schneidi 10 Geschrieben 18. April 2005 Melden Teilen Geschrieben 18. April 2005 Hallo! Ich würde gerne alle Anmeldungen, die über eine bestimmte Netzwerkkarte (192.168.1.x) kommen, nur per Zeritifikat erlauben lassen. Im Server stecken 2 Netzwerkkarten (Subnetze 192.168.0.x und 192.168.1.x). Des weiteren soll es an dieser Karte nur einer bestimmten Gruppe möglich sein, sich anzumelden, für alle anderen soll die Anmeldung - egal wie - verweigert werden. Irgendwie kriege ich das nicht hin, eine Anmeldung bleibt immer auch einfach über Kennung/Passwort möglich. Hilfe! Muß man das RAS noch irgendwo "einschalten"? Der RAS-Dienst läuft, der Server hat einen grünen Pfeil in der RAS-MMC. Bisher habe ich 2 Richtlinien erstellt: 1.) NAS-Typ ist Ethernet AND NAS-IP Adresse stimmt überein mit "192.168.1.*" AND Windows-Groups ist [die gewünschte Gruppe]. => RAS-Berechtigung erteilen. 2.) NAS-Typ ist Ethernet AND NAS-IP Adresse stimmt überein mit "192.168.1.*". => RAS-Berechtigung verweigern. Wie gesagt ist dennoch eine Anmeldung mit Benutzer/Passwort über z.B. 192.168.1.2 möglich. Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 18. April 2005 Melden Teilen Geschrieben 18. April 2005 Hi, glaube nicht, dass es mit der von dir beschriebenen Methode funktioniert, da die Richtlinie NAS-IP für die Radius Authentifizierung vorgesehen ist. Laut Windowshilfe wäre dann aber auch eine Syntax wie diese notwendig: So geben Sie einen IP-Adressenbereich an Für die Angabe sämtlicher IP-Adressen, die mit 192.168.1 beginnen, lautet die Syntax beispielsweise: 192\.168\.1\..+ Du könntest aber einen Protokollfilter in den RAS Richtlinien definieren. Siehe dir das dort mal genauer an. Gruß Heinzelrumpel Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 18. April 2005 Autor Melden Teilen Geschrieben 18. April 2005 Hi heinzelrumpel und danke für die Antwort!! Du könntest aber einen Protokollfilter in den RAS Richtlinien definieren. Siehe dir das dort mal genauer an. Hm, aber da liegt ja genau das Problem: Beide Verbindungen kommen "ganz normal" über Ethernet/NetBIOS rein, der einzige Unterschied liegt in der IP-Adresse. Was ich machen könnte: Die Clients aus dem Netz, die sich per Zertifikat anmelden sollen, per VPN verbinden. Dann per RAS-Firewall alle Ports bis auf die VPN-Ports sperren und die Einwahl per VPN gestatten. Ist zwar etwas gebastelt, aber was anderes fällt mir jetzt auch nicht ein... Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 18. April 2005 Melden Teilen Geschrieben 18. April 2005 vielleicht kannst ja noch mal ein paar mehr infos rüberwuppen. am meisten interessiert mich, warum du im lan eine ras einwahl brauchst. wenn es dir nämlich nur darum geht, eine sichere verbindung von den clients zum server aufzubauen, kannst du auch nur die ip_richtlinien zur verwendung von ipsec verwenden. da kommen auch u.a zertifikate zum tragen. welches bs setzt du denn ein? ist der ras server auch dc? im einheitlichen modus. wer, ausser den ras clients muss noch auf den ras server zugreifen können? erkläre doch bitte noch ein wenig genauer, was speziel deine absichten mit diesem scenario sind. gruß heinzelrumpel Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 19. April 2005 Autor Melden Teilen Geschrieben 19. April 2005 Hi heinzumpel, danke für Deine Antwort. Ich versuchs mal, ist nicht ganz einfach ;-) Aufgabe ist es, Win-XP-Clients "zu Hause" per VPN mit dem Firmennetzwerk zu verbinden. In der Firma läuft ein Windows 2003-Server als "ich-mach-alles"-Server, also