6
Zusätzlicher VPN Server in DMZ?
Hallo zusammen,
wir planen noch einen weiteren VPN-Server ( Kleine Fortigate) temporär ins Netzwerk zu stelllen.
Nun gibt es ja 2 Möglichkeiten dies zu realisieren, Bspw. in die DMZ mit einem Bein an unsere Hauptfirewall und mit dem anderen in das VLAN, wo die Geräte stehen, welche erreicht werden müssen. Des Weiterengäbe es noch die Möglichkeit die Fortigate direkt in das VLAN zu stellen und diese dort als VPN-Server hinter der Hauptfirewall zu betreiben.
Vieleicht kann jemand Tipp geben, welche Möglichkeit die beste wäre.
Oder vielleicht gibt es noch eine ganz andere Lösung.
Vielen Dank!
wir planen noch einen weiteren VPN-Server ( Kleine Fortigate) temporär ins Netzwerk zu stelllen.
Nun gibt es ja 2 Möglichkeiten dies zu realisieren, Bspw. in die DMZ mit einem Bein an unsere Hauptfirewall und mit dem anderen in das VLAN, wo die Geräte stehen, welche erreicht werden müssen. Des Weiterengäbe es noch die Möglichkeit die Fortigate direkt in das VLAN zu stellen und diese dort als VPN-Server hinter der Hauptfirewall zu betreiben.
Vieleicht kann jemand Tipp geben, welche Möglichkeit die beste wäre.
Oder vielleicht gibt es noch eine ganz andere Lösung.
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1934727080
Url: https://administrator.de/contentid/1934727080
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
6 Kommentare
Neuester Kommentar
Plump gesagt gäbe es noch die Möglichkeit den VPN Server getrennt vom Netz aufzustellen. Die Frage ist doch eher was willst du erreichen? Wer soll sich an dem Server anmelden und worauf nimmt er Zugriff?
Hallo ukulele-7,
vielen Dank für deine Hilfe.
Es ist so, dass wir kurzfristig eine Anbindung über IKEv2 zu einem Kunden benötigen. Leider support dies unser Hauptvpn Server nicht.
Insgesamt benötige ich nur einen Zugriff auf die Kundenserver.
Letztendlich möchte ich die sicherste Lösung und einfachste zugleich, wenn das bei diesem Thema geht.
Die FW direkt ins Internet zu stellen, wollte ich eigentlich vermeiden.
Aktuell habe ich diese nun in die DMZ gestellt und über die Hauptfw ausschließlich IPSec aufgemacht. Der FortVPN Server hat nun eine öffentliche IP für den Tunnel.
Oder wäre die bessere Lösung, diese via Nat hinter der Haupt FW zu betreiben?
Vielen Dank!
vielen Dank für deine Hilfe.
Es ist so, dass wir kurzfristig eine Anbindung über IKEv2 zu einem Kunden benötigen. Leider support dies unser Hauptvpn Server nicht.
Insgesamt benötige ich nur einen Zugriff auf die Kundenserver.
Letztendlich möchte ich die sicherste Lösung und einfachste zugleich, wenn das bei diesem Thema geht.
Die FW direkt ins Internet zu stellen, wollte ich eigentlich vermeiden.
Aktuell habe ich diese nun in die DMZ gestellt und über die Hauptfw ausschließlich IPSec aufgemacht. Der FortVPN Server hat nun eine öffentliche IP für den Tunnel.
Oder wäre die bessere Lösung, diese via Nat hinter der Haupt FW zu betreiben?
Vielen Dank!
Der 2te VPN Server gehört dir und wird von dir administriert korrekt? Wählt sich der Kunde bei dir ein oder baust du die Verbindung zum Kunden auf?
Ich würde sagen wenn du die Kontrolle über den Server hast und der Kunde kein Zugriff in das Netz hinter dem VPN Server ist es egal ob das Ding in der DMZ oder in deinem internen Netz steht, DMZ schadet natürlich aber auch nicht.
Wie ist deine DMZ aufgebaut? Meine z.B. hängt eh per NAT hinter der Firewall, ist nur ein anderes VLAN.
Ich würde sagen wenn du die Kontrolle über den Server hast und der Kunde kein Zugriff in das Netz hinter dem VPN Server ist es egal ob das Ding in der DMZ oder in deinem internen Netz steht, DMZ schadet natürlich aber auch nicht.
Wie ist deine DMZ aufgebaut? Meine z.B. hängt eh per NAT hinter der Firewall, ist nur ein anderes VLAN.
Hallo ukulele,
wir bauen die Verbindung zum Kunden auf, es findet nur ein Zugriff von uns zum Kunden statt.
Der VPN Server hängt jetzt mit einem Bein in der DMZ und mit einem Bein in dem Netzwerk, von dem zugegriffen wird. Unsere DMZ hängt auf hinter einem NAT Router.
wir bauen die Verbindung zum Kunden auf, es findet nur ein Zugriff von uns zum Kunden statt.
Der VPN Server hängt jetzt mit einem Bein in der DMZ und mit einem Bein in dem Netzwerk, von dem zugegriffen wird. Unsere DMZ hängt auf hinter einem NAT Router.
Dann wäre es aus meiner Sicht egal in welchem Netz der Router bei euch steht. Wenn es aber schon läuft dann kann es auch so bleiben.
Ja, denke ich auch. Vielen Dank!
