Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG 18.5 Match users über VPN möglich, wenn der DC auf der Gegenseite steht?

fromthenorth

Guten Tag,

das Szenario sieht so aus, dass eine XG via VPN mit der Zentrale verbunden ist. In der Zentrale stehen DCs, auf den STAS läuft.

Für den Internetverkehr läuft alles und die Event-ID wird gelesen bzw. die XG in der Außenstelle erhält die Information.

Wenn ich durch den VPN-Tunnel auch nur "known users" durchlassen möchte, um z. B. ein fremdes Gerät/User ausschließen lassen zu können, gibt es keinen Datenverkehr bzw. Authentifizierung. Ist es das berühmte Henne-Ei-Problem und daher nicht lösen oder gibt es noch alternative Möglichkeiten?

Viele Grüße aus dem Norden



Added TAGs
[edited by: Erick Jan at 3:04 AM (GMT -7) on 30 May 2023]
  • 0

    Die Standort-DC's müssen auch in STAS rein.

    Es werden die Anmeldeereignisse auf dem/den DC erfasst und daran der Nutzer festgemacht.

    Wenn er sich in der Außenstelle authentifiziert ... gibt es diese Ereignisse nun mal auf dem DC der Außenstelle.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

    • 0 in reply to dirkkotte

      Verstehe ich das richtig, dass in der Außenstelle auch ein DC stehen muss, der wiederum die Berechtigung hat sich mit dem Master in der Zentrale zu verbinden, damit "known users" aktiviert werden können? Ich habe es derzeit deaktiviert und es gedanklich als Sicherheits-Feature gedacht.

      • 0 in reply to fromthenorth

        Nicht ganz. Wenn in der Nebenstelle ein DC steht, wo sich der "User" authentifizieren könnte, muss da auch STAS drauf.

        Wichtig ist halt, auf den DC's, welche Anmeldeereignisse erfahren (jeder Domänen-Nutzer authentifiziert sich ja irgendwo) diese abzugreifen, auszuwerten und an die Firewall(s) zu senden.


        Dirk

        Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
        Sophos Solution Partner since 2003
        If a post solves your question, click the 'Verify Answer' link at this post.

        • 0 in reply to dirkkotte

          Vielleicht habe ich mich nicht ganz klar ausgedrückt. Derzeit sind in der Zentrale zwei DCs mit STAS vorhanden. Über den VPN Tunnel läuft die Authentifizierung für das Websurfen über WAN in der Außenstelle. In der Außenstelle ist und soll kein DC vorhanden sein. Diese Tatsache wird dann wohl der Grund sein, dass "known users" nicht aktiviert werden kann, wenn es um den VPN-Tunnel geht. Korrekt?

          • 0 in reply to fromthenorth

            Na ja, die Nutzer müssen sich ja irgendwo authentifizieren.

            Wenn es an den Niederlassungen keinen DC gibt, erfolgt die Authentifizierung wahrscheinlich an den zentralen DC's.

            Wenn in den Anmelde-logs dieser DC's die IP des Clients in der Außenstelle drinsteht ... sollte es eigentlich auch funktionieren.


            Dirk

            Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
            Sophos Solution Partner since 2003
            If a post solves your question, click the 'Verify Answer' link at this post.

            • 0 in reply to dirkkotte

              Für die Authentifizierung gibt es den VPN-Tunnel. Wenn "known users" aktiviert wird, gibt es keinen Eintrag am DC in STAS und die Firewall blockt es in der Außenstelle bereits.

              • 0 in reply to fromthenorth

                Oh, ok, Sorry. Deswegen "Henne-Ei-Problem".

                Eine erfolgreiche Authentifizierung kann natürlich nur dann stattfinden, wenn der DC erreichbar ist. Nur dann gibt es den Log-Eintrag und STAS erfährt davon.

                Hier wäre also ein Zugriff mittels Authentifizierungsdiensten (DNS, Kerberos,usw) auf die DC's auch für unbekannte Nutzer nötig. Also eine zusätzliche FW-regel.

                Alternativ ein DC in der Aussenstelle...


                Dirk

                Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
                Sophos Solution Partner since 2003
                If a post solves your question, click the 'Verify Answer' link at this post.

            Unfiltered HTML