Gast-DSL Zugang für zweiten Standort

[fazez 10]

Hallo zusammen,

 

ich soll die Möglichkeit schaffen, dass Gäste sich von unserem zweiten Standort aus via VPN bei ihren Firmen einloggen können.

 

Wäre auch kein Problem, wenn manche nicht diesen bescheuerten Checkpoint Client haben würden. Der benötigt eine ganze Reihe von Ports dass er läuft:

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62692&js_peid=P-114a7ba5fd7-10001

 

Sagt mir wenn ich flasch liege, aber ich habe grundsätzlich keine Lust für Gäste meine Firewallsettings zu ändern.

 

Mir wäre es viel lieber, unseren DSL-Anschluss von Standort 1 nach Standort 2 zu patchen und den Gästen einen gewöhnlichen DSL-Anschluss zu Verfügung zu stellen.

 

Standort 1 und Standort 2 sind mit einer 10mbit Standleitung der Telekom fest verbunden. Die Endgeräte (NT10ETH) haben zwar einen zweiten LAN-Port aber ich nehme mal an, dass ich den nicht nutzen kann.

 

Wie bekomm ich den Anschluss nun an den Standort 2? Site-to-Site VPN?

 

Danke schon mal für Eure Tipps :)

 

MfG Fazez

[zahni 587]

Du könntest den Gästen z.B. sagen, dass VPN nur über SSL möglich ist:

 

Check Point New SSL VPN Gateway Simplifies Remote Access to Corporate Networks | Check Point Software

 

Andererseits würde ich fremde Geräte nie in mein Netz lassen. Es gibt beim TK-Anbieter des Vertraues schicke UTMS-Sticks.

[fazez 10]

Ich glaube, dass kann ich den speziellen Gästen mit dem Checkpoint Client kaum sagen. Wir sind nur der kleine Zulieferer für den großen Automobilhersteller :(

 

Ein UMTS-Router der ein Gast-WLAN zu Verfügung stellt wäre wohl das einfachste... aber wirklich toll finde ich das auch nicht, entstehen ja wieder Kosten...

 

MfG Fazez

[zahni 587]

Ich meinte, dass die Gäste sich selber einen UMTS-Zugang besorgen könnten ;)

 

Ich hätte als Admin des Autoherstellers u.U. ein Problem damit, wenn NB an fremde Netze angeschlossen werden. Zumal direkte Internetzugriffe via Default Gateway in größeren Firmen nicht üblich und auch nicht möglich sind (Internet nur über Proxy).

[Gu4rdi4n 80]

hast du eine Firewall mit mehreren Interfaces?

 

Wenn ja, hast du ein ungenutztes interface?

 

wenn ja, klemm da einfach nen WLAN accesspoint drauf, geb die Ports frei und Sperr die Verbindung zu den anderen Interfaces. Praktisch eine DMZ schaffen.

[fazez 10]

Die Firewalls stehen am Standort 1. Am Standort 2 steht nur das Telekom-Modem für die Standleitung und ein großer Switch.

 

Ich glaube, ich versuche am Standort 2 einen weiteren DSL-Anschluß zu bekommen. Dann habe ich alle Gäste weg von meinem Netz. -Hab mich da in der Vergangenheit schon breitschlagen lassen, den Gästen einen Internetzugang über unser LAN zu ermöglichen.

 

MfG Fazez

[Beeboop 10]

> entstehen ja wieder Kosten

Durch einen zweiten DSL-Anschluß nicht?

Den will ich auch haben!

Aber Spaß bei Seite, kann der Switch Vlan?

Wenn ja, dann definier darauf ein neues Netz, hängt eine AP dran und los gehts für deine Besucher!

[Zeichenfolge 10]

Also Leute macht man normalerweise nicht einfach ein 2te Subnetz für Gäste?

Das kannst ja offen lassen weil es sowieso von "deinen" Netz getrennt ist.

[basstscho 10]

Ich habe das auch ganz einfach wie von Beeboop vorgeschlagen über ein eigenes Gäste-VLAN und einem eigenen Adressebereich gemacht. Dazu noch über iptables das ganze in unserem Router ins Internet durchgeroutet.

 

@Zeichenfolge: Ein einfaches 2tes Subnetz war mir zu unsicher - falls sich jemand der Gäste manuell eine IP-Adresse aus dem Firmennetz gibt, könnte er somit (je nach Konfiguration der Komponenten) ggf. Zugriff auf dieses bekommen, wenn der AP nicht direkt mit dem Router verbunden ist - wir haben mehrere Besprechungsräume und daher auch mehere Switche, die in der gesamten Firma verteilt sind und über die bestehende Infrastruktur versorgt werden sollten => VLAN

[Zeichenfolge 10]

Logischer weise setzt man ein Vlan für ein 2tes Subnetz ein.