VPN unterbinden im VLAN

Es gibt 8 Antworten in diesem Thema, welches 1.136 mal aufgerufen wurde. Der letzte Beitrag () ist von Juky.

    Müsste gehen über Traffic Rules -> Block -> App Group -> Tunneling & Proxy Services -> Device/VLAN auswählen


    Gruß

    defcon

    Das hatte ich für das VLAN Gäste probiert, funktioniert leider nicht- kann mich trotz der Einstellungen mit Wireguard auf meine heimische Fritzbox aufschalten.

    In den Firewall Regeln kann ich jetzt aber per se nicht jegliche Verschlüsselung oder alle VPN üblichen Ports sperren ...

    Ausgehende Verbindungen zu blockieren ist je nach Anwendung nicht trivial - die chinesische Regierung würde sicherlich auch gerne noch mehr sperren, scheitert aber an technischen Realität.

    Geht es Dir um Kinderschutz (Verhinderung von Umgehung gewisser Beschränkungen per VPN) oder was ist der konkrete Grund für Dein Vorhaben?

    Zitat von Juky

    In den Firewall Regeln kann ich jetzt aber per se nicht jegliche Verschlüsselung oder alle VPN üblichen Ports sperren ...

    Warum nicht?

    Wenn ich pauschal Verschlüsselung unterbinde, dürften auch https Zugriffe nicht mehr funktionieren, das soll aber möglich bleiben.

    Die Bandbreiten unserer Verbindungen werden teilweise stark belastet, vor allem von "SSL/TLS"- könnte ein Umgehen einer Sperren

    via VPN sein, das soll unterbunden werden.

    Zitat von Networker

    Warum nicht?

    Dann stelle ich meinen Einwahl-Port eben auf 443/tcp um. Und dann? Watt machste dann mit Verbindungen mach z.B. https://ubiquiti-networks-forum.de/, wenn Du den Inhalt nicht weiter analysierst / analysieren kannst?


    Reine Port-Sperren werden nicht funktionieren. Da wird es wohl eine ordentliche WAF brauchen.

    Immer konstruktiv bleiben! :winking_face:

    "Verschlüsselung sperren" ist natürlich Quatsch, weder will man das, noch wäre es technisch wirklich möglich. Aber selbstverständlich könnte der TE alle Ports sperren, die potentiell von einem VPN-Protokoll genutzt werden. So weit mir bekannt gibt es aber Impementierungen mancher Protokolle mit dynamischer Port-Aushandlung, sodass am Ende quasi alle Ports in der UDM gesperrt werden müssten, was den Ansatz ad Absurdum führt. Daher schrieb ich ja auch, dass es nicht trivial ist, ausgehende Verbindungen zu 100% zu unterbinden.


    Die von Razor genannten WAF-Lösungen klinken sich als MitM in SSL-Verbindungen zwischen Client und Router, damit kann man dann trotz Verschlüsselter Verbindung den Traffic analysieren. Dies ist allerdings ein umstrittenes Konzept.

    Ich frage mich allerdings: Warum dürfen sich Eure Mitarbeiter offenbar beliebige Software auf ihren Rechnern installieren? An diesem Punkt würde ich ansetzen.

    SSL/TLS ist inzwischen so ziemlich jeder Traffic. Unverschlüsselt wird fast gar nichts mehr übertragen. Bei den Unifi statistiken fällt da alles rein, was nicht zu einer spezielleren Traffickategorie zugeordnet werden kann. Bei mir zum Beispiel ist der Anteil sher hoch weil da WaipuTV mit drin enthalten ist.


    Ich weiß in welcher Branche ihr tätig seid, aber so richtig vorstellen kann ich mir nicht, dass die Mitarbeiter sich VPNs eingerichtet haben.

    Hallo zusammen,


    zunächst vielen Dank für Eure Inputs! Branche ist "Erwachsenenbildung", Notebooks werden von uns gestellt und sind on EntraID- der Hinweis von Networker dürfte damit zielführend und naheliegend sein, indem VPN Anwendungen nicht installiert werden können.

    Werde den Ansatz mal verfolgen .... :smiling_face:


    LG