Hej,
Vi har några servrar som körs i Azure och en användare behöver få tillgång till utanför nätverket.
Detta gäller endast för en användare, är P2S det rätta valet? Och vilken guide bör jag följa för detta?
Inget, jag har upptäckt att det redan är konfigurerat, och jag har XML-filen
Men den nuvarande konfigurationen är inställd på flera rutter. Jag skulle vilja begränsa den till endast ett IP-område för denna användare. Hur kan jag göra detta på bästa sätt?
Azure VNG gör inte riktigt routing efter grupper/användare så som jag har sett. Men du kanske vill titta på Bastion Host istället för den användaren. Den ger inte nätverksåtkomst till VM:en, men ger KVM-åtkomst (antingen RDP eller SSH), och du kan använda RBAC-behörigheter för att tillåta endast vissa användare eller grupper att få tillgång till specifika maskiner.
Bastion är inte gratis
Hmm okej, jag försökte ansluta och såg all routing, det är därför jag undrar
Ja, det kan du göra om du använder AAD-autentisering med Microsoft VPN-klienten, du kan bevilja endast den specifika användaren åtkomst till MS VPN-klient-appen i AAD. Men det kan finnas saker att ta hänsyn till om du väljer den vägen, du kan behöva en DNS-forwarder för att få det att fungera, vilket du förmodligen har i din miljö.
OP nämnde att de redan hade VNG med en P2S som de kunde ladda ner XML-konfigurationen för.
Du kan använda gruppen för att ge dem tillgång till VNG till klienten, men ur ett nätverksperspektiv ger det dem tillgång till vilken annan användare som helst som ansluter till VNG. Många VPN-servrar ger dig möjlighet att säga “Användare i GruppA kan komma åt Nätverk1”, “Användare i GruppB kan komma åt Nätverk2”, etc; VNG ger inte den nivån av detaljer.
Bra att veta, ingen annan kommer ha tillgång till XML-filen. Jag kommer att importera den till användarens dator och radera den.
Det enda jag är orolig för är att den nuvarande konfigurationen innehåller flera routade IP-adresser och jag vill att den användaren endast ska få tillgång till vissa IP, inte alla. Hur kan jag göra det?
EDIT: hittade detta i en annan tråd (det kommer förhoppningsvis att fungera)
"men om du öppnar VPN-konfigurationsfilen xml kan du lägga till exkluderingsrutt. Lägg bara till IP-intervallet i exkluderingsrutt och dela det med utvecklaren. Nedan exempel. Vi gjorde samma för en av våra kunder.
x.x.x.x24 "Det är bra för att underlätta för slutanvändaren, men med tanke på att de kan ändra sin XML är det vanligtvis inte betraktat som ett säkerhetsåtgärd. Det är bara ett sätt att säkerställa att rutten inte överlappar eller att användaren råkar göra fel. Om det är allt du behöver, är det OK, men var medveten om att det vanligtvis inte godkänns vid en revision om det är vad du strävar efter.