u.a. DC- und RAS-Server. Problem dabei ist, dass wg. der verwendeten DSL-Router zu Hause und dem Router in der Firma nur PPTP mit Passwort möglich ist, was einen gewissen Unsicherheitsfaktor beinhaltet. Dieser Zugang funktioniert auch schon testweise und mappt die externen Client-PCs ins gleiche Subnetz. Dies hat jedoch zur Folge, dass jeder, der diese Verbindung herstellen kann, sich an den Windows-Systemen im Firmennetz mit Benutzername+Passwort anmelden kann, Netzwerkdrucker einfach so anwerfen kann usw. Das ist dem Verantwortlichen des Netzes mit PPTP zu unsicher. Idee war es nun, den externen Client-PCs ein anderes Subnetz zuzuweisen, dieses Subnetz auf eine 2. Netzwerkkarte im Server zu routen (bis hierhin gehts), und dann eben die Anmeldung am Server über diese Netzwerkarte NUR mit Zertifikat zu gestatten. Soweit die Theorie. Problem hierbei ist, dass ursprünglich mal ein 2. VPN-Tunnel im 1. Tunnel gedacht war, dies scheint aber der Router der Firma nicht zu verkraften. Also ist der einzige Unterschied, an der der RAS-Server erkennen kann, ob eine "externe" Einwahl vorliegt, die IP-Adresse, die die externen Clients zugewiesen bekommen. Alle Klarheiten beseitigt? ;) Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 19. April 2005 Melden Teilen Geschrieben 19. April 2005 hi schneidi, sollen die vpn-clients nur auf resourcen auf dem 2003 dc zugreifen können, oder gibt es da noch andere server? im ersteren fall könntest du das ip routing für remoteclienst im rras dektivieren. dies beschränkt den zugriff auf lokale resourcen des servers. ich glaube aber, selbst wenn ein routing vom einem subnetz ins ander auf zertifikatsbasis funktionieren würde, dies kaum ein sicherheitsgewinn ist, denn die daten werden durch den vpn-tunnel zu den clients trotzdem weiterhin nur mit den in pptp gültigen sicherheitseinstellungen übertragen. als einzigen ausweg sehe ich nur die möglichkeit, für vpn verbindungen neu benutzer und gruppen anzulegen. ist vielleicht etwas umständlich, da die user dann 2 anmeldeinformationen bereitgestellt bekommen müssen. evtl. ist es auch möglich, den ip-verkehr zwischen subnetz a und subnetz b generell zu beschränken, nämlich mit hilfe der ip-sicherheitsrichlinie. dort kann man definieren, dass der zugriff von einem bestimmten subnetz aus nur verschlüsselt abläuft (sicherer server), mit pre-shared key oder halt auch mit zertifikaten. ich weiss aber nicht, wie das in deinem fall ausschauen würde, da ja beide subnetze, bzw. die dazugehörigen schnittstellen, auf dem gleich server sind. wenn das 2. subnetz rein für remoteclients ist, also im lan nicht gebraucht wird, wäre dies mal ein versuch wert. hast du denn schon gültige zertifikate, die du verwenden kannst? ist wirklich ein interessantes scenario, was sagen denn die "alten hasen" hier im board dazu? gruß heinzelrumpel p.s hab hier noch nen artikel. der dir evtl. weiterhilft, doch l2tp einzusetzen. http://support.microsoft.com/default.aspx?scid=kb;de;818043 Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 19. April 2005 Autor Melden Teilen Geschrieben 19. April 2005 Generell würde eine Anmeldung auf dem Server reichen, da z.B. alle "Eigenen Dateien" usw. auch schon dort liegen. Ein Routing von b nach a müßte/soll gar nicht stattfinden (erst mal eins nach dem anderen ;)) Danke für den Link, dann müßte L2TP ja eigentlich mit XP SP2 schon gehen. Werde ich mal testen. Ich experimentiere mal noch ein bißchen :suspect: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.