Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 18 replies
  • Answers 2 answers
  • Subscribers 10 subscribers
  • Views 297 views
  • Users 0 members are here
Options
Suggested

VPN (SSL/IPSec) Nutzer Zugriff aus fremdem Land

SylvainL

Hallo Zusammen, 

ich würde gerne bei mir folgendes bauen:

Nur bestimmte Nutzer aus einem Ausland sollen per VPN eine SSL/IPsec Verbindung zu meinem lokalen Netzwerk aufbauen. 

Leider konnte ich bis jetzt mit einer Countryblocker-Firewallregel dies nicht lösen.

Ich habe in den ZSL-Ausnahmeregeln es so gebaut, dass VPN Dienste aus dem Ausland nicht greifen sollen. Das einzige, was klappt ist wenn ich in den ZSL-Ausnahmeregeln ein Land dementsprechend entferne. Dies führt aber dazu, das man generell eine VPN-Verbindung aus dem Land aufbauen kann aber nicht das nur  beschränkte Personen die Dienste nutzen dürfen.

Vielen Dank für eure Hilfe.

Beste Grüße



Added TAGs
[edited by: Raphael Alganes at 1:36 PM (GMT -8) on 25 Nov 2024]
Parents
  • 0

    Hallo schönen guten Tag,

    wäre es eine Idee über die IP zu filtern oder einen FQDN-HOST sprich DDNS Adresse zu verwenden worüber gefiltert wird? Also alles verbieten und nur die IPs/DNS Adressen erlauben?

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    Moin Patrick,

    also meinst du, das wenn der jeweilige Nutzer sich per VPN authentifizieren möchte, eine feste IP aus dem VPN-IP-Bereich bekommt und ich diese statische IP im Prinzip als Ausnahme konfiguriere? 

    Wenn dann müsste ich im Prinzip eine weitere ZSL-Regel über meine Deny-Regel bauen, die die vorgegebene IP-Adresse als Quellhost definiert und diese dann mit den VPN-Diensten zulässt. 

    Allerdings wird das so, denke ich, nicht funktionieren, da ich mich im Prinzip erstmal authentifizieren müsste damit ich eine IP bekomme. Dies wird aber durch meine Regel direkt unterbunden.

    Einen FQDN Host möchte ich eigentlich nicht extra dafür anlegen.

    Da erwarte ich eigentlich, das man dies unkompliziert über die Sophos regeln kann. 

    Letztendlich geht es nur darum, dass wenn bestimmte Mitarbeiter mal in einem Land Urlaub machen, wo Traffic zu mir blockiert ist, diese dennoch per VPN auf meine Ressourcen zugreifen können. 

    Eigentlich ist das ja nix ungewöhnliches..

    Danke vorab.

    VG

    Sylvain

  • 0 in reply to SylvainL

    Huhu,

    ne ich meine die öffentliche IP des users. Er benutzt zum Beispiel eine FritzBox in der Schweiz. Dann hinterlegt man eine DDNS Adresse in der FritzBox z.B HOschweiz.dyndns.org. Die FritzBox sendet ihre IP an die Sophos, die Sohos löst die IP 1.1.1.1 auf zu = HOschweiz.dyndns.org.  somit darf sich die FritzBox aus der Schweiz an deine Firewall verbinden.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    ahh so meinst du das. 

    Jetzt verstehe ich deinen Ansatz.

    Da haben wir uns missverstanden. Der Nutzer nutzt per Sophos Connect mit seinem Notebook einen VPN Tunnel zu mir. Der Nutzer ist auch immer mobil. Heißt, mal ist er im mobilen Netz unterwegs, mal in irgendeinem Hotel-Wlan.

    Grüße

  • 0 in reply to SylvainL

    Das Land, aus welchem du SSL/IPsec-VPN zulassen möchtest, wählst du unter Administration/Device-Access/Local service ACL exception rule (und schaltest diese Ausnahme auf "ALLOW"). Den Entsprechenden SSL/IPsec-VPN - Haken nimmst du für die WAN-Zone unter "Local service ACL"  raus.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to SylvainL

    Das Land, aus welchem du SSL/IPsec-VPN zulassen möchtest, wählst du unter Administration/Device-Access/Local service ACL exception rule (und schaltest diese Ausnahme auf "ALLOW"). Den Entsprechenden SSL/IPsec-VPN - Haken nimmst du für die WAN-Zone unter "Local service ACL"  raus.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data
Unfiltered HTML