Zusätzlicher VPN-Server in der DMZ

[flo12]

Hallo zusammen,

ich stehe vor folgendem Problem.

Wir haben hier aktuell eine Sonicwall am laufen, 3 Ports (WAN/LAN/DMZ), die DMZ hat einen öffentlichen Adressbereich in der Web und Mailserver stehen. Intern läuft ein Active Directory.

Auf der Sonicwall ist ein L2TP/IPSec VPN für den Remote Zugriff eingerichtet, der von den Außendienstlern genutzt wird.

Darüber hinaus benötigen jetzt noch einige Windows Mobile 6 Geräte einen VPN Zugriff, was mit der Sonicwall und dem standard WM VPN-Client leider nicht funktioniert.

Die Geräte müssen lediglich auf einen Webserver in der DMZ zugreifen, der jedoch nicht öffentlich zugänglich ist.

Meine Idee wäre jetzt in die DMZ einen zusätzlichen VPN-Server zu stellen, mit dem sich die mobilen Geräte verbinden können, z.B. mit einem 2008 R2 und RRAS klappt es. Der VPN-Server würde mit einer öffentlichen IP in der DMZ stehen (1 NW-Karte) die Benutzer Authentifizierung würde über einen RADIUS Server im LAN laufen.

Funktionieren würde das "Konstrukt" so schon, aber spricht etwas dagegen bzw. gibt es auch sicherere/bessere Lösungen?


schonmal danke
flo

[svengine]

Hallo Flo,

wenn nach fast 2 Tagen niemand antwortet, versuch ich es einfach einmal:

Das Problem ist, daß die Sonicwall den Verkehr auf UDP 500,4500 abfängt, sobald die WAN Group VPN aktiviert ist. Daß heisst daß Du dann nichtmehr aussortieren kannst was in die DMZ soll und was von der Sonicwall bearbeitet werden muss. Ich sehe jetzt auf Anhieb nur zwei Lösungen (die zweite ist vielleicht ein bisschen abendteuerlich...)

1. Die WAN Group VPN auf der Sonicwall abschalten und allen UDP 500,4500 an den neuen VPN-Server in der DMZ durschschleusen. Somit werden dann ALLE VPN Verbindungen von diesem VPN Server bearbeitet.

2. Eine neue Zone auf der Sonicwall erstellen. Eine zweite WAN Verbindung bekommen und diese WAN Verbindung dann in diese neue Zone stellen. Die Sonicwall WAN Group VPN wird dann weiterhin die Anfragen auf die bisherige öffentliche IP-addresse bearbeiten ( Zone "WAN") und die Anfragen an die neue öffentliche IP addresse (Zone "Neu") können dann auf den zweiten VPN Server durchgeschleust werden.

Viel Glück.

Svensson

[djmaker]

Reicht eventuell eine 2. öffentliche IP zum selektieren aus?

[svengine]

Ich glaube das klappt bei der Sonicwall nicht. Soweit ich weiss kann man den WAN Group VPN nur an eine Zone anbinden, nicht an eine IP addresse...