Portfreigaben für VPN Benutzer

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Portfreigaben für VPN Benutzer

Beitrag von jhaeusler »

Hallo,

ich würde es gerne so einrichten, dass alle Benutzer, die sich per VPN mit meinem Netzwerk verbinden, nur einen einzigen Port freigeschaltet haben.
Hintergrund ist, dass die Benutzer ausschließlich RDP verwenden sollen und ich mein Netzwerk (welches über viele Freigaben verfügt) vor Schadsoftware des VPN Benutzers schützen will.

Hat jemand eine Idee wie ich das einrichten kann?

Vielen Dank,
Jan
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Portfreigaben für VPN Benutzer

Beitrag von Koppelfeld »

Hallo,
jhaeusler hat geschrieben: 29 Jun 2019, 18:23 Hintergrund ist, dass die Benutzer ausschließlich RDP verwenden sollen und ich mein Netzwerk (welches über viele Freigaben verfügt) vor Schadsoftware des VPN Benutzers schützen will.
Mit einer Firewallregel ?

Wobei man aufpassen muß: Port 3389/UDP allein reicht u.U. nicht.

Die Gefahr dabei: Gerade RDP hat so viele eingebaute "Flaschenöffner", daß Du es nicht sicher bekommst. Stichwort "Smartcard", anhängen lokaler Datenträger usw., usf..

Ein Proxy auf Anwendungsebene ist da schon sicherer (und schneller, und effizienter, und vielseitiger).
Es gibt http://www.nomachine.com oder http://www.x2go.org . Und natürlich noch Zittrix, aber da kommt man vom Regen in die Traufe.
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: Portfreigaben für VPN Benutzer

Beitrag von jhaeusler »

Das wird bei mir leider nicht funktionieren. Ich bin auf RDP angewiesen. Auf Server Ebene kann ich ja noch RDP Redirection einschränken.

Gibt es denn keine einfache Möglichkeit in Lancom Firewall Regeln für das Lan speziell auf VPN Benutzer hin auszulegen?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Portfreigaben für VPN Benutzer

Beitrag von GrandDixence »

Mit ARF arbeiten (Advanced Routing and Forwarding):
https://www.lancom-systems.de/docs/conf ... 88845.html

alle lokalen Netzwerke (LAN) mit einem Schnittstellen-Tag > 0 versehen

Standard-Firewallregel: DENY_ALL => Protokolle:=ANY Quelle:=ANY Ziel:=ANY Aktion:=DROP Aktiv:=An

Firewall korrekt konfigurieren: fragen-zum-thema-firewall-f15/portscans ... ml#p104492

Isolierter Modus:=Ja (/Setup/LAN-Bridge/Isolierter-Modus)

entsprechendes Routing-Tag (> 0) für die VPN-Gegenstelle konfigurieren:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

WAN-Tag-Tabelle entsprechend konfigurieren:

fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html

https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781

und dann kommen durch den VPN-Tunnel nur noch die Datenpakete durch, für welche eine explizite Firewallregel existiert.

Und wenn man das Netzwerk vor Schadsoftware schützen will, muss man sich auch zwingend mit dem Thema "VLAN" befassen:
viewtopic.php?f=41&t=16109&p=90529&hili ... ise#p90529
Antworten