我们的公司笔记本电脑被限制为仅允许通过我们的代理访问互联网(Internet Explorer 中的连接配置文件通过 GPO 推送)。在远程/第 3 方连接上,这可以通过创建返回公司网络的 VPN(思科 VPN 客户端 -> 思科 ASA)来实现,此时代理可用,我们通过它路由所有互联网流量。
最近,我们的一位用户提出了一个问题,他试图在火车上使用无线连接。火车公司要求用户填写在他们自己的网络上托管的表格。
我们遇到的问题是用户无法访问火车公司内部页面,因为代理不可用。他们无法连接 VPN,因为他们还没有完成火车公司的登录页面。
我们认为我们可以在“这个地址的绕过代理...”中指定这个页面,这将允许只连接到那个页面,这被拒绝了,因为我们将不得不开始添加每个火车公司、酒店、公共热点以这种方式工作(必须是数千个列表)
第二个建议是允许连接到任何本地网络范围(10.* 或 192.*),但有关安全性的影响似乎很危险。另外,火车公司提供的页面将是http://virginrailwifisignup页面而不是http://192.168.1.1
在这一点上,我们被难住了。现在熟悉的喊声在办公室响起“我们不能是唯一遇到这个问题的人”,但我一直找不到任何人提到过有用的解决方案。
所以我问你,Server Fault,你是如何解决这个问题的?
值得注意的是,我们为所有移动用户提供 3G 连接,以便他们在外出时使用 VPN 连接,但在火车上却很糟糕。
小智 4
我们的公司笔记本电脑被限制为仅允许通过我们的代理访问 Internet(通过 GPO 推送 Internet Explorer 中的连接配置文件)。
将设置推送到 IE 中的连接配置文件,您不仅允许通过代理访问互联网。您只需对通过代理访问互联网提出一个概念,并增加可访问性。
如果我理解正确的话,您想要的是让用户连接到您的 VPN 以便使用您的代理访问互联网。如果是这种情况,您必须小心,因为现在所有潜在的恶意软件/攻击都会通过您的网络进行路由。
默认情况下,在 XP 之后的大多数 Windows 中,当您连接到 VPN 时,您将使用远程网络上的默认网关。因此,您必须确保此设置保持这样。您可以通过 GP 或 CMAK 或通过脚本来完成此操作,甚至可以作为杠杆用户为每台计算机手动执行一次。
但在基于网络的登录中,您的用户必须访问一些随机网站(以及互联网)!这就是网络位置感知发挥作用的地方
只要域控制器恢复可用,组策略客户端就会应用策略设置。触发组策略处理的连接事件示例包括建立 VPN 会话、从休眠或待机状态恢复以及笔记本电脑的对接。此优势可以通过更快地应用组策略更改来潜在地提高工作站的安全级别。
因此,如果您的用户建立到工作网络以外的网络的连接,您将触发您的 VPN 连接,一切都很好。
我不得不承认这不是一件容易的事,尤其是当客户多元化时。
解决这个问题的另一种方法是锁定所有内容,禁用其中的大部分内容,并创建另一个用户帐户在 VPN 之外使用,并强制执行其他类型的限制(例如,没有视频、音频、特定域等)。
另一种方法是阻止特定连接的某些端口或限制对 VPN 的访问,例如禁止访问内部服务器
| 归档时间: |
|
| 查看次数: |
1253 次 |
| 最近记录: |