Jump to content

VPN Access limitieren (watchguard)


Direkt zur Lösung Gelöst von mwiederkehr,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo,

Frage: soviel andere Watchguard-VPN-Lösungswege (ausser das was in beiden letzten Sätzen steht) hat man nicht oder?
Spontan wüßte ich nicht wie man VPN in der Watchguard wie im letzten Satz stehend konfiguriert.

 

Eine watchguard hat ganz normales Firebox SSL VPN für Aussendienstler. (vpn-default-settings) 
(d.h. die Aussendienstler sehen das gesamte lokale Netzwerk - wenn Sie danach suchen würde)

 

Ein externer Dienstleister braucht nun Remotezugang zu einem Webgui (es ist eine Licht+Haussteuerung zwecks Updates und Remotewartung)

 

In der Watchguard sieht es ja per Default so aus:
FROM Feld: bei einer neuen Policy kann man ja auch einzelne VPN Benutzer auswählen.
TO: Feld:  da steht halt standardmäßig Firebox

Dies wären wohl die zwei Lösungs-Möglichkeiten laut dem Hersteller:
...ändert man entweder nur die zugelassene Destination auf den Endserver ab und dann kommen alle Parteien nur auf 
das Webgui oder man konfiguriert ein einkommendes Netz und Policys Manuell und lässt das VPN Netz quasi nur auf die Ressource zu.
 

Link zu diesem Kommentar

Die automatisch erstellten Policies auf der WatchGuard sind aus meiner Sicht viel zu offen. Da wurde der Fokus offensichtlich auf Einfachheit gelegt.

 

Ich würde die automatisch erstellte Policy deaktivieren, eine Gruppe für die Aussendienstler erstellen sowie den Benutzer für den Dienstleister. Dann zwei Policies erstellen:

 

- FROM: Gruppe_Aussendienstler

- TO: Any

sowie

- FROM: Dienstleister

- TO: Webgui

 

Wobei ich auch für die Aussendienstler "Any" nicht gut finde, Den VPN-Client kann sich jeder auf einem beliebigen Gerät installieren und sich damit einwählen. Das will man nicht in allen internen Netzen haben.

Link zu diesem Kommentar

Hallo mwiederkehr,

 

ohne VPN Policy die SSL-VPN Port 50443 auf Firebox leitet geht es m.A. nach nicht.

 

habe getestet ob:

From: Dienstleister (typ: ssl-user)

To: Webgui Haussteuerung

limitiert ist, wenn vorgenannte Policy in Reihenfolge über der folgenden  Default Policy ist:  Antwort Nein, der Dienstleister erreicht auch alle sonstigen IP-Webguis

Eine Deny Policy für die sonstige lokale IP Range (über den Allow VPN Policies) löst das problem nicht.

image.png.7624ad9d2d16625e59458955719fe74f.png

bearbeitet von Dirk-HH-83
Link zu diesem Kommentar
  • Beste Lösung

Ich meinte nicht diese Policy. Die muss schon bestehen bleiben, denn sie regelt, wer auf den SSL-VPN-Server zugreifen darf.

 

Was die verbundenen Benutzer dann tun dürfen, regelt die automatisch erstellte Policy namens "Allow SSLVPN-Users". Dort stehen normalerweise im FROM alle SSL-Benutzer und im TO steht "Any". Deshalb würde ich diese Policy deaktivieren und eigene Regeln erstellen. Du findest sie ganz unten, da sie für alle Protokolle und Ports gilt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...