2
VPN-Gateway hinter Proxy ?
Moin,
habe hier ein Problem wo ich wohl eine Idee habe wie man das lösen könnte, aber noch nicht genau weiß wie und ob es möglich ist. Da ich dazu spezifisch erstmal nichts gefunden habe, wende ich mich also an euch
Zu meinem Problem: Ich habe hier ein Setup mit 2 Firewalls. Die Erste dient als Verbindung zum Internet, die Zweite ist für das Routing der internen Netze verantwortlich. Nun läuft unser VPN-Gateway auch auf der zweiten Firewall und ist somit nicht direkt von außen erreichbar (gewollt). Bisher wurden die VPN-Clients einfach durch Port-Forwarding auf der ersten zur zweiten Firewall weitergeleitet und konnten sich so verbinden. Nun haben wir aber in den letzten Wochen vermehrt feststellen müssen, dass dort extrem viel Traffic und Einbruchsversuche stattfinden. Deswegen suche ich momentan nach einer Möglichkeit das ganze "dicht" zu machen außer für wirklich gewollte Anfragen von unseren VPN-Clients.
Meine Idee: Zwischenschalten eines Proxys der dann entsprechend unsere VPN-Clients an das Gateway weiterleitet und filtert(?). In der ersten Firewall würde ich dann nur von dem Proxy aus erlauben auf das VPN-Gateway zuzugreifen.
Frage: Ist sowas sinnvoll ? Wenn ja, wie setze ich das am besten um, als Reverse-Proxy in der DMZ ?
Vielen Dank schonmal
Liebe Grüße
habe hier ein Problem wo ich wohl eine Idee habe wie man das lösen könnte, aber noch nicht genau weiß wie und ob es möglich ist. Da ich dazu spezifisch erstmal nichts gefunden habe, wende ich mich also an euch
Zu meinem Problem: Ich habe hier ein Setup mit 2 Firewalls. Die Erste dient als Verbindung zum Internet, die Zweite ist für das Routing der internen Netze verantwortlich. Nun läuft unser VPN-Gateway auch auf der zweiten Firewall und ist somit nicht direkt von außen erreichbar (gewollt). Bisher wurden die VPN-Clients einfach durch Port-Forwarding auf der ersten zur zweiten Firewall weitergeleitet und konnten sich so verbinden. Nun haben wir aber in den letzten Wochen vermehrt feststellen müssen, dass dort extrem viel Traffic und Einbruchsversuche stattfinden. Deswegen suche ich momentan nach einer Möglichkeit das ganze "dicht" zu machen außer für wirklich gewollte Anfragen von unseren VPN-Clients.
Meine Idee: Zwischenschalten eines Proxys der dann entsprechend unsere VPN-Clients an das Gateway weiterleitet und filtert(?). In der ersten Firewall würde ich dann nur von dem Proxy aus erlauben auf das VPN-Gateway zuzugreifen.
Frage: Ist sowas sinnvoll ? Wenn ja, wie setze ich das am besten um, als Reverse-Proxy in der DMZ ?
Vielen Dank schonmal
Liebe Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 557106
Url: https://administrator.de/contentid/557106
Printed on: April 16, 2024 at 08:04 o'clock
2 Comments
Latest comment
Ich habe hier ein Setup mit 2 Firewalls.
WAS für ein Setup ???- Kaskade ?
- Active-Passive Cluster ?
- Active-Active Cluster ?
dass dort extrem viel Traffic und Einbruchsversuche stattfinden.
Das ist normal. An jedem Router oder Firewall im Internet gibt es immer und zu jeder Zeit 24x7 Einruchs- und Port Scan Versuche. Das ist eine simple Binsenweisheit die es schon seit Jahrzehnten gibt oder hast du solange blauäugig geglaubt das das gerade an deinem Anschluss nicht passiert. Wäre ziemlich weltfremd...Meine Idee: Zwischenschalten eines Proxys
Sinnfrei, dann gibt es Angriffe auf den Proxy. ALLES was eine öffentliche IP Adresse hat wird angegriffen und Port gescannt. Das ist eine Grundannahme die immer gilt, egal welches design du machst. Danach musst du dich ausrichten.Was du brauchst ist eine gescheite Firewall die solche Angriffsversuche verhindert und das hast du ja eigentlich auch schon. Sogar in doppelter Ausführung.
Was du schaffst ist ein weiterer überflüssiger "Durchlauferhitzer" der nix bringt !
WAS für ein Setup ???
KaskadeUser kann sich im Browser an dem VPN-Gateway anmelden, den Client herunterladen und dann über den Client verbinden. Port-Forwarding dementsprechend für https & ike von der ersten auf die zweite Firewall.
Das ist normal.
Ja, das heißt aber nicht, dass man nicht versuchen kann diese Versuche zu verringern/filternSinnfrei, dann gibt es Angriffe auf den Proxy.
Würde aber dadurch auch das VPN-Gateway aus der Schusslinie nehmen ?Was du schaffst ist ein weiterer überflüssiger "Durchlauferhitzer" der nix bringt !
Leuchtet mir ein, danke. Deswegen die Frage ob es sinnvoll wäre