Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 1179 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN vom Admin zu versch. Endkunden (site 2 ras?)

G22
Hallo zusammen, 

ich sollte als selbständiger IT Betreuer mehrere Kunden per VPN zur Fernwartung (VNC) im Zugriff haben.
Wie macht Ihr das so?: Zu jeden Kunden ne feste Site-to-Side VPN? (Hierbei Thema Sicherheit: Ich möchte nicht das der Kunde auch mein Netzwerk bzw sogar das meiner anderen Kunden sehen/zugreifen kann..)
Gibt es eine Möglichkeit einer Art Site-To-Ras Verbindung zu allen Kunden einzurichten (beim Kunde ein Ras Zugang in der Astaro, den meine Astaro bei entsprechender IP anfrage aufbaut wäre ideal..) 
DANKE


This thread was automatically locked due to age.
Parents
  • 0
    was spricht gegen Host2LAN, am besten mit SSL remote access?
    der aufwand der client-inst ist m.e. zu vernachlaessigen...
    gruss
  • 0 in reply to AMros
    was spricht gegen Host2LAN, am besten mit SSL remote access?
    der aufwand der client-inst ist m.e. zu vernachlaessigen...
    gruss


    Schon aber ich hätte es gerne Rechnerunabhängig.. bei meinem alten Draytek gab es genau so eine Funktion. Dann konnte jeder im netz die IP´s des Kunden sofort erreichen..
  • 0 in reply to G22
    Du kannst grundsätzlich permanente Site2Site-Verbindungen aufbauen.

    In einer Tunnel-Definition beschreibst Du typischerweise Dein eigenes LAN als lokales Netz und das KundenLAN1 (... KundenLAN2 usw.) als Remote-Netz.
    Auto Packet Filter lässt Du aus und definierst für jeden Kunden eigene PacketFilter Regeln, idealerweise immer nur ausgehend. z.B.
    von: lokalesLAN zu:KundenLAN1 service:VNC
    Wenn Du pro Kunde eine Verbindung hast, kannst Du individuell jeden Tunnel aufbauen. Beim Kunde läßt Du ihn immer an, bei Dir aktivierst Du bei Bedarf.

    Wenn Du aus Bequemlichkeit immer alle Tunnel aktiv lassen willst, hast Du natürlich eine besondere Verantwortung. Die Kunden können nicht untereinander auf Ihre Netze zugreifen.
    Aber wenn es bei Dir im Netz zu einem Sicherheitsvorfall (Virus etc.) kommt, kann es theoretisch zu einer Ausbreitung in alle angeschlossenen Netze kommen.
    Daher sollte man den aufwendigeren aber sauberen Weg gehen, und wirklich nur die notwendigsten PacketFilter-Regeln aufstellen, inkl. Definition des Services. Keinesfalls sollten "ANY" Regeln zum Einsatz kommen.
    Bei einem hohen Schutzbedarf sollten die Tunnel für jeden Kunden nur im Support-Fall aktiviert werden und anschliessend wieder deaktiviert.

    Ich hoffe, das war verständlich ;-)
Reply
  • 0 in reply to G22
    Du kannst grundsätzlich permanente Site2Site-Verbindungen aufbauen.

    In einer Tunnel-Definition beschreibst Du typischerweise Dein eigenes LAN als lokales Netz und das KundenLAN1 (... KundenLAN2 usw.) als Remote-Netz.
    Auto Packet Filter lässt Du aus und definierst für jeden Kunden eigene PacketFilter Regeln, idealerweise immer nur ausgehend. z.B.
    von: lokalesLAN zu:KundenLAN1 service:VNC
    Wenn Du pro Kunde eine Verbindung hast, kannst Du individuell jeden Tunnel aufbauen. Beim Kunde läßt Du ihn immer an, bei Dir aktivierst Du bei Bedarf.

    Wenn Du aus Bequemlichkeit immer alle Tunnel aktiv lassen willst, hast Du natürlich eine besondere Verantwortung. Die Kunden können nicht untereinander auf Ihre Netze zugreifen.
    Aber wenn es bei Dir im Netz zu einem Sicherheitsvorfall (Virus etc.) kommt, kann es theoretisch zu einer Ausbreitung in alle angeschlossenen Netze kommen.
    Daher sollte man den aufwendigeren aber sauberen Weg gehen, und wirklich nur die notwendigsten PacketFilter-Regeln aufstellen, inkl. Definition des Services. Keinesfalls sollten "ANY" Regeln zum Einsatz kommen.
    Bei einem hohen Schutzbedarf sollten die Tunnel für jeden Kunden nur im Support-Fall aktiviert werden und anschliessend wieder deaktiviert.

    Ich hoffe, das war verständlich ;-)
Children
  • 0 in reply to KKnecht
    Was spricht gegen ganz normalen VPN Remote-Access (RoadWarrior)?

    Da die sich verschiedenen Kundennetze möglicherweise überlappen, würdest Du einfach individuell bei Bedarf die VPN-Verbindung herstellen.
  • 0 in reply to trollvottel
    Eigentlich nix ....

    Schon aber ich hätte es gerne Rechnerunabhängig.

    Das hier hatte ich aber so verstanden, daß er von jedem Rechner aus seinem LAN potentiell per VNC auf die Kundennetze zugreifen will.
    Aber ich gebe Dir recht, sobald Kundennetze sich überlappen wird es interessant .... weiß ich aus eigener, leidvoller Erfahrung [:(]

    Aber da habe ich mit der Astaro in den letzen 8 Jahren noch immer einen Ausweg gefunden !! Einfach klasse, wie sich alles entwickelt hat.
    So, daß musste zwischendurch mal wieder gesagt werden [:D]
  • 0 in reply to KKnecht
    Danke für die Antworten.
    Hab schon fasst befürchtet das es nicht ganz ohne Aufwand geht.
    Werde dann wohl der einfachheit und sicherheit halber beim der VPN Remote-Access (RoadWarrior) Variante bleiben.
    Das mit  den überlappenden IP Netzen kann echt Anstrengend sein..
Unfiltered HTML