Jump to content
Sign in to follow this  
flo12

Zusätzlicher VPN-Server in der DMZ

Recommended Posts

Hallo zusammen,

 

ich stehe vor folgendem Problem.

 

Wir haben hier aktuell eine Sonicwall am laufen, 3 Ports (WAN/LAN/DMZ), die DMZ hat einen öffentlichen Adressbereich in der Web und Mailserver stehen. Intern läuft ein Active Directory.

 

Auf der Sonicwall ist ein L2TP/IPSec VPN für den Remote Zugriff eingerichtet, der von den Außendienstlern genutzt wird.

 

Darüber hinaus benötigen jetzt noch einige Windows Mobile 6 Geräte einen VPN Zugriff, was mit der Sonicwall und dem standard WM VPN-Client leider nicht funktioniert.

 

Die Geräte müssen lediglich auf einen Webserver in der DMZ zugreifen, der jedoch nicht öffentlich zugänglich ist.

 

Meine Idee wäre jetzt in die DMZ einen zusätzlichen VPN-Server zu stellen, mit dem sich die mobilen Geräte verbinden können, z.B. mit einem 2008 R2 und RRAS klappt es. Der VPN-Server würde mit einer öffentlichen IP in der DMZ stehen (1 NW-Karte) die Benutzer Authentifizierung würde über einen RADIUS Server im LAN laufen.

 

Funktionieren würde das "Konstrukt" so schon, aber spricht etwas dagegen bzw. gibt es auch sicherere/bessere Lösungen?

 

 

schonmal danke

flo

Share this post


Link to post
Share on other sites

Hallo Flo,

 

wenn nach fast 2 Tagen niemand antwortet, versuch ich es einfach einmal:

 

Das Problem ist, daß die Sonicwall den Verkehr auf UDP 500,4500 abfängt, sobald die WAN Group VPN aktiviert ist. Daß heisst daß Du dann nichtmehr aussortieren kannst was in die DMZ soll und was von der Sonicwall bearbeitet werden muss. Ich sehe jetzt auf Anhieb nur zwei Lösungen (die zweite ist vielleicht ein bisschen abendteuerlich...)

 

1. Die WAN Group VPN auf der Sonicwall abschalten und allen UDP 500,4500 an den neuen VPN-Server in der DMZ durschschleusen. Somit werden dann ALLE VPN Verbindungen von diesem VPN Server bearbeitet.

 

2. Eine neue Zone auf der Sonicwall erstellen. Eine zweite WAN Verbindung bekommen und diese WAN Verbindung dann in diese neue Zone stellen. Die Sonicwall WAN Group VPN wird dann weiterhin die Anfragen auf die bisherige öffentliche IP-addresse bearbeiten ( Zone "WAN") und die Anfragen an die neue öffentliche IP addresse (Zone "Neu") können dann auf den zweiten VPN Server durchgeschleust werden.

 

Viel Glück.

 

Svensson

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...