Hallo,
Szenario:
Der Client baut eine VPN-Verbindung mit dem Server auf und ist mit diesem verbunden.
Problem:
Unter Umständen nutzt er ab jetzt bei Internetanfragen nicht mehr seine eigene Internet-Verbindung, sondern über den VPN-Tunnel die Internet-Verbindung des Servers.
Wie kann man das serverseitig verhindern?
Und muss man dann clientseitig immer eingreifen und seine Netzwerkeinstellungen anpassen?
Für VPN-Client Internet-Zugang verbieten
Moderator: Lancom-Systems Moderatoren
Hi TM71131
was versteht du unter VPN? IPSec oder PPTP?
Bei IPSec beschränkst du am einfachsten auf der Client-Seite, welches Netz er erreichen kann. Sinnvollerweise begrenzt du dies auch noch zusätzlich mit passenden IPSec-Regeln auf der Serverseite.
Wenn du PPTP meinst und Windows nutzt, dann deaktivierst du auf der PPTP-Verbindung einfach das Häkchen bei "Standardgateways für das Remotenetzwerk verwenden" in den Eigenschaften der PPTP-Verbindung unter Netzwerk -> Internetprotokoll (TCP/IP) -> Eigenschaften -> Allgemein -> Erweitert -> Allgemein
Ansonsten brauchst du auf der Serverseite eine Firewall, die das unterbindet.
Gruß
Backslash
was versteht du unter VPN? IPSec oder PPTP?
Bei IPSec beschränkst du am einfachsten auf der Client-Seite, welches Netz er erreichen kann. Sinnvollerweise begrenzt du dies auch noch zusätzlich mit passenden IPSec-Regeln auf der Serverseite.
Wenn du PPTP meinst und Windows nutzt, dann deaktivierst du auf der PPTP-Verbindung einfach das Häkchen bei "Standardgateways für das Remotenetzwerk verwenden" in den Eigenschaften der PPTP-Verbindung unter Netzwerk -> Internetprotokoll (TCP/IP) -> Eigenschaften -> Allgemein -> Erweitert -> Allgemein
Ansonsten brauchst du auf der Serverseite eine Firewall, die das unterbindet.
Gruß
Backslash
Ich denke IPsec 
Nutze das VPN des Lancom 1811 und einen Advanced Client und versuche mich, einzuarbeiten.
Ich hatte erst einmal versucht, über eine Firewall-Regel die Dienste HTTP/FTP zu verbieten. Aber das hat nichts gebracht.
Zweiter Versuch über zwei Regeln:
1. Voller Zugriff auf lokales Netzwerk
2. Vollständiges Reject auf beliebige Ziele.
Da Regel 1 eine höhere Priorität hat, sollte die Zugriffserlaubnis doch stärker sein als das Verbot in Regel 2?
Wäre das überhaupt der richtige Weg?
Was meinst Du mit IPSec-Regeln? Sind das zusätzliche Regeln zur Firewall?
Sorry, wenn ich so dumm frage.
Nutze das VPN des Lancom 1811 und einen Advanced Client und versuche mich, einzuarbeiten.
Ich hatte erst einmal versucht, über eine Firewall-Regel die Dienste HTTP/FTP zu verbieten. Aber das hat nichts gebracht.
Zweiter Versuch über zwei Regeln:
1. Voller Zugriff auf lokales Netzwerk
2. Vollständiges Reject auf beliebige Ziele.
Da Regel 1 eine höhere Priorität hat, sollte die Zugriffserlaubnis doch stärker sein als das Verbot in Regel 2?
Wäre das überhaupt der richtige Weg?
Was meinst Du mit IPSec-Regeln? Sind das zusätzliche Regeln zur Firewall?
Sorry, wenn ich so dumm frage.
Hi TM71131
Wenn du in dieser Regel die Quelle von "alle Stationen" auf "alle Stationen im lokalen Netz" einschränkst, dann kann der Client gar keine SA mehr aushandeln, die den Zugriff auf das Internet ermöglicht. In diesem Fall mußt du aber auch im Client die erreichbaren Netze einschränken (bzw. du mußt das Netz explizit eintragen), da der Client den Tunnel sonst gar nicht erst aufgebauen kann.
Gruß
Backslash
das sollte funktionieren.Zweiter Versuch über zwei Regeln:
1. Voller Zugriff auf lokales Netzwerk
2. Vollständiges Reject auf beliebige Ziele.
Da Regel 1 eine höhere Priorität hat, sollte die Zugriffserlaubnis doch stärker sein als das Verbot in Regel 2?
Wenn der Client SAs aushandeln kann, um alle Stationen zu erreichen, dann existiert in der Firewall schon eine Regel, die das erlaubt. Die Regel sieht ungefähr so aus:Was meinst Du mit IPSec-Regeln? Sind das zusätzliche Regeln zur Firewall?
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: alle Stationen
Ziel: Gegenstelle VPN-Client
Dienste: alle DiensteGruß
Backslash