hegl 10 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 Ich habe bis jetzt immer ein VPN von inside Richtung outside konfiguriert. Jetzt habe ich eine Struktur vorliegen, wo ich aus einer DMZ heraus ein VPN über das LAN (also von Security-Level 50 über Security-Level 100) konfigurieren muss. Ist hier etwas besonderes zu beachten, speziell in Bezug auf NAT bzw. NAT-NULL? Im üblichen Fall konfiguriere ich eine ACL mit NAT-NULL eine eine ACL für den traffic der encrypted Domains. Muss ich jetzt hier, wenn ich ein VPN aus einer DMZ heraus hinter eine höherwertige Zone per VPN zugreifen muss, mit static arbeiten? Zitieren
Otaku19 33 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 die securityzone hat damit nichts zu tun, allerdings versthe ich nciht so recht was du da machst. DMZ - ASA - INSIDE Und due willst einen L2L Tunnel von der DMZ auf eine Firewall die irgendw im INSIDE zu finden ist bauen ? NAT-NULL/STATIC sind alles Begriffe aus der Prä 8.3 Ära, welche Version hast du denn im Einsatz ? Zitieren
hegl 10 Geschrieben 7. März 2012 Autor Melden Geschrieben 7. März 2012 Struktur sieht so aus: DMZ - ASA - LAN (Standort1) - MPLS - LAN (Standort2) -DMZ. Jetzt sollen die beiden DMZ´s (Brandmeldeanlagen) per VPN verbunden werden. Im Einsatz ist auf meiner Seite ´ne ASA5505 mit Version 8.2. Zitieren
Otaku19 33 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 dann mach eine tunnel wie immer und eben je nach dem wie dein bestehendes NAT Setup aussieht eben no-nat. statics wären nur notwendig wenn du in beiden DMZen die gleiche IP Range fährst. Welchen Sinn macht aber der Tunnel an sich ? Securitygewinn ist es imho keiner, knnte mir nur vorstellen das du die DMZ Adressen im LAN/MPLS nicht geroutet haben will/kannst Zitieren
hegl 10 Geschrieben 7. März 2012 Autor Melden Geschrieben 7. März 2012 Dann mach eine tunnel wie immer und eben je nach dem wie dein bestehendes NAT Setup aussieht eben no-nat. Jepp, das wollte ich hören :) Welchen Sinn macht aber der Tunnel an sich ? Securitygewinn ist es imho keiner, knnte mir nur vorstellen das du die DMZ Adressen im LAN/MPLS nicht geroutet haben will/kannst Der Kunde macht die Vorgaben. Wir haben die notwendige Infrastruktur auf dem Campus und machen das LAN auf Layer2 und eben die eine Firewall - Rest machen andere. Zitieren
Otaku19 33 Geschrieben 7. März 2012 Melden Geschrieben 7. März 2012 ah...wobei mir grade ein ähnliches Setup eingefallen ist, hier in Österreich müssen zB die Daten die Krankenkassen hin und her schaufeln auch immer via VPN übertragen werden, internes MPLS VPN hin, p2p Anbindung her. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.