none
VPN Verbindung - Client erhält öffentliche IP des Zielnetzwerks. RRS feed

  • Frage

  • Hallo zusammen,
    meine Frage betrifft VPN Verbindungen über VPN Router.

    Wenn ein Client sich per VPN mit dem Unternehmensnetzwerk verbindet bekommt er dessen öffentl. IP.
    Kann das verhindert werden?

    Hintergrund:
    Ein Mitarbeiter im HomeOffice baut eine VPN Verbindung auf und surft gleichzeitug im Internet, bzw. lädt einen Film runter.
    Nun hat der Abeitgeber eine Abmahnung, weil seine öffentl. IP in dem Server aufgetaucht ist.

    Für Eure Hilfe schon mal vielen dank,
    Michael
    Dienstag, 7. Dezember 2010 20:10

Alle Antworten

  • Hi,

    BTW: Hast Du einen TMG Server als VPN Server? Das hier ist ein Forefront Forum, wo es sich u. a. um Forefront TMG, der Microsoft Firewall handelt, welche auch VPN Server sein kann.
    Also bei TMG ist das so, dass Du festlegen kannst, ob der VPN Client eine IP vom internen DHCP Server oder aus einem am TMG hinterlegten IP-Adressbereich erhaelt!
    Wenn dann der VPN Mitarbeiter ueber den TMG surft, geht er mit der oeffentlichen IP-Adresse des TMG nach draussen, weil an das HTTP Protokol der Webproxyfilter gebunden ist und der macht immer NAT! Kann man nur ausstellen, indem man ein Custom HTTP Protokol erstellt und dann den Webproxyfilter nicht daran bindet!
    Macht der Mitarbeiter denn mit seinem Endgeraet Split Tunneling oder ist das ausgeschaltet?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 7. Dezember 2010 20:18
    Moderator
  • Danke Marc,

    es handelt sich um eine ISA 2006, werde das morgen beim Kunden mal überprüfen.
    Der Mitarbeiter sitzt im Ausland, was der genau verwendet muss ich noch erfragen.

    Habe aber das Problem auch bei einem anderen Kunden, da werden allerdings nur Draytek Router verwendet.

    Nochmals vielen Dank,
    Michael
    Dienstag, 7. Dezember 2010 20:31
  • Hi,

    alles klar. Dann schau mal nach. Auch wenn das Netzwerkverhaeltnis VPN-Clients nach EXTERN in der ISA Konfiguration ROUTE ist, gehen HTTP Verbindungen weiterhin ueber den Webproxyfilter und somit bei ISA Server 200x mit der ersten gebundenen IP-Adresse am externen Interface nach draussen.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 7. Dezember 2010 20:39
    Moderator
  • Moin,

    die IP-Adresse die der Client selbst bekommt, wird als Adresspool definiert. Das dürfte nicht die IP sein, die als öffentliche IP-Adresse an ISA gebunden ist. Wenn du einen Tunnel aufbaust und dann auf dem Client ipconfig ausführst, siehst du die Adresse (geht auch im ISA unter Monitorint/Sitzungen)

    Wenn der Client dann bei einem Internetaufruf die öffentliche IP zum browsern verwendet, gibt es kein Split-Tunneling. Das heißt, der ganze traffik wird über den Tunnel geschickt. Wenn im Browser dann noch ISA als Proxy eingetragen ist, geht der Client übers Firmennetz ins Internet.

    Um das Problem des Kunden zu lösen, sehe ich zwei Ansätze.

    1. Du setzt einen Webfilter auf dem ISA ein. (wenn du auf TMG aktuallisierst, hast du einen dabei) Damit kann verhindert werden, das bestimmte Kategorien aufgerufen werden können. Zusätzlich gibt es ein Reporting. Wenn der Mitarbeiter weiß, was er darf und das er überwacht wird, reicht das meistens schon aus.

    2. Du aktivierst Split-Tunneling. Dadurch geht der Internet-Traffic am Tunnel vorbei direkt ins Internet. Das könnte man aber als Sicherheitrisiko betrachten. Ein Client könnte dann einen Film (ink. Virus) runterladen und der hat über den Tunnel zugriff ins Unternehmen.

    Wenn du (der Kunde) die volle Kontrolle über den Internet Zugriff haben möchte, könnt ihr auch Websense als PlugIn mit ISA verbinden. Damit können dann auch mobile Clients überwacht werden, obwohl sie keinen Tunnel aufgebaut haben. (kost aber ...)


    Viele Grüße Carsten
    Mittwoch, 8. Dezember 2010 07:02