Jump to content

Zusätzlicher VPN-Server in der DMZ


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich stehe vor folgendem Problem.

 

Wir haben hier aktuell eine Sonicwall am laufen, 3 Ports (WAN/LAN/DMZ), die DMZ hat einen öffentlichen Adressbereich in der Web und Mailserver stehen. Intern läuft ein Active Directory.

 

Auf der Sonicwall ist ein L2TP/IPSec VPN für den Remote Zugriff eingerichtet, der von den Außendienstlern genutzt wird.

 

Darüber hinaus benötigen jetzt noch einige Windows Mobile 6 Geräte einen VPN Zugriff, was mit der Sonicwall und dem standard WM VPN-Client leider nicht funktioniert.

 

Die Geräte müssen lediglich auf einen Webserver in der DMZ zugreifen, der jedoch nicht öffentlich zugänglich ist.

 

Meine Idee wäre jetzt in die DMZ einen zusätzlichen VPN-Server zu stellen, mit dem sich die mobilen Geräte verbinden können, z.B. mit einem 2008 R2 und RRAS klappt es. Der VPN-Server würde mit einer öffentlichen IP in der DMZ stehen (1 NW-Karte) die Benutzer Authentifizierung würde über einen RADIUS Server im LAN laufen.

 

Funktionieren würde das "Konstrukt" so schon, aber spricht etwas dagegen bzw. gibt es auch sicherere/bessere Lösungen?

 

 

schonmal danke

flo

Link zu diesem Kommentar

Hallo Flo,

 

wenn nach fast 2 Tagen niemand antwortet, versuch ich es einfach einmal:

 

Das Problem ist, daß die Sonicwall den Verkehr auf UDP 500,4500 abfängt, sobald die WAN Group VPN aktiviert ist. Daß heisst daß Du dann nichtmehr aussortieren kannst was in die DMZ soll und was von der Sonicwall bearbeitet werden muss. Ich sehe jetzt auf Anhieb nur zwei Lösungen (die zweite ist vielleicht ein bisschen abendteuerlich...)

 

1. Die WAN Group VPN auf der Sonicwall abschalten und allen UDP 500,4500 an den neuen VPN-Server in der DMZ durschschleusen. Somit werden dann ALLE VPN Verbindungen von diesem VPN Server bearbeitet.

 

2. Eine neue Zone auf der Sonicwall erstellen. Eine zweite WAN Verbindung bekommen und diese WAN Verbindung dann in diese neue Zone stellen. Die Sonicwall WAN Group VPN wird dann weiterhin die Anfragen auf die bisherige öffentliche IP-addresse bearbeiten ( Zone "WAN") und die Anfragen an die neue öffentliche IP addresse (Zone "Neu") können dann auf den zweiten VPN Server durchgeschleust werden.

 

Viel Glück.

 

Svensson

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...