VPN

Hálózatok egyéb

Üdv,

Egy érdekes kérdésben kérnék egí kis segítséget.
Szeretnénk egy VPN-t kiépíteni. Lehetőség szerint windows alapút. Egy olyan terméket keresek ami csak bizonyos eszközökről engedélyezi a VPN kapcsolatot.

pl: Van több laptop. Ezeknek valami azonosítóját berögzitve bejöhetnek VPN-en. De ha lemegy mondjuk az illető egy net kávézóban akkor hiába ismeri a jelszót és a beállítást, a hardveres azonosítás miat tnem fog menni.

Hordozható eszköz nem jöhet szóba, mert úgye azt használhatja mind a két helyen.
Tokent is néztem, de az csak a jelszó vissza fejthetetlenségét "garantálja", de mivel a kulcs hordozható ezért bárhonnan be tud lépni vele.

Látot már valaki esetleg ilyen megoldást?

  • 2523 megtekintés

( apal v | 2011. 04. 20., sze – 12:36 )

hat o"o"o": egy barmilyen mezei tuzfalon csak azokat az ip:port kombinaciokat engedelyezed, ahonnan be tudnak lepni a juzerek a vpn-be.

ja, de akkor igy szinte sehogy nem lehet megkulonboztetni:
- hazamegy a laptoppal, bedugja, kap a mata'vtol mint szolgaltatotol egy dinamikus adsl-es ip-cimet, oszt internet.
- bemegy a netkavezoba, ahol van publikus net, amit a mata'vtol vesznek, szinten dinamikus adsl-es ip-cimeken, oszt internet.

... ugyanabban a ha'zto"mbben ;]

raadasul mindke't helyen egy kis router osztja le a netet. tehat ha valahogy (esetleg, nagyon szofisztikaltan es peer-oldalon kvazi ellenorizhetetlenul, de megicsak) meg tudja allapitani hogy nat mo"gu"l jon-e vagy sem, akkor se me'rne vele semmit, mert manapsag a gyakorlatban mindke't fenti konfig nat mo"gu"l jo"n.

( joco01 v | 2011. 04. 20., sze – 13:23 )

Windows Server 2008 R2 - NPS/NAP. Elég sok mindent lehet rajta szűrni, kliens oldali dolgokat is NAP-pal, talán az kell neked. De szerver oldalon is elég sok minden van, ha pl. netkávézót akarsz kiszűrni, akkor IP whitelist. Nem tudok bővebbet mondani, mert én csak most ismerkedek vele, de azt látom, hogy rengeteg benne a lehetőség. Olyan szinten lehet szűrni, hogy pl. nem engeded be, ha nincs minden update telepítve a gépre. Mondjuk ezekhez a kliens oldali szűrésekhez kliens támogatás is kell, tehát nem árt, ha csak Win7-ek a kliensek is.

http://technet.microsoft.com/en-us/library/cc754107%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/dd182017.aspx

--
joco voltam szevasz

Ez így nem igaz.

Azt tudod csinálni, hogy betolod a tanusítványt a privát kulccsal a Local Computer keystore-ba, de úgy hogy a privát kulcs ne legyen exportálható. Ettől a ponttól nem tudja kiimádkozni onnan a privát kulcsot és így csak arról a gépről lehet belépni.

Persze ennek az a feltétele, hogy a machine cert-et ne add oda neki, pontosabban annak a privát kulcsát.

Az attól függ, hogy hol van a kulcs.

Ha a "Local System"-ben van a kulcs, akkor sima domain userrel nemcsak, hogy a kulcsot nem tudja kiexportálni, hanem még a tanusítványhoz sem fér hozzá.

Ha a kulcs + a tanusítvány páros a "Current User"-ben van és ha ki van pipálva az az opció, hogy exportálható legyen a kulcs akkor hozzáfér (tudja exportálni) ha nincs; akkor a kulcsot a tanusítványtárból az életbe ki nem szedi.

A nem exportálható opció él a Local System esetén is...

Már bocs, de nem érzem bunkoságnak amit írtam. Feljövők ide és normális formában probálok segítséget kérni, mert szükségem lenne egy megoldásra, és akkor van aki ossza az észt a helyett, hogy segítene.
Úgy gondolom ez egy számítástechnikai forum. Ha valaki a helyesírással akar foglalkozni az menjen máshova. Ha nem tudok értelmessen hozzászolni egy témához, akkor minek írok bele? CSak, hogy megmutasam mekora spiler vagyok? Bocs, de jelen esetben nem segít.