Server im VPN unsichtbar machen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
CIM
Beiträge: 18
Registriert: Do 05.03.2015, 20:41

Server im VPN unsichtbar machen

Beitrag von CIM »

Hallo SP Gemeinde,

ich möchte über eine Regel einen bestimmten Server im SSL-VPN unsichtbar bzw. nicht erreichbar machen.
Hintergrund ist die HTTP-Proxy Konfiguration. Damit unsere User mit ihren Notebooks auch ausserhalb der Firma im Internet surfen können, übergeben wir die Proxy-Konfig per wpad script.
Das Script liegt auf einem internen Webserver. der Pfad dorthin übergeben wir mittels DHCP.
Das funktioniert auch soweit sehr gut. Problematisch wird das Ganze bei bestehendem VPN-Tunnel. Weil dann ja der Webserver erreichbar ist, wird das Script gefunden und der Proxy benutzt.
Das soll verhindert werden.
Meiner Meinung nach ist das am einfachsten über eine Regel, die die Pakete aus dem VPN zum Webserver dropt.
Mir ist nur nicht ganz klar wie diese Regel aussehen muss. Destnat, hidenat, von wo nach wo?
Wenn jemand eine ganz andere Idee hat, immer her damit. Ansonsten bitte ich um Hilfe bei der beschriebenen Regel.
Im Voraus schon mal vielen Dank für Eure Hilfe.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

einfach die Regel schreiben. SSL-VPN Netz => Server => Dienst => DROP/Reject. Diese Regel sollte vor allen anderen Regeln zu dem Thema SSL-VPN stehen. Das Regelwerk wird von oben nach unten abgearbeitet. Wird es erst erlaubt können Sie danach dies nicht mehr verbieten und anders herum.

Gruß Björn

CIM
Beiträge: 18
Registriert: Do 05.03.2015, 20:41

Beitrag von CIM »

Bjoern hat geschrieben: Hallo,

einfach die Regel schreiben. SSL-VPN Netz => Server => Dienst => DROP/Reject. Diese Regel sollte vor allen anderen Regeln zu dem Thema SSL-VPN stehen. Das Regelwerk wird von oben nach unten abgearbeitet. Wird es erst erlaubt können Sie danach dies nicht mehr verbieten und anders herum.

Gruß Björn
Hallo Bjoern,
habe die Antwort jetzt erst gesehen. Hatte es aber zwischenzeitlich auch schon so gelöst.
Dennoch vielen Dank für die Antwort. ;o)

Antworten