none
TMG 2010 - povolení VPN přístupu jen z autorizovaných stanic

    Dotaz

  • Řeším následující problém, ale nějak k tomu nejsem schopen dohledat relevantní informace. Nebo ty, které jsem dohledal nechápu . . .

    Doména postavená na Win Srv 2008R2, firewall realizován TMG 2010, lokální CA (Enterprise), v doméně je funkční NPS server.

    Na TMG 2010 je realizován VPN server (L2TP), s předsdíleným klíčem. Omezení přístupu k VPN je v současnosti realizováno přes doménovou skupinu.

    Což znamená, že každý uživatel, který je členem této doménové skupiny se může připojit z libovolného zařízení, za předpokladu že zná předsdílený klíč.

    Chtěl bych možnost připojení k VPN serveru omezit a to tak, aby bylo možné se připojit pouze ze stanic, které jsou v doméně a také z několika málo stanic mimo doménu, kterým bude lokální CA vydán certifikát.

    Předpokládal jsem, že v kombinaci s RADIUS serverem toho budu schopen docílit, ale čím více s v tom hrabu, tím více nejasností se objevuje.

    Měl bych následující dotazy:

    1. Je moje úvaha o omezení VPN připojení pouze na doménové nebo certifikátem (z lokální CA) ověřené stanice reálná? Lze to?

    2. Pokud ano, jakým certifikátem se musí stanice prokázat? Tedy jaké má mít certifikát parametry, na základě jaké šablony musí být vytvořený?


    BB

    18. května 2017 11:55