ASA5510 IPSec VPN mit gerouteten Netzen

[fazez]

Hallo zusammen,

bin gerade dabei IPSec VPN an einer ASA5510 einzurichten.
User Authentication soll über LDAP laufen.

Wie ich es gemacht habe (siehe Anlage):
Nachdem mein Netz geroutet ist komme ich von meinem Inside-Interface der ASA5510 nicht zu meinem AD. Dazu habe ich an der ASA eine weitere NIC eingerichtet die nur die LDAP abfragen an das AD machen soll. -ist das prinzipiell ok, oder hab ich mir hier schon ein Ei gelegt? Security Level des LDAP-interface ist 100.

Testweise habe ich einen IP-Pool auf der ASA erstellt der den VPN-Clients zugewiesen wird.
Das Standardgateway der VPN-Clients ist dann immer die erste Adresse des Netzes in dem der Pool liegt.

Muss ich dazu NAT Regeln auf der ASA und dem ForefrontTMG erstellen, dass die VPN-Clients aufs interne Netzwerk zugreifen können?

Wenn ja, verstehe ich nicht von welchem Interface der traffic dann ausgeht. Denn diese Gatewayadresse die den VPN-Clients zugewiesen wird, muss eine Adresse auf der ASA sein, ist aber nirgends für eine Regel verwendbar?

Schöner wäre es doch die IP-Adressen vom DHCP-Server zu bekommen?!
Nachdem auch der DHCP-Server in einem anderm Netz liegt, geht das ja auch nicht ohne weiteres?
- ich habe keine weitere NIC an der ASA dafür zu verfügung
- Könnte dem dhcp noch eine IP-Adresse in dem Netz vom AD geben (wobei das aber kaum die Lösung sein kann?).

Hat jemand vielleicht ein paar gute Hinweise für mich bzw. etwas zu lesen, dass sich mit dieser Thematik befasst?

Danke,

MfG Fazez

[blackbox]

Hallo,

dein Design halte ich so nicht für Sinnvoll - den du wirst noch weitere Probleme so bekommen - den die Clients die in dein AD Netz wollen - würden immer über deinen AD Link gehen - da die FW ja das Netz an dem Port nur kennt - egal welche Routen du ihm gibst.

Ich nehme an - du möchtest ein 2 Stufen Firewall System aufbauen ? Du kannst natürlich für die Clients einen "ByPass" an dem Forefront vorbeibauen - aber dann hebelst du ja die doppelte Sicherheit wieder auf. Und DHCP kommt ja nun vom AD Server vermutlich.

Erkläre erstmal was du genau vor hast und was der Forefront für Funktionen übernimmt - Routet er - Natet er ?

Dann kann man überlegen wie man das Sinnvollerweise baut.

[fazez]

Hallo Blackbox,

aktuell ist der Forefront TMG Firellwall, Proxy, VPN-Server und Edge-Transport für Exchange.

Das interne Netz ist geroutet, das bedeutet dass Drucker, Server, Clients, Switches usw. jeweils in einem eigenen Netz liegen und in der Mitte mit einem Router (W2k8R2) verbunden sind.
Die Grundüberlegung war, dass ich meine Netzwerklast durch Broadcasts minimiere, wenn ich mir solche Broadcast domains aufbaue.

Jetzt habe ich vor kurzem die Cisco ASA5510 dazu bekommen und wollte ein zweistufiges Firewallsystem aufbauen. Bekomme aber jetzt auf Grund meiner Netzwerkkonfiguration immer mehr Probleme.

Ziel ist es, dass ich die ASA5510 als VPN Server einsetzen kann und dass natürlich alle VPN-Clients auf die Ressourcen zugreifen können, auf die sie müssen.

Den Forefront TMG würde ich weiter als als Edge-Transport und Proxy betreiben.

Gibt es nicht irgendwo eine Auflistung verschiedener Konzepte mit Bewertung?

Danke,

MfG Fazez

[fazez]

Habe mir jetzt noch mal Gedanken darüber gemacht:

Es läuft doch immer darauf raus wenn man zwei Firewalls betreibt, dass man an der inneren (in meinem Fall der MS ForefrontTMG) Firewall entweder Routen oder Natten muss.

