Hallo zusammen,
ich stehe gerade ein wenig am Schlauch.
Unser Securepointpartner hat seinerzeit eine rudimentäre SSL-VPN Konfiguration vorgenommen.
Jeder in der AD-Gruppe "VPN" darf eine Verbindung herstellen und das Regelwerk besagt dann auch Vollzugriff auf alle Netzwerke.
Dies war soweit i.O., allerdings kommt nun ein Dienstleister um die Ecke, welcher VPN Zugang möchte, aber unsererseits eben nicht
auf das gesamte Unternehmensnetzwerk zugreifen soll.
Wunsch wäre nun, dass die AD-Benutzergruppe "Dienstleister" nur auf eine IP zugreifen darf.
Leider lässt sich keine zweite Roadwarrior-Benutzergruppe anlegen, welche SSL-VPN darf und dann im Regelwerk (Paketfilter) auftaucht,
da wir nur eine öffentliche IP haben und diese nicht mehrfach als Gateway in Benutzergruppen auftauchen kann.
Wie wäre hier der ideale Weg?
Je Dienstleister einen zusätzlichen VPN-Tunnel anlegen halte ich für etwas übertrieben.
Grüße
ToWa
SSL-VPN Berechtigungen nach AD-Benutzergruppen
Moderator: Securepoint
Moin,
> [font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]Leider lässt sich keine zweite Roadwarrior-Benutzergruppe anlegen, welche SSL-VPN darf und dann im Regelwerk (Paketfilter) auftaucht,[/font]
Warum nicht?
Theoretisch ist das vorgehen korrekt, neue AD Gruppe erstellen, zusätzliche Gruppe in der Securepoint erstellen und dann im Regelwerk verfügbar machen.
Gruß
> [font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]Leider lässt sich keine zweite Roadwarrior-Benutzergruppe anlegen, welche SSL-VPN darf und dann im Regelwerk (Paketfilter) auftaucht,[/font]
Warum nicht?
Theoretisch ist das vorgehen korrekt, neue AD Gruppe erstellen, zusätzliche Gruppe in der Securepoint erstellen und dann im Regelwerk verfügbar machen.
Gruß
Naja, theoretisch hatte ich mir das genau so gedacht und dann sehe ich, dass in der primären Roadwarrior-Gruppe unsere öffentliche IP eingetragen ist als "Remote Gateway".
Diese steht mir in weiteren Gruppen dann aber nicht mehr zur Verfügung.
Diese steht mir in weiteren Gruppen dann aber nicht mehr zur Verfügung.
du kannst beim Benutzer bei Remote Gateway auch reinschreiben.
ich habe z.B. SPDNS auf meiner UTM, zusätzlich bei meiner Domain noch einen A-Eintrag für die feste IP meines Anschlusses.
Damit die Clients nun nicht den SPDNS als Remote Gateway bekommen, kann ich dort meine angelegte Subdomain eintragen
ich habe z.B. SPDNS auf meiner UTM, zusätzlich bei meiner Domain noch einen A-Eintrag für die feste IP meines Anschlusses.
Damit die Clients nun nicht den SPDNS als Remote Gateway bekommen, kann ich dort meine angelegte Subdomain eintragen
guck an, manchmal ist es soooo einfach.