Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 7 subscribers
  • Views 987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG 18.5 Match users über VPN möglich, wenn der DC auf der Gegenseite steht?

fromthenorth

Guten Tag,

das Szenario sieht so aus, dass eine XG via VPN mit der Zentrale verbunden ist. In der Zentrale stehen DCs, auf den STAS läuft.

Für den Internetverkehr läuft alles und die Event-ID wird gelesen bzw. die XG in der Außenstelle erhält die Information.

Wenn ich durch den VPN-Tunnel auch nur "known users" durchlassen möchte, um z. B. ein fremdes Gerät/User ausschließen lassen zu können, gibt es keinen Datenverkehr bzw. Authentifizierung. Ist es das berühmte Henne-Ei-Problem und daher nicht lösen oder gibt es noch alternative Möglichkeiten?

Viele Grüße aus dem Norden



Added TAGs
[edited by: Erick Jan at 3:04 AM (GMT -7) on 30 May 2023]
Parents
  • 0

    Die Standort-DC's müssen auch in STAS rein.

    Es werden die Anmeldeereignisse auf dem/den DC erfasst und daran der Nutzer festgemacht.

    Wenn er sich in der Außenstelle authentifiziert ... gibt es diese Ereignisse nun mal auf dem DC der Außenstelle.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Verstehe ich das richtig, dass in der Außenstelle auch ein DC stehen muss, der wiederum die Berechtigung hat sich mit dem Master in der Zentrale zu verbinden, damit "known users" aktiviert werden können? Ich habe es derzeit deaktiviert und es gedanklich als Sicherheits-Feature gedacht.

Reply
  • 0 in reply to dirkkotte

    Verstehe ich das richtig, dass in der Außenstelle auch ein DC stehen muss, der wiederum die Berechtigung hat sich mit dem Master in der Zentrale zu verbinden, damit "known users" aktiviert werden können? Ich habe es derzeit deaktiviert und es gedanklich als Sicherheits-Feature gedacht.

Children
  • 0 in reply to fromthenorth

    Nicht ganz. Wenn in der Nebenstelle ein DC steht, wo sich der "User" authentifizieren könnte, muss da auch STAS drauf.

    Wichtig ist halt, auf den DC's, welche Anmeldeereignisse erfahren (jeder Domänen-Nutzer authentifiziert sich ja irgendwo) diese abzugreifen, auszuwerten und an die Firewall(s) zu senden.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Vielleicht habe ich mich nicht ganz klar ausgedrückt. Derzeit sind in der Zentrale zwei DCs mit STAS vorhanden. Über den VPN Tunnel läuft die Authentifizierung für das Websurfen über WAN in der Außenstelle. In der Außenstelle ist und soll kein DC vorhanden sein. Diese Tatsache wird dann wohl der Grund sein, dass "known users" nicht aktiviert werden kann, wenn es um den VPN-Tunnel geht. Korrekt?

  • 0 in reply to fromthenorth

    Na ja, die Nutzer müssen sich ja irgendwo authentifizieren.

    Wenn es an den Niederlassungen keinen DC gibt, erfolgt die Authentifizierung wahrscheinlich an den zentralen DC's.

    Wenn in den Anmelde-logs dieser DC's die IP des Clients in der Außenstelle drinsteht ... sollte es eigentlich auch funktionieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Für die Authentifizierung gibt es den VPN-Tunnel. Wenn "known users" aktiviert wird, gibt es keinen Eintrag am DC in STAS und die Firewall blockt es in der Außenstelle bereits.

  • 0 in reply to fromthenorth

    Oh, ok, Sorry. Deswegen "Henne-Ei-Problem".

    Eine erfolgreiche Authentifizierung kann natürlich nur dann stattfinden, wenn der DC erreichbar ist. Nur dann gibt es den Log-Eintrag und STAS erfährt davon.

    Hier wäre also ein Zugriff mittels Authentifizierungsdiensten (DNS, Kerberos,usw) auf die DC's auch für unbekannte Nutzer nötig. Also eine zusätzliche FW-regel.

    Alternativ ein DC in der Aussenstelle...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML