Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

VPN (SSL/IPSec) Nutzer Zugriff aus fremdem Land

Hallo Zusammen, 

ich würde gerne bei mir folgendes bauen:

Nur bestimmte Nutzer aus einem Ausland sollen per VPN eine SSL/IPsec Verbindung zu meinem lokalen Netzwerk aufbauen. 

Leider konnte ich bis jetzt mit einer Countryblocker-Firewallregel dies nicht lösen.

Ich habe in den ZSL-Ausnahmeregeln es so gebaut, dass VPN Dienste aus dem Ausland nicht greifen sollen. Das einzige, was klappt ist wenn ich in den ZSL-Ausnahmeregeln ein Land dementsprechend entferne. Dies führt aber dazu, das man generell eine VPN-Verbindung aus dem Land aufbauen kann aber nicht das nur  beschränkte Personen die Dienste nutzen dürfen.

Vielen Dank für eure Hilfe.

Beste Grüße



Added TAGs
[edited by: Raphael Alganes at 1:36 PM (GMT -8) on 25 Nov 2024]
Parents
  • Hallo schönen guten Tag,

    wäre es eine Idee über die IP zu filtern oder einen FQDN-HOST sprich DDNS Adresse zu verwenden worüber gefiltert wird? Also alles verbieten und nur die IPs/DNS Adressen erlauben?

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Moin Patrick,

    also meinst du, das wenn der jeweilige Nutzer sich per VPN authentifizieren möchte, eine feste IP aus dem VPN-IP-Bereich bekommt und ich diese statische IP im Prinzip als Ausnahme konfiguriere? 

    Wenn dann müsste ich im Prinzip eine weitere ZSL-Regel über meine Deny-Regel bauen, die die vorgegebene IP-Adresse als Quellhost definiert und diese dann mit den VPN-Diensten zulässt. 

    Allerdings wird das so, denke ich, nicht funktionieren, da ich mich im Prinzip erstmal authentifizieren müsste damit ich eine IP bekomme. Dies wird aber durch meine Regel direkt unterbunden.

    Einen FQDN Host möchte ich eigentlich nicht extra dafür anlegen.

    Da erwarte ich eigentlich, das man dies unkompliziert über die Sophos regeln kann. 

    Letztendlich geht es nur darum, dass wenn bestimmte Mitarbeiter mal in einem Land Urlaub machen, wo Traffic zu mir blockiert ist, diese dennoch per VPN auf meine Ressourcen zugreifen können. 

    Eigentlich ist das ja nix ungewöhnliches..

    Danke vorab.

    VG

    Sylvain

  • Ah ok, verstehe.

    An die Möglichkeit habe ich eben auch schon gedacht wenn es kein "fester" Home Office Arbeitsplatz ist. Dazu hätte ich im Prinzip auch eine Lösung, von dyndns gibt es ein installer für Windows. So würde das Notebook immer den korrekten DNS Eintrag mit der aktuellen IP senden zur Sophos. In wie weit das nun praktikabel ist, weiß ich nicht. Ich meine der dyndns installer startet automatisch mit und übertragt auch sofort, aber mit dem habe ich 10 Jahre und länger nicht gearbeitet.

    Dann würde es noch Portunity geben (feste IPKIT), das halte ich aber für nicht praktikabel an einem Mobilen Platz.

    Oder du testet Nord VPN oder einer der unzähligen Anbieter. Dann sendet er darüber halt immer eine IP aus Deutschland dann wird die Sophos auch annehmen. Aber aus Erfahrung weiß ich das eine VPN in einer VPN sehr träge sein kann!

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Moin Phillip,

    jo habe ich auch dran gedacht, aber der Kollege wollte das "Land" ja nicht freigeben und da wollte ich nicht reinreden.

    Aber ja, so würde ich es wahrscheinlich auch lösen wollen :)

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • DYNDNS hört sich gut an. Damit hast du genau eine bekannte/erlaubte IP in der Ausnahme stehen.

    Den Client habe ich noch nicht verwendet. Mein Dyndns-Anbieter (freedns) bietet auch eine URL für den Browser.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ich wäre da nichts so ängstlich, was den Zugriff aus dem Ausland auf die Firewall betrifft. Mit Country-blocking habe ich keine guten Erfahrungen gemacht, lohnt m.E. den Aufwand nicht.

    Dann lieber das VPN "richtig" sicher machen und das Logfile mit den chinesischen, nordkoreanischen und russischen Adressen ignorieren. Die richtig bösen Buben wissen nämlich auch, wie man Geoblocking umgeht.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Nur meine persönliche Meinung

    JAEIN :) Country-blocking  ist schon ganz gut gegen die ganzen täglichen 0815 Scans. Aber hat es jemand tatsächlich gezielt auf einen Betrieb abgesehen, ist es wie Phillip sagte, die kleinste Hürde die Country-IP zu ändern.

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallo Dirk, Hallo Philipp,

    erstmal vielen Dank für die schnelle Antworten. 

    Unsere SSL/IPSEC Verbindungen sind bereits mit MFA abgesichert. 

    Ja Countryblocking kann für den Standartkram nützlich sein, aber natürlich haben es gute Leute relativ schnell durchschaut. 

    Das gewünschte Ziel, was ich anstrebe, wäre im Prinzip natürlich auch ein cooles Nice-Have.

    Also höre ich im Prinzip nun raus, das es so, wie ich es angedacht habe,  gar nicht möglich ist, korrekt?

    VG

  • Nein leider nicht!

    Entweder schränkst du die Öffentlichen IPs ein, wie ich es vorgeschlagen habe. Oder folgst Phillip seinen Vorschlag. Ich glaube das beide Lösungen gut sind. Das ein VPN eine 2FA hat setze ich voraus, alles andere ist heut zu Tage schon fast Fahrlässig.

    Du hast die Qual der Wahl :)

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Obwohl man, wenn man es schaffen würde, das nur bestimmte Nutzer per VPN sich in einem Land verifizieren dürften, welches eigentlich geblockt ist, es selbst für die bösen Buben in der Theorie unmöglich macht, dummes Zeug anzustellen. 

  • Daher war ich über mich selber erschrocken, über den coolen Einfall mit dyndns. Weil wie Dirk sagte, nur eine IP! Die erlaubt ist. Aber dann musste nur aufpassen, das die keiner den DDNS Account hackt und seine IP einträgt.

    Naja...... leider ist gar nichts zu 100% sicher, einen Tot stirbt man immer!

    LG

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • DynDns wäre da glaube ich dann noch eine gute Zusatzoption. Denn ein digitales Zertifikat haben die IPSEC Verbindungen bereits bei mir. 

Reply Children
No Data