Rechner in kleinem Netz sollen unterschiedliche Ziele haben

[mriess 10]

Hallo zusammen,

eventuell könnt ihr mir ja mit Ideen zu folgendem Problem weiterhelfen:

 

Kleine Aussenstellen unserer Firma sind mit 80xer-Routern und VPN zur Zentrale verbunden. D.h. die Rechner in den kleinen Netzen gehen nicht direkt ins Internet, sondern werden gleich über den Tunnel ins Firmennetz geleitet, um dort die Sicherheitsfeatures mit zu nutzen.

 

Nun besteht die Anforderung, dass sich externe Personen in den Aussennetzen einstecken sollen, die aber aus Sicherheitsgründen nur ins Internet kommen dürfen. Auf dem Router sehe ich da kein Problem, aber wie unterscheide ich die Rechner im Aussennetz?

 

Wie könnte man das realisieren?

- 2 Vlans in den Netzen machen und das eine über den Tunnel, das andere direkt ins Internet schleusen? (Wir haben auch Cisco-Switche in den Aussenstellen).

- Aber wie könnnen wir technisch realisieren, dass die externen Rechner auch als solche erkannt werden und automatisch in das passende Vlan kommen? Im Hauptnetz verwenden wir zwar VMPS, aber ich würde das eher nicht in die Aussennetze promoten (Verbindungs- und Ausfallsicherheit). Und ein extra VMPS für die Aussennetze aufbauen wird sich nicht lohnen.

 

Klar ginge es organisatorisch, dass man spezielle Ports für die Externen reserviert, aber aus Sicherheitsgründen ist das nur die zweitbeste Lösung.

 

Also: noch Ideen oder Fragen?

 

Gruß

Mick

[xcode-tobi 10]

Hallo,

die "externen" wählen sich ja vermutlich per VPN ins Firmennetz ein. Wenn dem so ist, kannst du doch die VPN-User in eine seperates Subnetz stecken...

Aber warum sollte sich denn jemand per VPN (z.B. über Internet) in die Firma einwählen um dann wieder zurück ins Internet zukommen ??

[mriess 10]

nicht einwählen, sondern direkt einstecken.

Die externen Dienstleister sind in der Aussenstelle und brauchen dort halt Internetzugang. Aber sonst sollen sie gerade nicht ins Firmennetz kommen.

[lefg 276]

Wenn sich jemand per Kabel in eine Infrastruktur einklinkt, dann ist er doch im physikalischen Netz. Oder nicht? Was ist denn unter Firmennetz zu verstehen in diesem Fall?

[mriess 10]

ja, das Ganze ohne Zeichnung zu machen, ist schwierig.

Ich versuchs nochmal zu erklären:

 

Es gibt zwei Netze

Netz A = Aussenstelle

Netz B = großes Netz am Hauptsitz

 

A hat zu B eine permanente VPN-Verbindung.

In A sollen sich nun externe Personen an den Switch stecken können und ins Internet kommen, aber nicht nach B. Ausserdem sollen diese Externen in A von den Firmenmitarbeitern getrennt sein.

[xcode-tobi 10]

achso.... OK!

Also wenn du das per WLAN lösen kannst/willst, ist es eigentlich recht einfach. Da kannst du eben dem WLAN-Netz den Zugriff auf das "interne" Netz verbieten. Wenn du das mit einer LAN-Lösung machen willst, wird's schon ein wenig schwieriger. Ich vermute, die externen oder auch Gäste benutzen dann die gleichen LAN-Dosen wie die Mitarbeiter?! In diesem Falle könnte man es über MAC-Filter machen, aber das ist eher ungeeignet oder aber du legst einen Gast-User an, der eben nur auf bestimmte Resourcen zugriff hat...

[#9370 10]

Alternative zu VMPS wäre 802.1x, aber da bist du auch von der Zentrale abhängig, denn da würden wahrscheinlich die Radius Server stehen....

 

/#9370

[lefg 276]

In A sollen sich nun externe Personen an den Switch stecken können und ins Internet kommen, aber nicht nach B. Ausserdem sollen diese Externen in A von den Firmenmitarbeitern getrennt sein.

VLAN wäre wohl die Lösung, so der Switch es kann.