Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Srv 2008] VPN clients beperken tot uitsluitend RDP verkeer

Pagina: 1
Acties:

zondag 18 november 2012 21:37

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 28-11 14:21

JasperE

Topicstarter
Momenteel heb ik een microsoft 2008 RRAS server achter een NAT router draaien.

Clients kunnen een VPN verbinding opzetten met deze server, en krijgen van de DHCP die draait op de domein controller een IP in ons LAN subnet. Dat werkt prima.

Maar nu wil ik echter voorkomen dat geinfecteerde of slecht beveiligde systemen die verbinding met het VPN maken de overige clients op het LAN kunnen besmetten (worms etc.)

Ik wil de server daarom graag zo instellen dat uitsluitend RDP verkeer (TCP dest. port 3389) vanaf de VPN clients richting de overige computers die aan de switch hangen mogelijk is.

Is dit mogelijk zonder de VPN server in een ander subnet te plaatsen? Deze VPN server vervult namelijk ook nog andere rollen waarvoor wenselijk is dat deze server in hetzelfde subnet als de clients draait.

Of kan ik beter voor een geheel andere aanpak kiezen om mijn doel te bereiken?

Layout:
code:
1
2
3
4
5
6
7
8
9

WAN
   |
NAT Router
   |
LAN switch (met clients op subnet 192.168.0.0)
   |                          |                   |
VPN Server                   DC               Clients
   |
VPN Clients


Op google kan ik maar weinig over dit probleem vinden, de oplossing die ik telkens tegenkwam was het verplaatsen van de VPN server naar een eigen vlan/subnet direct onder de NAT router.

[ Voor 5% gewijzigd door JasperE op 18-11-2012 21:40 ]

zondag 18 november 2012 22:20

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

[google=2008 RRAS port filter]

http://technet.microsoft....ry/dd458983(v=ws.10).aspx
http://technet.microsoft....ry/dd469754(v=ws.10).aspx

Alstu. 2 tellen zoekwerk.

[ Voor 50% gewijzigd door alt-92 op 18-11-2012 22:22 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 18 november 2012 22:59

Acties:
  • LordMorgoth
  • Registratie: April 2003
  • Niet online

LordMorgoth

Valar Morghulis!

Lijkt me dat je dan beter gebruik kan gaan maken van een RDS gateway.

http://technet.microsoft....ry/dd983941(v=ws.10).aspx

Valar Morghulis! All men must die -- Jaqen H'ghar

zondag 18 november 2012 23:30

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 28-11 14:21

JasperE

Topicstarter
alt-92 schreef op zondag 18 november 2012 @ 22:20:
[google=2008 RRAS port filter]

http://technet.microsoft....ry/dd458983(v=ws.10).aspx
http://technet.microsoft....ry/dd469754(v=ws.10).aspx

Alstu. 2 tellen zoekwerk.
Het is gelukt! Ik had die filters al uitgeprobeerd maar ze bleken te slaan op al het verkeer voor de geselecteerde netwerkadapter, niet alleen de VPN routering. Door de VPN clients niet via DHCP een IP toe te wijzen, maar een static 255.255.255.240 range op te geven waaruit de VPN server adressen voor VPN clients kan uitdelen, kon ik de volgende outgoing filters instellen:

Sta alle verkeer toe vanaf VPN Server's eigen IP.
Sta alle verkeer toe vanaf VPN subnet op TCP 3389
Sta alle verkeer toe vanaf VPN subnet op TCP&UDP 53 (DNS nodig voor resolven pc-namen)
Blok alle overige uitgaande traffic
LordMorgoth schreef op zondag 18 november 2012 @ 22:59:
Lijkt me dat je dan beter gebruik kan gaan maken van een RDS gateway.

http://technet.microsoft....ry/dd983941(v=ws.10).aspx
Klinkt ook interessant! Die optie ga ik morgen een bekijken.

[ Voor 20% gewijzigd door JasperE op 18-11-2012 23:31 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq