Außenstelle hinter VPN mit Firewall
Verfasst: 11 Mär 2015, 10:15
Hallo zusammen,
ich habe eine spezielle Problemstellung:
Wir haben eine außenstelle, deren Netz wir grundsätzlich nicht vertrauen
(Schüler arbeiten dort und können prinzipiell eigene Geräte an das Netz hängen, da unbeaufsichtigt und ohne NAC)
Wir haben aus diesem Grund nur einen vollen Zugriff für Verbindungen, die von uns aus initiiert werden.
Ansonsten kann ich aus Sicherheitsgründen lediglich eine SSH-Verbindung (von uns aus initiiert) mit Tunneln zum OPSI-Außenstellenserver realisieren.
Leider liegt die Policy nicht in meiner Hand und es hieß entweder bekommst dus so hin oder gar nicht.
Meine Frage ist jetzt: Gibt es hierfür eine Lösung? Kann ich einen Depotserver so installieren, dass die Konfig zwar zentral am Server bei uns gemacht wird, die Clients aber ausschließlich mit dem Depot lokal kommunizieren?
Die Kommunikation zwischen beiden Depots könnte man ja mittels SSH-Tunnel realisieren.
Der zentrale Server kann technisch gesehen die Clients erreichen, nur die Clients nicht den zentralen Server...
ich habe eine spezielle Problemstellung:
Wir haben eine außenstelle, deren Netz wir grundsätzlich nicht vertrauen
(Schüler arbeiten dort und können prinzipiell eigene Geräte an das Netz hängen, da unbeaufsichtigt und ohne NAC)
Wir haben aus diesem Grund nur einen vollen Zugriff für Verbindungen, die von uns aus initiiert werden.
Ansonsten kann ich aus Sicherheitsgründen lediglich eine SSH-Verbindung (von uns aus initiiert) mit Tunneln zum OPSI-Außenstellenserver realisieren.
Leider liegt die Policy nicht in meiner Hand und es hieß entweder bekommst dus so hin oder gar nicht.
Meine Frage ist jetzt: Gibt es hierfür eine Lösung? Kann ich einen Depotserver so installieren, dass die Konfig zwar zentral am Server bei uns gemacht wird, die Clients aber ausschließlich mit dem Depot lokal kommunizieren?
Die Kommunikation zwischen beiden Depots könnte man ja mittels SSH-Tunnel realisieren.
Der zentrale Server kann technisch gesehen die Clients erreichen, nur die Clients nicht den zentralen Server...