XG 18.5 Match users über VPN möglich, wenn der DC auf der Gegenseite steht?

Guten Tag,

das Szenario sieht so aus, dass eine XG via VPN mit der Zentrale verbunden ist. In der Zentrale stehen DCs, auf den STAS läuft.

Für den Internetverkehr läuft alles und die Event-ID wird gelesen bzw. die XG in der Außenstelle erhält die Information.

Wenn ich durch den VPN-Tunnel auch nur "known users" durchlassen möchte, um z. B. ein fremdes Gerät/User ausschließen lassen zu können, gibt es keinen Datenverkehr bzw. Authentifizierung. Ist es das berühmte Henne-Ei-Problem und daher nicht lösen oder gibt es noch alternative Möglichkeiten?

Viele Grüße aus dem Norden

  • Die Standort-DC's müssen auch in STAS rein.

    Es werden die Anmeldeereignisse auf dem/den DC erfasst und daran der Nutzer festgemacht.

    Wenn er sich in der Außenstelle authentifiziert ... gibt es diese Ereignisse nun mal auf dem DC der Außenstelle.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Verstehe ich das richtig, dass in der Außenstelle auch ein DC stehen muss, der wiederum die Berechtigung hat sich mit dem Master in der Zentrale zu verbinden, damit "known users" aktiviert werden können? Ich habe es derzeit deaktiviert und es gedanklich als Sicherheits-Feature gedacht.

  • Nicht ganz. Wenn in der Nebenstelle ein DC steht, wo sich der "User" authentifizieren könnte, muss da auch STAS drauf.

    Wichtig ist halt, auf den DC's, welche Anmeldeereignisse erfahren (jeder Domänen-Nutzer authentifiziert sich ja irgendwo) diese abzugreifen, auszuwerten und an die Firewall(s) zu senden.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Vielleicht habe ich mich nicht ganz klar ausgedrückt. Derzeit sind in der Zentrale zwei DCs mit STAS vorhanden. Über den VPN Tunnel läuft die Authentifizierung für das Websurfen über WAN in der Außenstelle. In der Außenstelle ist und soll kein DC vorhanden sein. Diese Tatsache wird dann wohl der Grund sein, dass "known users" nicht aktiviert werden kann, wenn es um den VPN-Tunnel geht. Korrekt?

  • Na ja, die Nutzer müssen sich ja irgendwo authentifizieren.

    Wenn es an den Niederlassungen keinen DC gibt, erfolgt die Authentifizierung wahrscheinlich an den zentralen DC's.

    Wenn in den Anmelde-logs dieser DC's die IP des Clients in der Außenstelle drinsteht ... sollte es eigentlich auch funktionieren.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.