leo-le
Goto Top

Zusätzlicher VPN Server in DMZ?

Hallo zusammen,

wir planen noch einen weiteren VPN-Server ( Kleine Fortigate) temporär ins Netzwerk zu stelllen.
Nun gibt es ja 2 Möglichkeiten dies zu realisieren, Bspw. in die DMZ mit einem Bein an unsere Hauptfirewall und mit dem anderen in das VLAN, wo die Geräte stehen, welche erreicht werden müssen. Des Weiterengäbe es noch die Möglichkeit die Fortigate direkt in das VLAN zu stellen und diese dort als VPN-Server hinter der Hauptfirewall zu betreiben.

Vieleicht kann jemand Tipp geben, welche Möglichkeit die beste wäre.
Oder vielleicht gibt es noch eine ganz andere Lösung.

Vielen Dank!

Content-ID: 1934727080

Url: https://administrator.de/forum/zusaetzlicher-vpn-server-in-dmz-1934727080.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

ukulele-7
ukulele-7 17.02.2022 um 18:19:19 Uhr
Goto Top
Plump gesagt gäbe es noch die Möglichkeit den VPN Server getrennt vom Netz aufzustellen. Die Frage ist doch eher was willst du erreichen? Wer soll sich an dem Server anmelden und worauf nimmt er Zugriff?
Leo-le
Leo-le 18.02.2022 um 09:18:09 Uhr
Goto Top
Hallo ukulele-7,

vielen Dank für deine Hilfe.
Es ist so, dass wir kurzfristig eine Anbindung über IKEv2 zu einem Kunden benötigen. Leider support dies unser Hauptvpn Server nicht.

Insgesamt benötige ich nur einen Zugriff auf die Kundenserver.
Letztendlich möchte ich die sicherste Lösung und einfachste zugleich, wenn das bei diesem Thema geht.
Die FW direkt ins Internet zu stellen, wollte ich eigentlich vermeiden.

Aktuell habe ich diese nun in die DMZ gestellt und über die Hauptfw ausschließlich IPSec aufgemacht. Der FortVPN Server hat nun eine öffentliche IP für den Tunnel.

Oder wäre die bessere Lösung, diese via Nat hinter der Haupt FW zu betreiben?

Vielen Dank!
ukulele-7
ukulele-7 18.02.2022 um 10:04:08 Uhr
Goto Top
Der 2te VPN Server gehört dir und wird von dir administriert korrekt? Wählt sich der Kunde bei dir ein oder baust du die Verbindung zum Kunden auf?

Ich würde sagen wenn du die Kontrolle über den Server hast und der Kunde kein Zugriff in das Netz hinter dem VPN Server ist es egal ob das Ding in der DMZ oder in deinem internen Netz steht, DMZ schadet natürlich aber auch nicht.

Wie ist deine DMZ aufgebaut? Meine z.B. hängt eh per NAT hinter der Firewall, ist nur ein anderes VLAN.
Leo-le
Leo-le 24.02.2022 um 10:12:45 Uhr
Goto Top
Hallo ukulele,

wir bauen die Verbindung zum Kunden auf, es findet nur ein Zugriff von uns zum Kunden statt.
Der VPN Server hängt jetzt mit einem Bein in der DMZ und mit einem Bein in dem Netzwerk, von dem zugegriffen wird. Unsere DMZ hängt auf hinter einem NAT Router.
ukulele-7
Lösung ukulele-7 24.02.2022 um 10:37:40 Uhr
Goto Top
Dann wäre es aus meiner Sicht egal in welchem Netz der Router bei euch steht. Wenn es aber schon läuft dann kann es auch so bleiben.
Leo-le
Leo-le 24.02.2022 um 10:42:30 Uhr
Goto Top
Ja, denke ich auch. Vielen Dank!