Discussion:
Eine IP Adresse für VPN (PPTP) blocken
(zu alt für eine Antwort)
Thomas Antony
2009-12-15 14:45:02 UTC
Permalink
Hallo,

Ein ISA Server 2006 mit SP1 wird unter anderem als VPN (PPTP) Server benutzt.

Seit ein paar Tagen wird von einer bestimmten IP alle 5 Sekunden versucht
eine VPN Verbindung herzustellen, die allerdings mit einem Fehler beendet
wird.
Ich wollte nun diese IP Adresse vollständig blockieren und habe dazu eine
Zugriffsregel erstellt die alles von dieser IP blockt, aber leider ohne
Erfolg.
Nachdem die Regel übernommen wurde, sind noch immer die nicht erfolgreichen
Anmelde Versuche im System Eventlog.
In den Systemrichtlinien befindet sich bereits die Regel für VPN welche vor
den Firewallrichtlinien kommt und somit höhere Priorität hat.
In diese Richtlinie ist vorgegeben das jeder sich verbinden darf und
Änderungen an einer Systemrichtlinie können nicht verändert werden.

Gibt es eine Möglichkeit Einschränkungen bei der Systemrichtlinienregel für
VPN zu definieren?


Grüße,
Thomas Antony
Jens Baier
2009-12-15 15:06:24 UTC
Permalink
Hi,
Post by Thomas Antony
Gibt es eine Möglichkeit Einschränkungen bei der Systemrichtlinienregel für
VPN zu definieren?
spontan faellt mir dazu ein, die Systemrichtlinie zu deaktivieren und eine
benutzerdefinierte Regel fuer VPN Clients zu erstellen und dann eine
Ausnahme in der Regel konfigurieren welche die IP nicht beinhaltet und vor
der Regel eine Deny Rule fuer die IP erstellen oder besser, die VPN Client
Connectivtaet auf zertifikatbasierte Authentifizierung umstellen, dann kommt
der Client nicht mehr ran.
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2009-12-15 15:16:42 UTC
Permalink
huhu thomas,
Post by Thomas Antony
In den Systemrichtlinien befindet sich bereits die Regel für VPN welche vor
den Firewallrichtlinien kommt und somit höhere Priorität hat.
In diese Richtlinie ist vorgegeben das jeder sich verbinden darf und
Änderungen an einer Systemrichtlinie können nicht verändert werden.
du kannst ausnahmen auf der systemrichtlinie definieren und die ip(s) somit
ausschließen. alternativ geht natürlich auch die lösung von jens!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Volker Strähle
2009-12-15 17:19:54 UTC
Permalink
Wir haben bei uns hier vor dem ISA einen Router mit FW-Funktionen stehen.
Dort kann ich auch bestimmte Sachen filtern und IP-Adressen blocken. So
kommt (hoffentlich) erst gar nix am ISA an.

Volker

Loading...