VPN über DMZ

[Sascha321 12]

Hallo

 

also mein aufbau meines Netzes sieht wie folgt aus:

 

Internet - Firewall01 - DMZ - Firewall02 - LAN

 

Ich habe in der DMZ einen PC der über VPN zur Firewall02 in das Lan kommt, mit dem PC in der DMZ, kann ich über VPN die Server im Lan erreichen.

Nun möchte ich noch vom Internet über die Firewall01 eine VPN Verbindung mit der Firewall02 machen, damit ich auch aus dem Internet herraus auf das Lan zugreifen kann.

Welche Ports muss ich an der Firewall01 freigeben damit das VPN zur Firewall02 klappt?

Als VPN client habe ich den Zywall Ipsec Client, ist der gleiche wie der von Greenbow.

[s.k. 11]

Hi,

 

warum terminierst Du den Tunnel nicht an Firewall01?

 

Gruß

sk

[Sascha321 12]

Hallo

 

in der DMZ ist ein Wlan Access Point, ich möchte nicht das der mit in meinem LAN hängt. Trotzdem möchte ich von der DMZ auf meine Daten (Server) die im Lan sind zugreifen.

Ich bin da nicht besonders bewand drin, vielleicht könntest Du mir sagen wie ich das am besten mache.

 

Im moment ist es so, wenn ich mich mit dem Notebook in der DMZ befinde ist das nur zum Surfen. Sollte ich jetzt Daten vom Lan brauchen, mache ich die VPN Verbindung auf die Firewall02 und komme an meinen Daten die im Lan sind.

[s.k. 11]

Was sind denn das für Firewalls?

Es soll zusätzlich zum LAN eine Art Gästenetz geben (Kabel-gebunden oder WLAN), von wo aus man nur ins Intenet kommt bzw. nur per VPN ins LAN?

 

Gruß

sk

[Sascha321 12]

Hallo

 

Also Firewall01 ist einen Pfsense und Firewall02 ist ein Zywall 5

 

Die DMZ ist ja das Gästenetz, es ist Wireless wie auch per Kabel erreichbar.

 

Genau aus der DMZ kommt man nur per VPN ins LAN, das funktioniert ja auch schon, nur möchte ich jetzt noch per VPN vom Internet aus ins Lan kommen. Dafür muss ich aber irgendwie an der Firewall01 vorbei bzw. die netsprechenden Ports öffnen.

[s.k. 11]

Es sind nicht nur einzelne Ports, die weitergeleitet werden müssten, sondern ganze Protokolle wie z.B. ESP.

 

Rein vom bisher Gesagten sehe ich aber ohnehin keinen Grund für einen zweistufigen Firewallaufbau. Das Szenario kann man auch mit einer "mehrbeinigen" Firewall lösen.

 

Mein Vorschlag wäre folgender:

1) Die pfSense entfällt. Die Zywall steht dann direkt im Internet.

2) Auf der ZW weisst Du mind. einen der Inside-Ports per Port-Role der Zone "DMZ" zu. Hieran schließt Du den Accesspoint und/oder den Switch aus der bisherigen DMZ an.

3) Das Firewallregelwerk der Zywall wird so konfiguriert, dass man von der DMZ nur ins WAN kann.

4) Auf der Zywall wird ein VPN-Tunnel definiert, der sowohl auf dem DMZ- als auch auf dem WAN-Interface erreichbar ist. Der VPN-Aufbau von der DMZ aufs WAN-Interface könnte auch funktionieren, ist aber möglicherweise etwas tricky in der Einrichtung (NAT loopback).

5) Wenn man die Zywall als DNS-Server für die DMZ verwendet, könnte man über eine Manipulation der Namensauflösung auf der ZW sogar dafür sorgen, dass auf dem Client lediglich _eine_ VPN-Config erforderlich ist, die sowohl in der DMZ als auch vom WAN aus funktioniert (vorausgesetzt, Du sprichst die Firewall beim Tunnelaufbau über einen Hostnamen an).

 

Das gleiche sollte auch mit der pfSense funktionieren. pfSense hat sogar ein paar nette Features (z.B. taggt VLANs, SSL-VPN, Captive Portal), welche die doch schon recht recht betagte Zywall 5 nicht hat. Allerdings hatten m.W. zumindest führere Versionen von pfSense Probleme bei IPSec-VPNs mit dynamischen Endpunkten. Wenn ein zweitstufiger Firewallaufbau beibehalten werden soll, würde ich deshalb die Zywall als Front- und die pfSense als Backend-Firewall verwenden.

 

Gruß

sk

bearbeitet 9. April 2011 von s.k.

[Sascha321 12]

Hallo

 

Der zweistufige Aufbau sollte eigentlich so bleiben. Mittlerweile steht der VPN Tunnel auch zur Zywall, nur die Server die im Lan hängen kann ich nicht erreichen.

Es fehlt anscheint noch irgend ein Protokoll, muss ich mal weiter schauen.

 

Vielen Dank für die ausführliche anleitung.