Licht+Haussteuerung zwecks Updates und Remotewartung) In der Watchguard sieht es ja per Default so aus: FROM Feld: bei einer neuen Policy kann man ja auch einzelne VPN Benutzer auswählen. TO: Feld: da steht halt standardmäßig Firebox Dies wären wohl die zwei Lösungs-Möglichkeiten laut dem Hersteller: ...ändert man entweder nur die zugelassene Destination auf den Endserver ab und dann kommen alle Parteien nur auf das Webgui oder man konfiguriert ein einkommendes Netz und Policys Manuell und lässt das VPN Netz quasi nur auf die Ressource zu.
mwiederkehr 395 Geschrieben 15. Juni 2022 Melden Geschrieben 15. Juni 2022 Die automatisch erstellten Policies auf der WatchGuard sind aus meiner Sicht viel zu offen. Da wurde der Fokus offensichtlich auf Einfachheit gelegt. Ich würde die automatisch erstellte Policy deaktivieren, eine Gruppe für die Aussendienstler erstellen sowie den Benutzer für den Dienstleister. Dann zwei Policies erstellen: - FROM: Gruppe_Aussendienstler - TO: Any sowie - FROM: Dienstleister - TO: Webgui Wobei ich auch für die Aussendienstler "Any" nicht gut finde, Den VPN-Client kann sich jeder auf einem beliebigen Gerät installieren und sich damit einwählen. Das will man nicht in allen internen Netzen haben.
Dirk-HH-83 14 Geschrieben 16. Juni 2022 Autor Melden Geschrieben 16. Juni 2022 (bearbeitet) Hallo mwiederkehr, ohne VPN Policy die SSL-VPN Port 50443 auf Firebox leitet geht es m.A. nach nicht. habe getestet ob: From: Dienstleister (typ: ssl-user) To: Webgui Haussteuerung limitiert ist, wenn vorgenannte Policy in Reihenfolge über der folgenden Default Policy ist: Antwort Nein, der Dienstleister erreicht auch alle sonstigen IP-Webguis Eine Deny Policy für die sonstige lokale IP Range (über den Allow VPN Policies) löst das problem nicht. bearbeitet 16. Juni 2022 von Dirk-HH-83
Beste Lösung mwiederkehr 395 Geschrieben 16. Juni 2022 Beste Lösung Melden Geschrieben 16. Juni 2022 Ich meinte nicht diese Policy. Die muss schon bestehen bleiben, denn sie regelt, wer auf den SSL-VPN-Server zugreifen darf. Was die verbundenen Benutzer dann tun dürfen, regelt die automatisch erstellte Policy namens "Allow SSLVPN-Users". Dort stehen normalerweise im FROM alle SSL-Benutzer und im TO steht "Any". Deshalb würde ich diese Policy deaktivieren und eigene Regeln erstellen. Du findest sie ganz unten, da sie für alle Protokolle und Ports gilt.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden