ایجاد محدودیت برای vpn

**sezartah** · 2009-12-07, 02:37 PM

روز بخیر
من می خوام توی شبکه ای که 50تا کلاینت داره فقط 20تاشون بتونن از اینترنت استفاده کنند.برای دسترسی به اینترنت از isa استفاده میکنیم و روی کلاینتهایی که می خوایم به اینترنت دسترسی داشته باشن vpn connection زدیم به isa (همه کلاینتهای vpn از username و پسورد یکسانی برای اتصال به اینترنت استفاده می کنند). خوب حالا اگه کاربری بلد باشه vpn ایجاد کنه میتونه به اینترنت وصل بشه !!! راهی وجود داره که ایجاد کانکشن vpn محدود کنیم؟؟؟ یا اینکه معلوم کنیم کامپیوتر های خاصی فقط بتونن به isa متصل بشن؟

ممنون

موضوعات مشابه:

**kazem_m** · 2009-12-07, 03:17 PM

درورد

راه حل هاي زيادي اينجا تو بخش ISA و Accounting مطرح شده با يه عالمه سناريو هاي مختلف.

به نظر من شما اگه برات Accounting شناور و تقسيم پهناي باند بين كاربر ها مطرح نيست :

1) تعداد پورت VPN رو به تعداد كاربراني تعريف كنيد كه صلاح مي دونيد. مثلا همون 20 تايي كه گفتين.
در ضمن فكر مي كنم شما دارين براي هر User قسمت Accept Dialin رو تيك مي زنين. اگه اين تيك رو نزنيد يا RAP تنظيم كنين اينجوري تحت شرايط حتي زماني خاص مي تونين بهشون Internet بدين و .....(اينو خودتون بهتر مي دونيد)
البته اينطوري مجبورين به تعداد لازم User بسازين.

2)Subnet كساني كه اينترنت مي خوان رو جدا كنين و طوري تنظيم كنيد كه ISA فقط اونا را قبول كنه.

3) تا حالا اينو خودم امتحان نكردم ولي سعي كنيد تمام Tab هاي Network رو توسط Group policy ببنديد ببينيد بازم راهي براي ساختن connection دارند.

4) حتما مي دونين با Proxy هم مي شه محدوديت اعمال كرد ولي اگر فقط VPN مورد نظرتونه كه اين مورد مطرح نمي شه.
ولي اگه اينا نظرتونو تامين نمي كنه :

نرم افزار تست شده جهت مدیریت شناور زمان درISA می شناسید ؟

و...
هزاران لينك ديگه اي كه در اين بخش دوستان و اساتيد در اون بحث كردن و راه حل دادن

**mahyar49** · 2009-12-07, 05:03 PM

نوشته اصلی توسط sezartah

روز بخیر
من می خوام توی شبکه ای که 50تا کلاینت داره فقط 20تاشون بتونن از اینترنت استفاده کنند.برای دسترسی به اینترنت از isa استفاده میکنیم و روی کلاینتهایی که می خوایم به اینترنت دسترسی داشته باشن vpn connection زدیم به isa (همه کلاینتهای vpn از username و پسورد یکسانی برای اتصال به اینترنت استفاده می کنند). خوب حالا اگه کاربری بلد باشه vpn ایجاد کنه میتونه به اینترنت وصل بشه !!! راهی وجود داره که ایجاد کانکشن vpn محدود کنیم؟؟؟ یا اینکه معلوم کنیم کامپیوتر های خاصی فقط بتونن به isa متصل بشن؟

ممنون

سلام
به نظر من اصل قضیه مشکل داره...

کد:

 
همه کلاینتهای vpn از username و پسورد یکسانی برای اتصال به اینترنت استفاده می کنند

نباید اینطور باشه هرکسی باید یوزرنیم و پسورد خودش رو داشته باشه...
nttac نصب کن و باهاش یوزرها رو مدیریت کن
برای هر کاربر یک یوزر و پسورد مخصوص خودش رو تعریف کن...
اونایی هم که نمی خوای اینترنت داشته باشن رو اکانت نده...

**mahdi5k** · 2009-12-07, 06:28 PM

یه میکروتیک بزار و رو وی پی ان همه جور محدودیت که دوست داری بزار از تایم تا ساعت ا بزار کامل جامع و سهل و آسان ...

**sezartah** · 2009-12-08, 12:16 PM

نوشته اصلی توسط mahyar49

سلام
به نظر من اصل قضیه مشکل داره...

کد:

 
همه کلاینتهای vpn از username و پسورد یکسانی برای اتصال به اینترنت استفاده می کنند

نباید اینطور باشه هرکسی باید یوزرنیم و پسورد خودش رو داشته باشه...
nttac نصب کن و باهاش یوزرها رو مدیریت کن
برای هر کاربر یک یوزر و پسورد مخصوص خودش رو تعریف کن...
اونایی هم که نمی خوای اینترنت داشته باشن رو اکانت نده...

ممنون از جوابتون حق با شماست اما قضیه اینه که ما یه آتلیه داریم که 20 تا سیستم اونجا مستقره و بر اساس تصمیم مدیریت فقط یه سیستم به اینترنت متصل هست و هر کس با اینترنت کار داشت از اون سیستم استفاده میکنه واسه همین یوزر و پسورد vpn connection به همه داده شده . حالا اگه یه نفر بلد باشه vpn connection بسازه چون این یوزر و پسورد داره میتونه به اینترنت وصل بشه دیگه و من می خوام جلوی این کارو بگیرم. میشه تعریف کرد که vpn از یه سیستم با اسم خاص فقط اجازه connection داشته باشه؟؟؟ یه caller ID هست تو مشخصات user اما این کلاینتها IP static ندارند و از dhcp آی پی میگیرن.

نوشته اصلی توسط kazem_m

درورد

راه حل هاي زيادي اينجا تو بخش ISA و Accounting مطرح شده با يه عالمه سناريو هاي مختلف.

به نظر من شما اگه برات Accounting شناور و تقسيم پهناي باند بين كاربر ها مطرح نيست :

1) تعداد پورت VPN رو به تعداد كاربراني تعريف كنيد كه صلاح مي دونيد. مثلا همون 20 تايي كه گفتين.
در ضمن فكر مي كنم شما دارين براي هر User قسمت Accept Dialin رو تيك مي زنين. اگه اين تيك رو نزنيد يا RAP تنظيم كنين اينجوري تحت شرايط حتي زماني خاص مي تونين بهشون Internet بدين و .....(اينو خودتون بهتر مي دونيد)
البته اينطوري مجبورين به تعداد لازم User بسازين.

2)Subnet كساني كه اينترنت مي خوان رو جدا كنين و طوري تنظيم كنيد كه ISA فقط اونا را قبول كنه.

3) تا حالا اينو خودم امتحان نكردم ولي سعي كنيد تمام Tab هاي Network رو توسط Group policy ببنديد ببينيد بازم راهي براي ساختن connection دارند.

4) حتما مي دونين با Proxy هم مي شه محدوديت اعمال كرد ولي اگر فقط VPN مورد نظرتونه كه اين مورد مطرح نمي شه.
ولي اگه اينا نظرتونو تامين نمي كنه :

نرم افزار تست شده جهت مدیریت شناور زمان درISA می شناسید ؟

و...
هزاران لينك ديگه اي كه در اين بخش دوستان و اساتيد در اون بحث كردن و راه حل دادن

صمیمانه ممنون از جوابتون. مورد 3 و 2 دارم تست میکنم.

**mkm** · 2009-12-08, 03:48 PM

موضوع بسیار ساده ایست.اگه ویندوزتون سروره یوزری رو برای اینترنت تعریف کنین و Log on to رو به همون کامپیوتری که اینترنت داره تعریف کنید.سپس اینترنت رو با آیزا فقط به اون یوزر بدین. اینجوری یوزرها از هیچ کامپیوتر دیگه ای با اون یوزر و پسورد نمیتونن لاگین کنن و اینترنت بگیرن.

**sezartah** · 2009-12-09, 02:19 PM

نوشته اصلی توسط mkm

موضوع بسیار ساده ایست.اگه ویندوزتون سروره یوزری رو برای اینترنت تعریف کنین و Log on to رو به همون کامپیوتری که اینترنت داره تعریف کنید.سپس اینترنت رو با آیزا فقط به اون یوزر بدین. اینجوری یوزرها از هیچ کامپیوتر دیگه ای با اون یوزر و پسورد نمیتونن لاگین کنن و اینترنت بگیرن.

