Hej, vad är det bästa sättet att begränsa användare med VPN-tillgång till mitt nätverk så att de bara kan få tillgång till vissa servrar?
Jag hade hoppats att det skulle finnas ett sätt att göra det med en VPN-server, eftersom min idé var att ha en VPN-server i varje vlan vilket är överdrivet.
Scenariot är att jag har ett hem-labb hemma och vill att mina vänner ska kunna få tillgång till en eller två servrar jag har satt upp, men ha full tillgång till mitt nätverk om jag är ute och rör mig. Jag har för närvarande en pfsense-router, juniper-switch och några virtuella servrar och annat här och där.
Du behöver en split tunneling-profil för VPN och sedan skapa de nödvändiga brandväggsreglerna mellan VPN:s insida nätverk och destinationerna.
Om VPN:s insida nätverk är Y och VPN-användare 1 bara behöver tillgång till (någon IP-adress kallad X) så skulle deras split tunneling-profil endast inkludera X/32 och deras nätverksgränssnitt på deras sida ärver en rutt till X/32
Och din brandväggsregel skulle ange policyn för tillgång via VPN till X, källa adress Y/? och destination X, port ?, tillåten.
Jag var tvungen att läsa detta tre gånger och googla vissa saker, men nu börjar det bli begripligt. Jag ska undersöka att sätta upp detta och testa det. Tack!
Jag är säker på att jag sov halvt och missade något
Med ett access VPN loggar en användare in på VPN:en och en nätverksadapter skapas på deras maskin som innehåller rutter till tillåtna subnät, vilket specificeras i split tunneling-profilen för VPN-konfigurationen som tilldelas användaren eller användarrollen.
VPN:en har ett yttre gränssnitt (offentlig IP) och ett inre gränssnitt. Du tilldelar ett nätverk till det interna området. När en användare autentiseras tilldelas en av adresserna i det nätverket till dem.
Så om du vill att en användare bara ska kunna få tillgång till ett visst nätverk eller bara en IP, skulle det konfigureras i profilen.
Du behöver en brandväggsregel för att tillåta kommunikation mellan de två nätverken, men jag antar att det kan gå att kringgå om allt är på samma nätverk.