logo
18.02.2020 09:00
1
Dobrý den,

zakoupili jsme do firmy větší počet služebních ntb pro vzdálený přístup VPN do naší sítě. Potřeboval zablokovat přístup k internetu. S tím aby jediné co potřebuji aby fungovalo je VPN a připojení ke vzdálené ploše. Přes firemní firewall už jsem schopný efektivně filtrovat obsah.

Díky za pomoc.

Ondra
18.02.2020 09:11
2
Záleží jaké máte VPN řešení - vcelku běžný požadavek
18.02.2020 09:19
3
Do firemní infrastruktury povolíte vstup jen na daných portech např. 1194 a RDP / VNC 5*** podle typu služby. Na firemním zařízení kde běží firewall je OS Win nebo *UX ? Taky předpokládám, že že každá VPN je pod "loginem" např. 1 pc = 1 zaměstanec= 1 login ". Jak psal Vdusek některé VPN běží i na portu 443. Ještě můžete podle toho kolik máte " zařízení " nastavit i jinou politiku než povolení / zakázání portů. Neznám vaší infrastrukturu sítě, toto byla velmi obecná odpověď jistě někdo doplní.
18.02.2020 09:56
4
Děkuji za odpověď. Nevím jestli jsem se správně vyjádřil. Chci dosáhnout toho, aby uživatelé nepoužívali na ntb internet bez VPN. Tudíž například brouzdání na domácí wifi bez připojené VPN. Máme Kerio control.
18.02.2020 10:17
5
S OpenVPN to nastavis...
18.02.2020 10:30
6
Pokud se mají uživatelé připojit na VPN server, tak musí mít možnost používat internet bez VPN. Po připojení na VPN server je může VPN server následně omezit.

Jedině nějak přes politiky Woken by mohlo jít omezit chování klienta - to netuším

Nebylo by snazší přehodnotit svůj požadavek/zadání?
20.02.2020 15:39
7
To je tak špatně popsaný požadavek až to bolí. Vy v postatě chceta zemezit použití internetu mimo VPN přímon na noteboocích. Sebrat uživatelům administrátorská práva a na firewollu blocknout vše, kromě ip:port firemní VPN.
10.04.2020 19:18
8
jj to jde nakonfigurovat skrze windows firewall. nastaví se, že public část má přístup jen do vpn (konkrétní dns záznam a port) a nikam jinam a tím se to vyřeší ...
10.04.2020 21:58
9
osobně tohle dociluji přes routovací tabulku, kterou vracím z dhcp.

default gateway dávám buď vpn adresu, loopback či na server, který nemá zapnutý ip forward a samozřejmě provoz loguji, občas se někdo/něco pokouší tohle obejít), 0/1, 128/1 vede na gateway ve vpn síti, pokud default gateway vede na vpn adresu přidám jen /32 routu na veřejnou adresu vpn sítě.

Tohle se dá nastavovat na všech normálních routerech, takže mi to funguje s čímkoliv, zařizení bez vpn se nikam neprošťourá.

V případě, že si lidé nosí počítače domů, dá se nastavit routovací tabulka ručně, ale administrator to může změnit, to řeší třeba anyconnect, který umí routovací tabulku zamknout. Routy typu 0/1 a 128/1 jsou super, nemažou se v případě změny default gateway při připojení do sítě a zůstávají.