Jump to content

Firewallregeln für die VPN Verbindung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich hab folgendes vor: ich administriere einen Windows 2008 Server der in einem RZ steht (also "nur" im Internet und in keinem LAN), der aktuell Exchange Dienste anbietet (für eine Arbeitsgruppe).

 

Es gibt aber noch weitere Anforderungen wie z.B. der Zugriff auf Netzlaufwerke, wie man das von Windows Servern kennt, die im LAN stehen. Die Lösung die mir da sofort in den Sinn kam war ein VPN einzurichten. Jetzt soll das natürlich möglichst transparent und ohne großes IP konfiguriere sein, die Clients sollen sich einfach per VPN "reinverbinden", und ausschließlich Traffic, der für den Server gedacht ist, soll über die VPN Verbindung geschickt werden. Mein Plan war also die Firewall so zu konfigurieren, das eben bei VPN Verbindungen der entsprechende Zugriff gestattet wird, und bei normalen Zugriffsversuchen aus dem Internet, eben der Port geblockt wird.

 

Geht denn das? Wenn ja wie? Ich hab hier mal eine Testumgebung aufgesetzt, bin aber bislang nicht erfolgreich, das VPN war immer schnell konfiguriert, aber der Zugriff kann nicht so wie ich das will reguliert werden (Also VPN Clients: Zugriff erlaubt, nicht VPN Clients: kein Zugriff).

 

Der VPN Zugriff erfolgt via SSTP, und es werden keine neuen IP Adressen o.ä. verteilt, es gibt lediglich diese "Verbindung".

 

Ich hoffe ich hab mich einigermaßen klar ausgedrückt, und hoffe auf Antworten. Vielen Dank schonmal im Voraus,

 

- Stephan

Link zu diesem Kommentar

Hallo Stephan,

 

ich gehe mal davon aus Du terminierst den VPN Tunnel auch in dieser DMZ. Wohlmöglich auch auf diesem Exchange Server. Wenn das so ist, kannst Du an der Firewall (die zw. deinem Exch. und dem Inet steht) soviel rumdrehen wie Du willst. Blocken wirst Du damit keinerlei Traffic innerhalb des VPN Tunnels.

 

Wenn Du den die Zugriffe innerhalb des VPN regeln möchtest mußt Du auf dem VPN Endpunkt die entsprechenden Ports die Du erlauben möchtest freigeben und den rest blocken.

 

Den Internet Traffic regelst Du wie gehabt Durch die Firewall des RZ.

Link zu diesem Kommentar
Kann ich der Windows Firewall sagen, dass bestimmte Ports/Dienste erlaubt sind, solange der Benutzer per VPN angemeldet ist, ohne extra interne Netzwerk Adapter mit extra IP Konfiguration zu versehen?

Nein! Die Windows Firewall kennt keinen Unterschied zw. VPN und dem restlichen Netzwerk. Es bestände zwar die Möglichkeit deinen VPN User anhand der IP zu erkennen. Jedoch kann die Standard Windows Firewall lediglich ausnahmen für Ports konfigurieren und dies nicht auf IP Adressen beschränken.

 

Ich würde dazu den RRAS Dienst der Servers nutzen und die IP Filter konfigurieren.

Link zu diesem Kommentar

Danke für Deine Antwort.

 

Just to make things clear: Ich benutze die Windows Firewall mit erweiterter Sicherheit (Windows 2008), und die hat ja einige Häkchen und Konfigurationsparameter, u.a. auch um Verbindungen nur von autorisierten Benutzern zuzulassen (meine Tests brachten bisher nichts). Wenn ich Dich richtig verstehe, nützt mir auch die nichts!

 

"Richtige" Lösung:

 

Der RRAS Server wird so konfiguriert, dass er IP Adressen aus einem bestimmten privaten Bereich vergibt, und die Firewall dann entsprechend anhand der Ziel IP unterscheidet, ob sich das jetzt um VPN oder um "normalen" Traffic handelt. Seh ich das richtig? Ich habe also in etwa eine folgende Konfiguration

 

(client) <--- INTERNET --> (öffentliche IP)<-- RRAS --> private IP <--> VPN

 

Meine Fragen hierzu:

- eventuell ist der private Adressraum bei einem Benutzer schon für das lokale Netzwerk reserviert, d.h. ich kann "nur" einen ungebräuchlichen Adressraum wählen um das zu verhindern?

- Die Namensauflösung innerhalb des VPN vergibt logischerweise lokale Adressen, d.h. aber auch, dass auch eine DNS Abfrage nach den internen Hostnamen ohne eine VPN Verbindung, lokale IP Adressen liefern würde. Das ist doch nicht so schön, oder?

- Ich möchte natürlich verhindern, dass aller Traffic (auch der der in das Internet soll), über das VPN geleitet wird, d.h. der RRAS Server wird kein IPv4 NAT Router?

 

Vielen vielen Dank schonmal für eure Hilfe!

 

Gruß,

Stephan

Link zu diesem Kommentar
Just to make things clear: Ich benutze die Windows Firewall mit erweiterter Sicherheit (Windows 2008)

OK, lt. Microsoft sollte man die ja nur nutzen wenn man etwas von der Sache versteht. :D

 

"Richtige" Lösung:

 

Der RRAS Server wird so konfiguriert, dass er IP Adressen aus einem bestimmten privaten Bereich vergibt, und die Firewall dann entsprechend anhand der Ziel IP unterscheidet, ob sich das jetzt um VPN oder um "normalen" Traffic handelt. Seh ich das richtig? Ich habe also in etwa eine folgende Konfiguration

 

(client) <--- INTERNET --> (öffentliche IP)<-- RRAS --> private IP <--> VPN

Ja, so sieht dann auch mein Konzept aus.

 

Meine Fragen hierzu:

- eventuell ist der private Adressraum bei einem Benutzer schon für das lokale Netzwerk reserviert, d.h. ich kann "nur" einen ungebräuchlichen Adressraum wählen um das zu verhindern?

Benutze einfach einen Adressraum der nicht meist von den HOME-LAN Routern verwendet wird. Also etwas aus dem Netz 10.0.0.0/8 oder 172.16.0.0/12.

 

- Die Namensauflösung innerhalb des VPN vergibt logischerweise lokale Adressen,

Diese Aussage verstehe ich ganz und gar nicht. Unter Namensauflösung verstehe ich DNS und dieser Dienst vergibt keine Adresse. Das macht höchstens ein DHCP Server.

 

d.h. aber auch, dass auch eine DNS Abfrage nach den internen Hostnamen ohne eine VPN Verbindung, lokale IP Adressen liefern würde. Das ist doch nicht so schön, oder?

Irgendwie fehlt mir hier der Zusammenhang.

 

- Ich möchte natürlich verhindern, dass aller Traffic (auch der der in das Internet soll), über das VPN geleitet wird, d.h. der RRAS Server wird kein IPv4 NAT Router?

In dem Moment wo der VPN Client eine Verbindung aufgebaut hat wird der Standard Gateway des Client auf den VPN Tunnel gesetzt. Unweigerlich geht somit jeglicher Traffik in Richtung VPN. Dies wäre nur nurch manuelles konfigurieren der Routen veränderbar.

Es gibt aber auch ThirdParty Clients (ich glaube der EntryClient von NCP) bei dem Du am Client angeben kannst welche Netze in das VPN geroutet werden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...