Hallo,
ich würde es gerne so einrichten, dass alle Benutzer, die sich per VPN mit meinem Netzwerk verbinden, nur einen einzigen Port freigeschaltet haben.
Hintergrund ist, dass die Benutzer ausschließlich RDP verwenden sollen und ich mein Netzwerk (welches über viele Freigaben verfügt) vor Schadsoftware des VPN Benutzers schützen will.
Hat jemand eine Idee wie ich das einrichten kann?
Vielen Dank,
Jan
Portfreigaben für VPN Benutzer
Moderator: Lancom-Systems Moderatoren
-
Koppelfeld
- Beiträge: 991
- Registriert: 20 Nov 2013, 09:17
Re: Portfreigaben für VPN Benutzer
Hallo,
Wobei man aufpassen muß: Port 3389/UDP allein reicht u.U. nicht.
Die Gefahr dabei: Gerade RDP hat so viele eingebaute "Flaschenöffner", daß Du es nicht sicher bekommst. Stichwort "Smartcard", anhängen lokaler Datenträger usw., usf..
Ein Proxy auf Anwendungsebene ist da schon sicherer (und schneller, und effizienter, und vielseitiger).
Es gibt http://www.nomachine.com oder http://www.x2go.org . Und natürlich noch Zittrix, aber da kommt man vom Regen in die Traufe.
Mit einer Firewallregel ?jhaeusler hat geschrieben: 29 Jun 2019, 18:23 Hintergrund ist, dass die Benutzer ausschließlich RDP verwenden sollen und ich mein Netzwerk (welches über viele Freigaben verfügt) vor Schadsoftware des VPN Benutzers schützen will.
Wobei man aufpassen muß: Port 3389/UDP allein reicht u.U. nicht.
Die Gefahr dabei: Gerade RDP hat so viele eingebaute "Flaschenöffner", daß Du es nicht sicher bekommst. Stichwort "Smartcard", anhängen lokaler Datenträger usw., usf..
Ein Proxy auf Anwendungsebene ist da schon sicherer (und schneller, und effizienter, und vielseitiger).
Es gibt http://www.nomachine.com oder http://www.x2go.org . Und natürlich noch Zittrix, aber da kommt man vom Regen in die Traufe.
Re: Portfreigaben für VPN Benutzer
Das wird bei mir leider nicht funktionieren. Ich bin auf RDP angewiesen. Auf Server Ebene kann ich ja noch RDP Redirection einschränken.
Gibt es denn keine einfache Möglichkeit in Lancom Firewall Regeln für das Lan speziell auf VPN Benutzer hin auszulegen?
Gibt es denn keine einfache Möglichkeit in Lancom Firewall Regeln für das Lan speziell auf VPN Benutzer hin auszulegen?
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: Portfreigaben für VPN Benutzer
Mit ARF arbeiten (Advanced Routing and Forwarding):
https://www.lancom-systems.de/docs/conf ... 88845.html
alle lokalen Netzwerke (LAN) mit einem Schnittstellen-Tag > 0 versehen
Standard-Firewallregel: DENY_ALL => Protokolle:=ANY Quelle:=ANY Ziel:=ANY Aktion:=DROP Aktiv:=An
Firewall korrekt konfigurieren: fragen-zum-thema-firewall-f15/portscans ... ml#p104492
Isolierter Modus:=Ja (/Setup/LAN-Bridge/Isolierter-Modus)
entsprechendes Routing-Tag (> 0) für die VPN-Gegenstelle konfigurieren:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
WAN-Tag-Tabelle entsprechend konfigurieren:
fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html
https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781
und dann kommen durch den VPN-Tunnel nur noch die Datenpakete durch, für welche eine explizite Firewallregel existiert.
Und wenn man das Netzwerk vor Schadsoftware schützen will, muss man sich auch zwingend mit dem Thema "VLAN" befassen:
viewtopic.php?f=41&t=16109&p=90529&hili ... ise#p90529
https://www.lancom-systems.de/docs/conf ... 88845.html
alle lokalen Netzwerke (LAN) mit einem Schnittstellen-Tag > 0 versehen
Standard-Firewallregel: DENY_ALL => Protokolle:=ANY Quelle:=ANY Ziel:=ANY Aktion:=DROP Aktiv:=An
Firewall korrekt konfigurieren: fragen-zum-thema-firewall-f15/portscans ... ml#p104492
Isolierter Modus:=Ja (/Setup/LAN-Bridge/Isolierter-Modus)
entsprechendes Routing-Tag (> 0) für die VPN-Gegenstelle konfigurieren:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
WAN-Tag-Tabelle entsprechend konfigurieren:
fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html
https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781
und dann kommen durch den VPN-Tunnel nur noch die Datenpakete durch, für welche eine explizite Firewallregel existiert.
Und wenn man das Netzwerk vor Schadsoftware schützen will, muss man sich auch zwingend mit dem Thema "VLAN" befassen:
viewtopic.php?f=41&t=16109&p=90529&hili ... ise#p90529