sonnelacht
Goto Top

VPN-Client soll je nach Anmeldenamen ein bestimmtes VLAN erreichen

Hallo,

unsere Struktur trennt jede Abteilung in ein eigenes VLAN. Die VLANs untereinander werden, je nach Intention, auf einem Switch mit entsprechenden ACLs geroutet.

Außer den Abteilungs-VLANs gibt es ein VLAN für VPN-Clients (historisch bedingt). Und natürlich ein Server-VLAN und ein Admin-VLAN und und und.

Ich habe einen Firewall-Server Windows Server 2008 R2, auf dem RRAS-Dienste installiert sind. Der Server dient VPN-Clienten zur Verbindung mit dem internen Netzwerk über L2TP/IPSec. Bisher war an dem Server intern eine NIC angeschlossen, die im Adressbereich des VLAN VPN-Cleinten angebunden war. Die Client-IP-Adresse wurde vom DHCP-Server vergeben, der auf dem DC installiert ist und alle Bereiche (VLANs) bereitstellt.

Das VLAN für VPN-Clients, in dem diese nach der Einwahl "gelandet" sind, wird (fälschlicherweise) in alle Abteilungs-VLANs geroutet. Das hebelt natürlich die Restriktionen der ACLs auf dem Switch aus. Wenn man von einer Abteilung in die andere rein möchte, muss man einfach nur den VPN-Client nehmen.

Das soll nun geändert werden. Ich habe dem Server nun statt einer internen Netzwerkkarte für VLAN VPN-Clients alle relevanten internen Netzwerkkarten aus allen Abteilungs-VLANs gegeben.

Leider bekomme ich es nicht hin, je nach Benutzername bzw. Gruppenzugehörigkeit des Benutzers der sich gerade per VPN anmeldet, eine Adresse aus dem "richtigen" Abteilungs-VLAN vom DHCP zu holen. Ich habe NAP installiert und auch eine Policy definiert. Ich kann (zum Test ob die Policy greift) damit einen Benutzer aussperren oder dem Clienten eine feste IP-Adresse (aus jedem beliebigen VLAN) vergeben. Das scheint also die richtige Stelle zu sein.

Funktioniert aber nicht. Bei den Radius-Standard-Optionen der Policy kann man in Tunnel-Group-ID die VLAN-ID vergeben, das hat aber keine Auswirkungen. Egal ob ich die VLAN-ID numerisch, als String, dezimal oder hexadezimal eingebe, es bringt gar nichts. Er holt immer die IP-Adresse vom "zentralen" Servernetzwerk, in dem der DHCP steht, und bekommt damit eine IP-Adresse aus diesem Netzwerk und nicht aus einem der anderen Abteilungs-VLANs.

Was mache ich falsch? Hat das schon mal jemand gemacht?

Jens

Content-Key: 415694

Url: https://administrator.de/contentid/415694

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: NordicMike
NordicMike 10.02.2019 um 11:44:58 Uhr
Goto Top
Ich habe zwar keine Lösung für Deine Frage, aber die Idee finde ich nicht schlecht. Ich frage mich gerade, ob es überhaupt nötig ist die VPN User ins Abteilungs-VLAN zu stecken, er würde ja höchstens seine benachbarten PCs aus seiner Abteilung sehen. Im Endeffekt musst Du ja trotzdem zu den zentralen Diensten routen, Fileserver, Druckerserver, Internet usw.

Wenn es wenige Abteilungen sind, kannst Du ja auch einfach mehrere VPN Dienste starten, eines für jedes VLAN.
Mitglied: SonneLacht
SonneLacht 11.02.2019 um 11:50:06 Uhr
Goto Top
Danke... Das hat mich jetzt zum Nachdenken gebracht. Ist nicht ganz abwegig.

- Manchmal soll zwischen einem internen PC und einem externen, mit VPN verbundenem Gerät, eine Verbindung hergestellt werden. Das wollte ich eigentich im Abteilungs-VLAN lassen. Kann ich aber sicher neu durchdenken.
- Richtig ist, dass ja nur Zugriffe zu Servern und Druckern realisiert werden müssen.

Ich glaube der Fehler ist, dass mich der VPN-Zugang der etxernen Geräte gestört hat. Und wenn die über VPN reinkommen, können die alles. Nicht nur Sever, sondern alle Abteilungen. Mich hat nicht gestört, dass Außendienstler in alle Abteilungen und Server können.

Ich glaube ich werden den externen Geräten einen extra VPN-Zugang und ein eigenes VLAN geben.

Mit "mehrere VPN Dienste starten" meinst Du auf einem (!) Server? Mehrere RRAS-Dienste? Geht das?