Zywall VPN Tunnel durch ISA geleiten

[tschutschi 10]

Hallo zusammen,

 

ich habe hier ein kleines problemchen mit einer WAN-DMZ-LAN Konstellation.

 

anhand des screenshots könnt ihr die derzeitigen netze und firewalls/isa sehen. die ips sind natürlich gefaked!

 

der isa server ist als backfirewall konfiguriert und hängt mit jeweils einer nic im lan und in der dmz. konnektivität von intern nach extern und zurück ist vollkommen in ordnung.die user surfen fleissig, mails werden rein- und rausgelassen usw.

 

die zywall hängt mit einer nic in der dmz und mit der wan nic am internet. auf der zywall terminieren die vpn verbindungen. da aus sicherheitsgründen der zugriff absofort nur noch über den weg LAN -> DMZ -> WAN und zurück erlaubt sein soll, muss das auch für die vpn tunnel gelten.

 

soweit so gut. die netzwerkpolicies auf den remote routern haben wir angepasst und die konnektivität bis zur dmz steht. das dmz interface der zywall ist von extern via vpn pingbar :-)

 

pings vom vpn aus ins lan werden aber am isa (dmz seitig) geblockt. wegen spoofing. ist ja klar, da für den isa ja das netzwerk "extern" = "internet" ist und auf dieser seite keine privaten adressen aufschlagen dürfen. :-( der isa ist aber schon ein schlauer schlawiner :p :D

 

ich habe schon versucht im isa ein netz "vpn-netze" zu kreieren und die fw regeln darauf auszurichten, aber es ist mir leider nicht gelungen einen ping durchzulassen. die anforderung (nicht der rückweg) werden weiterhin geblockt...

 

hat jemand einen tipp, wie ich das am geschicktesten hinbekommen kann?

 

dickes merci und grüße,

 

tschutschi

[tschutschi 10]

nachtrag:

 

könnte die konstellation mit einer trihomed firewall funktionieren, bei der das dritte netz das netz wäre in dem die vpn netze aufschlagen?