Dirk-HH-83 14 Geschrieben 15. Juni 2022 Melden Teilen Geschrieben 15. Juni 2022 hallo, Frage: soviel andere Watchguard-VPN-Lösungswege (ausser das was in beiden letzten Sätzen steht) hat man nicht oder? Spontan wüßte ich nicht wie man VPN in der Watchguard wie im letzten Satz stehend konfiguriert. Eine watchguard hat ganz normales Firebox SSL VPN für Aussendienstler. (vpn-default-settings) (d.h. die Aussendienstler sehen das gesamte lokale Netzwerk - wenn Sie danach suchen würde) Ein externer Dienstleister braucht nun Remotezugang zu einem Webgui (es ist eine Licht+Haussteuerung zwecks Updates und Remotewartung) In der Watchguard sieht es ja per Default so aus: FROM Feld: bei einer neuen Policy kann man ja auch einzelne VPN Benutzer auswählen. TO: Feld: da steht halt standardmäßig Firebox Dies wären wohl die zwei Lösungs-Möglichkeiten laut dem Hersteller: ...ändert man entweder nur die zugelassene Destination auf den Endserver ab und dann kommen alle Parteien nur auf das Webgui oder man konfiguriert ein einkommendes Netz und Policys Manuell und lässt das VPN Netz quasi nur auf die Ressource zu. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 15. Juni 2022 Melden Teilen Geschrieben 15. Juni 2022 Die automatisch erstellten Policies auf der WatchGuard sind aus meiner Sicht viel zu offen. Da wurde der Fokus offensichtlich auf Einfachheit gelegt. Ich würde die automatisch erstellte Policy deaktivieren, eine Gruppe für die Aussendienstler erstellen sowie den Benutzer für den Dienstleister. Dann zwei Policies erstellen: - FROM: Gruppe_Aussendienstler - TO: Any sowie - FROM: Dienstleister - TO: Webgui Wobei ich auch für die Aussendienstler "Any" nicht gut finde, Den VPN-Client kann sich jeder auf einem beliebigen Gerät installieren und sich damit einwählen. Das will man nicht in allen internen Netzen haben. Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 16. Juni 2022 Autor Melden Teilen Geschrieben 16. Juni 2022 (bearbeitet) Hallo mwiederkehr, ohne VPN Policy die SSL-VPN Port 50443 auf Firebox leitet geht es m.A. nach nicht. habe getestet ob: From: Dienstleister (typ: ssl-user) To: Webgui Haussteuerung limitiert ist, wenn vorgenannte Policy in Reihenfolge über der folgenden Default Policy ist: Antwort Nein, der Dienstleister erreicht auch alle sonstigen IP-Webguis Eine Deny Policy für die sonstige lokale IP Range (über den Allow VPN Policies) löst das problem nicht. bearbeitet 16. Juni 2022 von Dirk-HH-83 Zitieren Link zu diesem Kommentar
Beste Lösung mwiederkehr 373 Geschrieben 16. Juni 2022 Beste Lösung Melden Teilen Geschrieben 16. Juni 2022 Ich meinte nicht diese Policy. Die muss schon bestehen bleiben, denn sie regelt, wer auf den SSL-VPN-Server zugreifen darf. Was die verbundenen Benutzer dann tun dürfen, regelt die automatisch erstellte Policy namens "Allow SSLVPN-Users". Dort stehen normalerweise im FROM alle SSL-Benutzer und im TO steht "Any". Deshalb würde ich diese Policy deaktivieren und eigene Regeln erstellen. Du findest sie ganz unten, da sie für alle Protokolle und Ports gilt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.