Momenteel hebben wij een 2 tal Cisco 5510's in het rack hangen.
Er maken diverse mensen IPsec verbindingen middels de Cisco VPN client om toegang te krijgen tot het lokale netwerk achter de Cisco. Dit verloopt allemaal goed.
Echter, er moet verschil in gebruikers gemaakt worden. Er zijn 2 groepen:
- reguliere gebruikers
- beheerders
De reguliere gebruikers kunnen remote desktop, lokale intranet en order entry systeem benaderen.
De beheerders hebben toegang tot de 5 back-end servers in het lokale netwerk. Gebruikers moeten deze dus niet direct kunnen benaderen maar moet altijd via de front-end servers verlopen.
Ik heb gedacht om verschillende IP ranges aan te maken:
front-end : 192.168.2.x
back-end : 192.168.3.x
Een router zorgt voor communicatie onderling.
Wanneer een beheerder VPN toegang verleent krijgt hij een adres uit de 192.168.3.x range.
Lastige is dat een gebruiker een adres uit de 192.168.2.x range, er moet dan een aparte range worden gemaakt welke zich niet laat routeren naar 192.168.3.x (vb blokken in de firewall).
VLAN's is mogelijk ook een goede oplossing.
front-end -> back-end directe verbinding.
Tweede kaart in de front-end server in het VLAN van de gebruikers groep.
Maar volgens mij kun je een Cisco vpn gebruiker niet in een VLAN groep toewijzigen bij verbinding (?)
Heeft iemand tips / best practices ?
Er maken diverse mensen IPsec verbindingen middels de Cisco VPN client om toegang te krijgen tot het lokale netwerk achter de Cisco. Dit verloopt allemaal goed.
Echter, er moet verschil in gebruikers gemaakt worden. Er zijn 2 groepen:
- reguliere gebruikers
- beheerders
De reguliere gebruikers kunnen remote desktop, lokale intranet en order entry systeem benaderen.
De beheerders hebben toegang tot de 5 back-end servers in het lokale netwerk. Gebruikers moeten deze dus niet direct kunnen benaderen maar moet altijd via de front-end servers verlopen.
Ik heb gedacht om verschillende IP ranges aan te maken:
front-end : 192.168.2.x
back-end : 192.168.3.x
Een router zorgt voor communicatie onderling.
Wanneer een beheerder VPN toegang verleent krijgt hij een adres uit de 192.168.3.x range.
Lastige is dat een gebruiker een adres uit de 192.168.2.x range, er moet dan een aparte range worden gemaakt welke zich niet laat routeren naar 192.168.3.x (vb blokken in de firewall).
VLAN's is mogelijk ook een goede oplossing.
front-end -> back-end directe verbinding.
Tweede kaart in de front-end server in het VLAN van de gebruikers groep.
Maar volgens mij kun je een Cisco vpn gebruiker niet in een VLAN groep toewijzigen bij verbinding (?)
Heeft iemand tips / best practices ?
:strip_icc():strip_exif()/u/264022/sharks_60x60.jpg?f=community)