Zugriff für VPN-Benutzer auf einzelne SAMBA-Shares blockieren

  • Ziel: ein Benutzer soll unterschiedliche Zugriffsrechte auf die SAMBA-Shares haben, abhängig davon ob er sich per VPN oder LAN verbindet.

    Idee: jedem Benutzer zwei Benutzer-Accounts geben - einen für LAN, einen für VPN und dann bei dem für VPN die Zugriffsrechte einschränken.

    Problem: sobald man sich per VPN verbindet, hält einen ja nichts davon ab, sich mit einem beliebigen Benutzer auf QNAP anzumelden. Der Benutzer könnte also auch einfach seinen LAN-Account verwenden.

    Idee: bei VPN-Einwahl eine IP-Adresse in einer bestimmten Range zuweisen und dann den Login auf QNAP für die nicht-VPN-Benutzer von dieser IP-Range verbieten.


    Aber kann QNAP bzw. SAMBA so eine Einschränkung überhaupt?

  • Ich verstehe den Sinn des Ganzen nicht wirklich...sind VPN Nutzer denn niemals auch lokal im LAN unterwegs ? Dann wäre das einfachste in der Tat, diesen VPN Accounts bzw. eine Gruppe "VPN Nutzer" zuzuweisen und damit die Berechtigungen zu verwalten. Über die IP-Range könnte man wohl VPN Nutzer komplett aussperren, allerdings kämen sie dann vermutlich überhaupt nicht mehr auf das NAS. Ansonsten bräuchtest Du eine Firewall, die gezielt nur das SMB Protokoll durchlässt und HTTPS sperrt, wenn Du die Befürchtung hast das gehackte VPN Accounts Unsinn im Webinterface anrichten.


    Wenn Du den Leuten nicht soweit vertrauen kannst, dass die Nutzerkonten wild geteilt werden hast Du ohnehin ein anderes Problem, meine ich.


    Edit:

    Mit einer Firewall ( die könnte auch als VM auf dem NAS laufen) könntest Du wohl selektiv für einen IP Bereich Protokolle erlauben/sperren. Allerdings sicherlich nicht gezielt einzelne Shares. Das nur zur Ergänzung.

    Einmal editiert, zuletzt von nasferatu ()

  • VPN Verbindung mit 2 Faktor Auth. kombinieren, schon werden die nicht mehr wild geteilt.

    VPN Gateway welches User ACLs kann, ggf. ist ein Radius dafür notwendig.


    Alles weitere über die User/Gruppen Rechte auf den Freigaben steuern.

  • Die VPN-Benutzer sind leider auch im LAN unterwegs - daher hat jede Person tatsächlich zwei Accounts (LAN + VPN).


    Die User/Gruppen auf den Freigaben hab ich schon so angepasst, dass nur der LAN-Account auf die Daten kommt und der VPN-Account nicht. Aber wie gesagt, kann sich derjenige dann ja einfach nach VPN-Einwahl über SAMBA mit seinem LAN-Account anmelden. Und das würde ich eben gerne verhindern...

  • Und das würde ich eben gerne verhindern...

    Die Logik dahinter verstehe ich leider trotzdem nicht: du hast Leute, die im LAN arbeiten dürfen UND über VPN ? Aber das mit unterschiedlichen Rechten ??? Also im LAN darf derselbe auf eine Freigabe, über VPN nicht ? Ich glaube, ich würde sowas dann mit komplett getrennten Freigaben realisieren, also solche, die wirklich bloss intern genutzt werden dürfen, und solche, die auch per VPN verfügbar sind.

  • zweite kleine Büchse oder eine virtuelle Maschine in ein separates Subnetz für die VPN Einwahl ohne Zugang zum LAN und dann die Daten für VPN User gesynced.


    Das könntest du sigar komplett in docker innerhalb eines virtuellen Switches abbilden, wenn du da auch den einwahl Server mit rein packst

  • Die Frage nach dem Sinn ergibt sich jedoch immer noch.

    Datenschutz, so dass niemand Daten entwenden kann?

    Dann ist ein Firmengerät inkl. verschlüsselter HD, eingeschränkten Rechten und Zertifikats basierter Authentisierung fürs VPN + User + Token das richtige, sollten die Daten so wichtig sein.


    Aber such da wird es Mittel und Wege geben.