ممنون . خوب من هم همین کارو انجام دادم اما همین یوزر روی هر سیستمی برای استفاده از اینترنت می تونه استفاده بشه حتی اگه با این یوزر log in نکرده باشی.

خوب من از طریق GP گزینه زیر enable کردم حالا کسی نمیتونه کانکشن ایجاد کنه:

user configuration/admin template/network/network connections : prohibit access to the new network connection wizard

از همه دوستان بابت نظرات و راهنمایی هاشون صمیمانه ممنونم.

**mkm** · 2009-12-09, 04:07 PM

نوشته اصلی توسط sezartah

ممنون . خوب من هم همین کارو انجام دادم اما همین یوزر روی هر سیستمی برای استفاده از اینترنت می تونه استفاده بشه حتی اگه با این یوزر log in نکرده باشی.

امکان نداره. من این استراتژی رو تست کرده و مورد استفاده قرار داده بودم و جواب هم گرفتم. اگر همچنان با این روش یوزراتون اینترنت دارن مشکل ممکنه از Config در ISA باشه.

**sezartah** · 2009-12-12, 02:51 PM

نوشته اصلی توسط mkm

امکان نداره. من این استراتژی رو تست کرده و مورد استفاده قرار داده بودم و جواب هم گرفتم. اگر همچنان با این روش یوزراتون اینترنت دارن مشکل ممکنه از Config در ISA باشه.

مهندس جان وقتی شما vpn connection ایجاد میکنی isa فقط چک میکنه که کاربر عضو گروهی که مجوز دسترسی به اینترنت دارند هست یا نه. نمی آد چک کنه که این کانکشن از روی کدوم کامپیوتر ایجاد شده.

در واقع این تنظیمی که ما برای Log in to انجام میدیم توسط AD چک میشه و مسلما کاربر مربوطه فقط از رو سیستمی که براش تعریف کردیم اجازه log in داره. حالا شما روی یه سیستم با user دیگه ای log in کن اما وقتی کانکشن ساختی از user و password کاربری که مجوز دسترسی به اینترنت داره استفاده کن کاربر به راحتی به اینترنت متصل میشه

**mgholami** · 2009-12-12, 03:09 PM

همون طور که دوستان گفتن از nttacplus برای اعتبار سنجی استفاده کنید این برای زمانی خوبه که میخوایید که بیشتر از یه نفر با یه یوزر و پسورد وصل نشه راه بعدیشم بلوک کردن ترافیک vpn از طرف کامپیوتر هایی هست که نمیخوایید بتونن vpn بزنن یا برعکسش این راه هم برای اینه که از هر کامپیوتری با دونستن یوزر و پسورد نتونن vpn بزنن.البته یه راه دیگم هست که اگه اینا جواب نداد بگید

نوشته اصلی توسط sezartah

خوب من از طریق GP گزینه زیر enable کردم حالا کسی نمیتونه کانکشن ایجاد کنه:

user configuration/admin template/network/network connections : prohibit access to the new network connection wizard

از همه دوستان بابت نظرات و راهنمایی هاشون صمیمانه ممنونم.

میتونید این پالیسی رو فقط روی اونایی که نمیخوایید vpn بزنن اعمال کنید و بقیه رو مستثنا کنید

**sezartah** · 2009-12-12, 04:08 PM

مهندس غلامی:
" بلوک کردن ترافیک vpn از طرف کامپیوتر هایی هست که نمیخوایید بتونن vpn بزنن یا برعکسش "
منظورتون استفاده از computer set یا computer در isa هستش دیگه.مگه نه اینکه باید ip این کامپیوترها static باشه؟؟؟ خوب من که از dhcp استفاده میکنم نمی تونم از این روش استفاده کنم درسته؟؟؟ در غیر اینصورت لطفا بیشتر توضیح بدید. ممنون.

**mgholami** · 2009-12-12, 04:45 PM

میتونید leased duration برای DHCP SCOPE رو بالا ببرید یه جورایی استاتیک میشه IP ها

موضوع: ایجاد محدودیت برای vpn

پیوند

ابزارهای موضوع

نمایش

ایجاد محدودیت برای vpn

کلمات کلیدی در جستجوها:

یوزر و پسورد vpn

Vpn TakTaraneh

یوزرنیم و پسورد vpn

برچسب برای این موضوع

مجوز های ارسال و ویرایش