Hallo,
ich betreibe einen Lancom 1783VA als Internetrouter, der auch als VPN-Server agiert.
Derzeit verwende ich IKEv1 mit PSK und Shrewsoft-Client. Jeder Client ist als Gegenstelle angelegt, mit der ich via Firewallregeln den Zugriff auf Hosts im LAN reguliere.
Da IKEv1 veraltet ist und die Authentifizierung mit PSK nicht sicher ist (i.S.von Weitergabe des Passworts), stelle ich auf IKEv2+EAP-TLS um.
Die Struktur ist wie folgt. Windows-Server 2019 mit ADCS stellt Zertifikate aus, NPS Server authentifiziert Nutzer. 1783VA agiert als VPN Einwahlstelle.
Als Client verwende ich den Windows-Integrierten. Das funktioniert bereits!
Allerdings gibt es jetzt keine benannten Gegenstellen, wie beim alten Setup, mehr. Der Router erzeugt dynamisch eine Gegenstelle, die nach der öffentlichen IP des Clients benannt ist. Die kann ich in den Firewallregeln aber nicht auswählen. Ich muss aber den Zugriff einiger Clients (mittels Firewall?) einschränken.
Fragen:
- welche Möglichkeiten gibt es hier?
- kann man die Informationen aus dem Clientzertifikat nutzen?
- Oder kann man Firewallregeln/Routen via Radius (NPS) "freischalten"?
Danke fürs Lesen,
TH
ich betreibe einen Lancom 1783VA als Internetrouter, der auch als VPN-Server agiert.
Derzeit verwende ich IKEv1 mit PSK und Shrewsoft-Client. Jeder Client ist als Gegenstelle angelegt, mit der ich via Firewallregeln den Zugriff auf Hosts im LAN reguliere.
Da IKEv1 veraltet ist und die Authentifizierung mit PSK nicht sicher ist (i.S.von Weitergabe des Passworts), stelle ich auf IKEv2+EAP-TLS um.
Die Struktur ist wie folgt. Windows-Server 2019 mit ADCS stellt Zertifikate aus, NPS Server authentifiziert Nutzer. 1783VA agiert als VPN Einwahlstelle.
Als Client verwende ich den Windows-Integrierten. Das funktioniert bereits!
Allerdings gibt es jetzt keine benannten Gegenstellen, wie beim alten Setup, mehr. Der Router erzeugt dynamisch eine Gegenstelle, die nach der öffentlichen IP des Clients benannt ist. Die kann ich in den Firewallregeln aber nicht auswählen. Ich muss aber den Zugriff einiger Clients (mittels Firewall?) einschränken.
Fragen:
- welche Möglichkeiten gibt es hier?
- kann man die Informationen aus dem Clientzertifikat nutzen?
- Oder kann man Firewallregeln/Routen via Radius (NPS) "freischalten"?
Danke fürs Lesen,
TH
Statistik: Verfasst von ThomasHa — Heute, 16:00