In der Zeichnung in der Anlage sieht man einen ganz simplen Aufbau mit zwei Firewalls.

Die ASA5510 hat in diesem Fall die 192.168.10.10
Der ForefrontTMG hat die 192.168.10.1

Wenn ich an der ASA jetzt einen IP-Pool von 192.168.10.100 - 120 definieren würde, würde ein VPN-Client bei Einwahl eine Adresse aus dem Pool bekommen und als Gateway 192.168.10.1 (ForefrontTMG (Erste Adresse aus dem Netz des Pools)).

An der Stelle kommts drauf an: Ist der TMG gleichzeitig Router, dann werden die Pakete in das 192.168.5.0 Netz geroutet.

Steht der Router nach der Firewall muss ich zum Router hinnatten.

Stimmt doch so?

Wenn ja, warum geht dann beim Natten die Sicherheit der zweiten Firewall flöten und beim Routen nicht?

Danke,

MfG Fazez

[blackbox]

"Wenn ja, warum geht dann beim Natten die Sicherheit der zweiten Firewall flöten und beim Routen nicht?" das hat keiner gesagt - nur wenn du routest - dann gehen die Pakete zu deinem "internen" Netz über den gezeichneten Beipass - da das Netz ja an der Firewall "directly connected" ist - dann kannst du route reinschreiben wie du willst :-))

Eine Variante wäre folgende : Du baust es wie oben - und läßt die VPN Clients IP´s aus dem Transfernetz bekommen. Der TMG kann routen - den bei NAT würdest du Probs bekommen wenn die IP´s der Clients nach innen wollen. (Regelwerk auf dem TMG). Schwieriger wird es mit der LDAP Abfrage - hier wirst du ein kleines Loch machen müssen - um an die Daten zu kommen - warum nimmst du nicht die "Radius" Funktion - da musst du ja keinen direkten Zugriff auf die AD geben ?

[fazez]

So, jetzt hab ich wieder Zeit für dieses Thema

Wollte mich jetzt erstmal um meine VPN clients kümmern, dass diese den Forefront TMG erreichen können. Die Authentifizierung der VPN-Clients wollte ich danach angehen.

Die VPN-Clients bekommen nun eine Adresse aus dem Transfer-Netz (Netz zwischen den zwei Firewalls).

Habe festgestellt, dass ein Windows 7 Rechner bei VPN-Einwahl die erste freie Adresse des IP-Pool-Netzes als Standardgateway zugewiesen bekommt.

Ein Windows XP Rechner bekommt seine eigene VPN-IP als Standardgateway zugewiesen.

Das liegt wohl daran, dass Windows 7 nicht zulässt das IP und Gateway gleich sind.

Vorhin habe ich gelesen, dass man das mit Route Maps regelt. Dort soll der VPN-IP-POOL angegeben werden und auf eine andere Adresse (bei mir TMG) weitergeleitet werden. (Wenn ich das richtig verstanden habe).

Leider komme ich mit der Maske "Add Route Map" vom ASDM überhaupt nicht klar. Dort kann man ja nur prüfen ob bestimmte kriterien zutreffen und dieses dann erlauben oder verbieten.

Für mein Verständnis muss auch eine Route Map ein Ziel (Gateway) haben, wo gebe ich das an?

Über einen kleinen Schubs in die richtige Richtung wäre ich sehr dankbar

MfG Fazez

[fazez]

Habe alles soweit selbst hinbekommen. Nur ein kleiner Problemchen ist geblieben.... DNS Auflösung.

Ich vermute es ist ne kleine Einstellung die ich einfach nicht finden kann

Wenn ich mich via VPN einwähle, bekommt das Cisco LAN-Interface keine DNS-Server zugewiesen.

DNS an der ASA ist konfiguriert. Auch in dem VPN-Connection Profile ist die DNS Server Group angegeben.

Weiß wer warum ich am eingewählten Client mit ipconfig /all am Cisco Interface keine DNS Einträge sehe?

Danke,

MfG Fazez

Edit:
Wenn ich an der Cisco VPN Netzwerkkarte manuell den DNS eintrage, läuft alles einwandfrei...

[fazez]

Habs gefunden.
Hatte in der Group Policy keine DNS einträge drin.

MfG Fazez