Router Cascade: Welcher von beiden Routern sollte VPN Server sein?
Liebe Foren Mitglieder,
Ich bräuchte eine Entscheidungshilfe für die Konfiguration eingehender VPN Verbindungen.
Das Setup besteht aus 2 cascadierten Routern. Router A (Zywall USG210) stellt die Front Firewall und Router B (Lancom EF1781) die Back Firewall dar. Momentan nimmt Router A VPN Verbindungen an. Router B läßt nur RDP auf ausgewählte Rechner im Intranet zu. Zukünftig braucht es aber einen direkten Zugriff auf das Intranet bzw. müßten recht viele Ports auf Router B geöffnet werden.
Meine Frage ist es nun, ob es besser ist, dass Router B die eingehenden VPN Verbindungen verarbeitet, oder dieser den gesamten VPN Verkehr von Router A durch läßt?
Danke,
Thomas
Ich bräuchte eine Entscheidungshilfe für die Konfiguration eingehender VPN Verbindungen.
Das Setup besteht aus 2 cascadierten Routern. Router A (Zywall USG210) stellt die Front Firewall und Router B (Lancom EF1781) die Back Firewall dar. Momentan nimmt Router A VPN Verbindungen an. Router B läßt nur RDP auf ausgewählte Rechner im Intranet zu. Zukünftig braucht es aber einen direkten Zugriff auf das Intranet bzw. müßten recht viele Ports auf Router B geöffnet werden.
Meine Frage ist es nun, ob es besser ist, dass Router B die eingehenden VPN Verbindungen verarbeitet, oder dieser den gesamten VPN Verkehr von Router A durch läßt?
Danke,
Thomas
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344434
Url: https://administrator.de/forum/router-cascade-welcher-von-beiden-routern-sollte-vpn-server-sein-344434.html
Ausgedruckt am: 25.04.2025 um 10:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
warum denn die Kaskade?
Grundsätzlich ist deine VPN Konfiguration schon richtig so, denn sonst müsstest du ja schon an der ersten FW zusätzliche Ports öffnen was man vermeiden sollte.
Gruß
warum denn die Kaskade?
Grundsätzlich ist deine VPN Konfiguration schon richtig so, denn sonst müsstest du ja schon an der ersten FW zusätzliche Ports öffnen was man vermeiden sollte.
Gruß
ich wollte den 2. Router (intranetseitig) nach Außen hin schützen. Da die Firma noch im Wachstum ist, ändern sich Anforderungen. So bin ich flexibler (auch wenn es etwas komplizierter wird). Der Lancom dient auch als WLan Kontroller für mehrere Netze. Diese kann ich dann getrennt zur Front Firewall führen (beide Router haben min. 4 Lanschnittstellen) und getrennt überwachen.
Ehrlicherweise war zuerst die Zywall und der Lancom ist dazugewachsen.
Ehrlicherweise war zuerst die Zywall und der Lancom ist dazugewachsen.
Na dann belasse es so und gut ist 
Gruß
Gruß
Optimalerweise terminiert man ein VPN immer an den Grenzen des Netzwerks. Auch hier wäre die Grenze an der Zywall sicherheitstechnisch eigentlich die bessere Wahl.
Ich würde es also an der Zywall terminieren, dann alle Netze in VLANs trennen und per ACL definieren wer wohin darf. Dazu würde ich Zywall und LanCom über einen Trunk miteinander verbinden statt hier eine doppelte NAT-Barriere aufzubauen.
Aber jeder wie er mag...
Gruß
Ich würde es also an der Zywall terminieren, dann alle Netze in VLANs trennen und per ACL definieren wer wohin darf. Dazu würde ich Zywall und LanCom über einen Trunk miteinander verbinden statt hier eine doppelte NAT-Barriere aufzubauen.
Aber jeder wie er mag...
Gruß
Danke für den Tip. Das Netzwerk reicht ja bis zur Zywall. VPN terminiert also an der richtigen Stelle. Das es ein zusätzlich ein "inneres" Netzwerk gibt, ist mir wichtig, denn ich kann nicht abschätzen, ob es Zugänge für Externe Partner geben wird. Diese will ich physikalisch getrennt wissen. ACLs sind ein guter Hinweis auf regelhaften VPN Verkehr.
