hegl 10 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 Ich habe bis jetzt immer ein VPN von inside Richtung outside konfiguriert. Jetzt habe ich eine Struktur vorliegen, wo ich aus einer DMZ heraus ein VPN über das LAN (also von Security-Level 50 über Security-Level 100) konfigurieren muss. Ist hier etwas besonderes zu beachten, speziell in Bezug auf NAT bzw. NAT-NULL? Im üblichen Fall konfiguriere ich eine ACL mit NAT-NULL eine eine ACL für den traffic der encrypted Domains. Muss ich jetzt hier, wenn ich ein VPN aus einer DMZ heraus hinter eine höherwertige Zone per VPN zugreifen muss, mit static arbeiten?
Otaku19 33 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 die securityzone hat damit nichts zu tun, allerdings versthe ich nciht so recht was du da machst. DMZ - ASA - INSIDE Und due willst einen L2L Tunnel von der DMZ auf eine Firewall die irgendw im INSIDE zu finden ist bauen ? NAT-NULL/STATIC sind alles Begriffe aus der Prä 8.3 Ära, welche Version hast du denn im Einsatz ?
hegl 10 Geschrieben 7. März 2012 Autor Melden Geschrieben 7. März 2012 Struktur sieht so aus: DMZ - ASA - LAN (Standort1) - MPLS - LAN (Standort2) -DMZ. Jetzt sollen die beiden DMZ´s (Brandmeldeanlagen) per VPN verbunden werden. Im Einsatz ist auf meiner Seite ´ne ASA5505 mit Version 8.2.
Otaku19 33 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 dann mach eine tunnel wie immer und eben je nach dem wie dein bestehendes NAT Setup aussieht eben no-nat. statics wären nur notwendig wenn du in beiden DMZen die gleiche IP Range fährst. Welchen Sinn macht aber der Tunnel an sich ? Securitygewinn ist es imho keiner, knnte mir nur vorstellen das du die DMZ Adressen im LAN/MPLS nicht geroutet haben will/kannst
hegl 10 Geschrieben 7. März 2012 Autor Melden Geschrieben 7. März 2012 Dann mach eine tunnel wie immer und eben je nach dem wie dein bestehendes NAT Setup aussieht eben no-nat. Jepp, das wollte ich hören :) Welchen Sinn macht aber der Tunnel an sich ? Securitygewinn ist es imho keiner, knnte mir nur vorstellen das du die DMZ Adressen im LAN/MPLS nicht geroutet haben will/kannst Der Kunde macht die Vorgaben. Wir haben die notwendige Infrastruktur auf dem Campus und machen das LAN auf Layer2 und eben die eine Firewall - Rest machen andere.
Otaku19 33 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 ah...wobei mir grade ein ähnliches Setup eingefallen ist, hier in Österreich müssen zB die Daten die Krankenkassen hin und her schaufeln auch immer via VPN übertragen werden, internes MPLS VPN hin, p2p Anbindung her.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden