Для наших корпоративных ноутбуков доступ в Интернет разрешен только через прокси-сервер (профиль подключения в Internet Explorer проталкивается через объект групповой политики). При удаленном / стороннем подключении это разрешается путем создания VPN обратно в корпоративную сеть (Cisco VPN Client -> Cisco ASA), после чего прокси становится доступным, и мы маршрутизируем через него весь интернет-трафик.
Недавно у нас был вопрос, поднятый одним из наших пользователей, который пытался использовать беспроводное соединение в поезде. Железнодорожная компания требует, чтобы пользователь заполнял форму, размещенную в их собственной сети.
Проблема заключалась в том, что пользователь не мог попасть на внутреннюю страницу железнодорожных компаний, поскольку прокси-сервер был недоступен. Они не смогли подключиться к VPN, поскольку не заполнили страницу входа железнодорожных компаний.
Мы посчитали, что можем указать эту страницу в «обходном прокси-сервере для этого адреса ...», который позволит подключаться только к этой странице, но это было отклонено, поскольку тогда нам пришлось бы начать добавлять каждую железнодорожную компанию, отель, общественную точку доступа, которая работает таким образом (это должен быть список из тысяч)
Второе предложение заключалось в том, чтобы разрешить подключения к любому диапазону локальной сети (10. * или 192. *), но последствия в отношении безопасности казались опасными. Кроме того, страница, предлагаемая железнодорожной компанией, будет http://virginrailwifisignup страница, а не http://192.168.1.1
В этот момент мы были в тупике. В офисе раздался теперь уже знакомый крик: «Мы не можем быть единственными, у кого была эта проблема», но я не смог найти никого, кто упомянул бы полезное решение.
Итак, я спрашиваю вас, сбой сервера, как вам это удалось?
Стоит отметить, что мы предоставляем всем нашим мобильным пользователям соединение 3G, когда они в пути, они снова подключаются к VPN, но в поезде это чертовски нестабильно.
Для наших корпоративных ноутбуков доступ в Интернет разрешен только через прокси-сервер (профиль подключения в Internet Explorer проталкивается через объект групповой политики).
Нажимая настройки в профиль подключения в IE, вы не только разрешите доступ в Интернет через ваш прокси. Вы просто получаете представление о доступе в Интернет через прокси-сервер и повышаете доступность.
Если я правильно понимаю, вы хотите, чтобы пользователи подключались к вашей VPN, чтобы получить доступ в Интернет, используя ваш прокси. В этом случае вы должны быть осторожны, потому что теперь все потенциальные вредоносные программы / атаки проходят через вашу сеть.
По умолчанию в большинстве Windows после XP при подключении к VPN вы используете шлюз по умолчанию в удаленной сети. Таким образом, вы должны убедиться, что этот параметр остается таким. Вы можете сделать это с помощью вашего GP или CMAK, или с помощью сценария, или даже сделав это вручную в качестве пользователя с кредитным плечом один раз для каждой машины.
Но при входе в систему через Интернет ваши пользователи должны получить доступ к некоторому случайному веб-сайту (и, следовательно, Интернету)! Вот где Осведомленность о сетевом местоположении удары в
Клиент групповой политики будет применять параметры политики всякий раз, когда возвращается доступность контроллера домена. Примеры событий подключения, которые запускают обработку групповой политики, включают установление сеансов VPN, выход из спящего или ждущего режима и стыковку портативного компьютера. Это преимущество может потенциально повысить уровень безопасности на рабочей станции за счет более быстрого применения изменений групповой политики.
Поэтому, если ваш пользователь устанавливает соединение с сетью, отличной от вашей рабочей сети, вы запускаете VPN-соединение, и все в порядке.
Я должен признать, что это непростая работа, особенно когда есть диверсификация клиентов.
Другой способ обойти это - заблокировать все, отключить большую часть этого и создать другую учетную запись пользователя для использования за пределами вашей VPN и наложить другие ограничения (например, отсутствие видео, аудио, определенных доменов и т. Д.)
Еще один способ - заблокировать определенные порты от определенного соединения или ограничить доступ к вашей VPN, например. нет доступа к внутренним серверам
Я думаю, я немного сбит с толку, но почему все ваши клиенты, находящиеся за пределами вашего кирпича и раствора, должны быть вынуждены подключаться к Интернету только для того, чтобы их перенаправили обратно через вашу собственную сеть?
У меня есть VPN-клиент, чтобы иметь возможность звонить домой и получать доступ к ресурсам в сети, но почему вы хотите, чтобы весь их трафик просмотра отправлялся обратно к вам, просто чтобы снова перенаправляться обратно? Это делается для фильтрации содержимого или просто для того, чтобы они могли получить доступ к корпоративным ресурсам.
Тем не менее, я думаю, я просто немного запутался в том, почему настройка должна быть такой в первую очередь. Если их нет в вашей сети, зачем переправлять их обратно в офис, если на самом деле у них также есть VPN-клиент? Я думаю, мне любопытно, может ли все это быть немного слишком сложным, если хотите.
Используйте настоящий брандмауэр для ограничения доступа, а не только профиль подключения MSIE.