Hallo,
über die VPN-Tunnel zwischen 1711 (Aussenstellen) und 7111 (Zentrale) soll ausschliesslich am TerminalServer in der Zentrale gearbeitet werden. Ich würde deshalb gern am 7111 den VPN-Verkehr auf RDP bzw. Port 3389 beschränken und alles andere blockieren.
Ich komme mit der Regelerstellung im Lanconfig nicht klar, insbesondere mit den VPN-spezifischen Optionen. Hat jemand einen Tip, wie das Grundgerüst so einer Regel aussehen müsste?
Danke!
VPN-Traffic auf bestimmtes Protokoll/Port beschränken
Moderator: Lancom-Systems Moderatoren
Hi jansen
in der Zentrale sähe das dann so aus (unter der Annahme, daß die VPN-Gegenstelle FILIALE heißt):
und in der Filiale (unter der Annahme, daß die VPN-Gegenstelle ZENTRALE heißt):
Gruß
Backslash
am einfachsten läßt due die Firewall die ganze Arbeit machen. Dazu brauchst du nur zwei Regeln, eine die allen traffic über die VPN-Verbindung verbietet und eine die RDP erlaubt:Ich komme mit der Regelerstellung im Lanconfig nicht klar, insbesondere mit den VPN-spezifischen Optionen. Hat jemand einen Tip, wie das Grundgerüst so einer Regel aussehen müsste?
in der Zentrale sähe das dann so aus (unter der Annahme, daß die VPN-Gegenstelle FILIALE heißt):
Code: Alles auswählen
Name: DENY-VPN
Quelle: alle Stationen
Ziel: Gegenstelle FILIALE
Dienste: alle Dienste
Aktion: zurückweisen
Name: ALLOW-RDP
Quelle: alle stationen im lokalen Netz
Ziel: Gegenstelle FILIALE
Dienste: UDP, Zielport 3389
Aktion: übertragenCode: Alles auswählen
Name: DENY-VPN
Quelle: Gegenstelle ZENTRALE
Ziel: alle Stationen
Dienste: alle Dienste
Aktion: zurückweisen
Name: ALLOW-RDP
Quelle: Gegenstelle ZENTRALE
Ziel: alle stationen im lokalen Netz
Dienste: UDP, Zielport 3389
Aktion: übertragenBackslash
Hi backslash,
dafür schonmal danke!
Mit 15 Filialen müsste ich so aber 15 Regeln in der Zentrale anlegen und dann noch die 15 Filial-Router entsprechend konfigurieren, oder!?
Ich hatte gehofft, das mit einer Einstellung am Zentral-Router erschlagen zu können. Sollte sich dafür nicht die Aktions-Bedingung "Nur für VPN -Route" einsetzen lassen?
jansen
dafür schonmal danke!
Mit 15 Filialen müsste ich so aber 15 Regeln in der Zentrale anlegen und dann noch die 15 Filial-Router entsprechend konfigurieren, oder!?
Ich hatte gehofft, das mit einer Einstellung am Zentral-Router erschlagen zu können. Sollte sich dafür nicht die Aktions-Bedingung "Nur für VPN -Route" einsetzen lassen?
jansen
Hi jansen
letztenlich reicht es auch aus, das in der Zentrale zu machen - dann wird Traffic aus den Filialen halt erst in der Zentrale geblockt...
Ach ja, eine Frage, wo steht der Server und wo die Clients? Für einen Terminal-Server in der Zentrale sind die oben genannten Regeln nämlich "falsch herum". Korrekt müßten sie lauten (jetzt nur für die Zentrale):
Du mußt auch keine 15 Regeln anlegen, das kannst du in jeweils einer Regel machen, in der du einfach alle Filialen aufzählst
Genauso kannst du dir natürlich die Deny-Regel sparen, wenn du in der Zentrale bereits eine "Deny-All" Strategie fährst...
Gruß
Backslash
letztenlich reicht es auch aus, das in der Zentrale zu machen - dann wird Traffic aus den Filialen halt erst in der Zentrale geblockt...
Ach ja, eine Frage, wo steht der Server und wo die Clients? Für einen Terminal-Server in der Zentrale sind die oben genannten Regeln nämlich "falsch herum". Korrekt müßten sie lauten (jetzt nur für die Zentrale):
Code: Alles auswählen
Name: DENY-VPN
Quelle: Gegenstelle FILIALE
Ziel: alle Stationen
Dienste: alle Dienste
Aktion: zurückweisen
Name: ALLOW-RDP
Quelle: Gegenstelle FILIALE
Ziel: alle Stationen im lokalen Netz (oder IP des Terminal-Servers)
Dienste: UDP, Zielport 3389
Aktion: übertragen Genauso kannst du dir natürlich die Deny-Regel sparen, wenn du in der Zentrale bereits eine "Deny-All" Strategie fährst...
Gruß
Backslash