[GELÖST] Eigenes Subent für VPN Clients?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

[GELÖST] Eigenes Subent für VPN Clients?

Beitrag von b.junghans »

Hi,
wie alle haben wi rmomentan eine stark erhöhte Anzahl an Mitarbetern die über VPN von zu Hause arbeiten. Bringt 2 Thematiken:
1. Der IP Bereich im aktuellen Subnet wird eng
2. Teilweise benutzen sie Privatgeräte. Eigentlich keine Lust die im Netzwerk zu haben.

Überlegung:
Eigenes IP Subnetz für die Einwahlen per VPN Client. Man gibt den VPN Verbinudngen ja nen IP Pool mit, diesen eben wünschenswert in einem eigenen Subent.
Dieses Subnet dann per Firewall auf die Terminalserver bzw den Workstation bereich zu begrenzen, so dass sie schon mal nicht an andere Netzwerkinfrastruktur kommen.

Sowas jemand schon mal gemacht? Evtl. kurze Step aufzählung was gemacht werden muss? (Routen, Firewall,...)
Danke!
Zuletzt geändert von b.junghans am 18 Mär 2020, 11:05, insgesamt 1-mal geändert.
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: Eigenes Subent für VPN Clients?

Beitrag von b.junghans »

grad mal getestet:
man kann den pool anscheinend einfach in nen eigenes subnet legen und muss bei routing und firewall nix weiter einstellen.
Sehr angenehm
ThomasPro
Beiträge: 9
Registriert: 27 Jul 2014, 11:51

Re: [GELÖST] Eigenes Subent für VPN Clients?

Beitrag von ThomasPro »

Ich habe das so gelöst, dass ich eine Firewall-Regel (Deny) für die VPN-IP-Bereiche (hier benannt VPN2 und VPN3) eingerichtden habe.

Dann habe ich für jeden Mitarbeiter eine Regel erstellt, die für seine Gegenstelle (Stationsobjekt) und den Projektserver und zu seinem Rechner (ebenfalls beides Stationsobjekte) den Quell und Zielverkehr zulässt.
So sind andere Adressen im Netz für ihn nicht erreichbar.

Okay, wenn das zuviele werden ist das evtl zuviel Einrichtungsaufwand.

Thomas
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: [GELÖST] Eigenes Subent für VPN Clients?

Beitrag von b.junghans »

um die firewall regeln mache ich mir am wenigsten gedanken, ging mir hauptsächlich um nen eigenen adressbereich.
dieser war vorher im hauptnetz 192.168.0.0/24

nun habe ich den adresspool für die vpn verbindungen in 192.168.200.0/24 gelegt. und erlaube in der firewal traffic aus diesem netz nur zu den terminalservern und den adressberiech in dem die workstations der leute liegen die auf ihrem eigenen rechner per rdp arbeiten.
Antworten