Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 1403 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Benutzergruppen mit Zugriffsberechtigung auf bestimmte interne Netze

PeterS_01
Hallo zusammen,

ich bin relativ neu her in dem Board, habe aber einige Erfahrungen mit dem Einsatz von ASGs. Zur Zeit bin ich in einem Projekt bei einer japanischen Firma, die eine "gewachsene" Kommunikationsumgebung mit 4 lokalen Netzwerken betreibt. Der Internetzugang wird von einem japanischen Provider mit einem NetScreen Router/FW gestellt und das wird auch so bleiben. [:(]

De Aufgabenstellung ist nun, zwei vorhandenen VPN-Zugänge (Win2003S und AllnetVPN) in einem Gateway zu vereinen und drei verschiedenen VPN-Benutzergruppen einen dedizierten Zugang zu einem oder mehreren internen Netzwerken zu garantieren.

Die Netzwerke sollen wie folgt aufgeteilt werden:

Internal1: lokale File-Server, lokale Printer, lokale Benutzer
Internal2: Terminal-Server1 - n, Finance-Server1 - n
Internal3: SafeGuard Management-Center (Encryption)
DMZ1:     SafeGuard Portal-Server, SysAid Helpdesk-Server, SysLog-Server

DieZugriffsberechtigungen sollen wie folgt aussehen:

lokale Benutzer Internal1:
Ressourcen in Internal1, Terminal-Server in Internal2
Zugang zum Internet über NetScreen Router/FW

lokale Administratoren in Internal1:
Zugang zu allen internen Netzwerken, einschl. DMZ1
Zugang zum Internet über NetScreen Router/FW

VPN Finance User:
Terminal-Server in Internal2

VPN SafeGuard Secutity Officer:
SafeGuard Management Center in Internal3

VPN Administratoren:
Zugang zu allen internen Netzwerken, einschl. DMZ1

Internet Clients (SafeGuard und HelpDesk):
Zugriff auf SafeGuard Portal-Server und SysAid HelpDesk-Server in DMZ1

SafeGuard Portal-Server:
Zugriff auf SafeGuard Managerment Center in Internal3

SysLog (Port 541):
alle internen Netze Zugriff auf DMZ1

Das ganze stelle ich mir so unter Einsatz einer ASG vor:

Der NetScreen Router/FW benötigt (min.) 4 Interfaces:
1. DSL
2. Internal1
3. VPN GW (ASG)
4. DMZ1

Die ASG benötigt (min.) 5 Interfaces:
1. VPN NetScreen
2. Internal1
3. Internal2
4. Internal3
5. DMZ1

Ist diee Aufgabe mit den Mitteln einer ASG zu lösen, indem den verschiedenen Benutzergruppen die zugelassenen Netzwerke zugewiesen, bzw geroutet werden?

Ich bedanke mich im Voraus für Antworten und Lösungsvorschläge.

mfG

Peter Schneider


This thread was automatically locked due to age.
  • 0
    Ein VPN zwischen NetScreen und ASG - wozu?

    Hat die Firma weder Mail Security noch Web Security gekauft?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Danke für die Antwort.

    Richtig, die ASG soll nur VPN und internes Routing abdecken. Web-Security macht die NetScreen und Mail Security wird unternehmensweit durch den Email Provider abgedeckt. Ich hänge mal das gedachte Konfigurationslayout an.

    Vorgabe ist, die DMZ1 mit den beiden Web-Servern direkt an die NetScreen anzuhängen. Zwischen der ASG und der NetScreen wird eine DMZ2 gebildet, die anderen Netze sind als "trusted" einzurichten. Von der DMZ1 muss direkt auf INT3 zugegriffen werden können (Port 443), ansonsten muss alles dicht sein. INT2 muss für DMZ2 (VPN) und INT1 (RDP) zugänglich sein. INT1 hat darüberhinaus direkt über die NetScreen-FW Zugang zum Web. Die externen Security Officer müssen über VPN Zugriff auf INT3 (Port 443) haben. DER Admin muss sowohl von intern als auch von extern auf alle Netze mit allen Rechten Zugriff haben.

    Kann man Benutzergruppen dediziert über VPN routen? Das ist hier die entscheidende Frage.

    Danke im Voraus für's Mitdenken,

    Peter
  • 0 in reply to PeterS_01
    Wenn ich es richtig verstehe, wird Deine Zeichnung zusätzliche Routen innerhalb jedes von den Computern in INT1 und DMZ1 erfordern. Obwohl dies annehmbar in DMZ1 sein dürfte, würde ich vorschlagen, dass Du die direkte Verbindung zwischen INT1 und dem NetScreen beseitigst. Wenn nicht, dann die Verbindung von INT1 zum ASG löschen, und Routen im NetScreen für INT1 zum ASG schaffen. 

    Man könnte doch alle drei VPNs mit IPsec 'Remote Access' machen, aber das würde eine Kopie des Astaro Security Client für jede Person erfordern und ist zu Users und Gruppen begrenzt, die explizit im ASG schon definiert worden.  Warum es nicht versuchen, mit drei verschiedenem VPNs zu machen?  SSLVPN mit Active Directorry Groups für SafeGuard, L2TP over IPsec für Finance und IPsec für den VPN Admin? 

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML