ISA-VPN-Terminierung

20/07/2009 - 15:27 von Ray Munzinger | Report spam
Hallo NG,

wir haben 2 Aussenstandorte, die mit unserer Geschàftsstelle über
L2TP-3DES-PresharedKeys verbunden sind.
Bislang waren (und sind aktuell noch) alle mit ISA-2004 ausgestattet und
haben eine Site-to-Site-VPN zu unserer Geschàftsstelle.

In der Geschàftsstelle habe ich nun eine SonicWall NSA-240 vor den ISA
geschaltet, da ich seit làngerer Zeit zu unserem
T-Interconnect auch noch einen Kabel-BW-Breitbandzugang habe und diesen für
http und ftp auch nutzen wollte.
Dabei ist diese so konfiguriert, dass VPN einfach passthrough durch die NSA
direkt zum ISA geroutet wird und dort terminiert.

Die Systeme sind alle konfiguriert und funktionieren soweit.

Nun meine Frage:
Ich würde gerne die VPN-Tunnel der Aussenstandorte anstatt auf dem ISA
direkt auf der SonicWall terminieren lassen.
Hierzu habe ich auch (wie üblich, und auf diesem Weg: Ein Herzliches
Dankeschön an Dieter!) eine entsprechende Anleitung gefunden:
http://www.msisafaq.de/anleitungen/...allPSK.htm

Das liese sich sicherlich ohne Probleme einrichten.

Allerdings würde ich gerne die Remote-VPNs der Notebooks und
Home-Office-User weiterhin auf dem ISA terminieren lassen.
(Da kann ich über das ISA-Logging wunderschön die Einwahlzeiten auslesen und
für die Remote-Stunden-Abrechnung aufbereiten,
was die SonicWall leider nicht in diesem Umfang hergibt...).

Wàre das denn technisch überhaupt machbar?
Wenn ja, wie müsste die Konfig aussehen?

Danke

Ray
 

Lesen sie die antworten

#1 Jens Baier
20/07/2009 - 16:03 | Warnen spam
Hi,

In der Geschàftsstelle habe ich nun eine SonicWall NSA-240 vor den ISA
geschaltet, da ich seit làngerer Zeit zu unserem
T-Interconnect auch noch einen Kabel-BW-Breitbandzugang habe und diesen für
http und ftp auch nutzen wollte.
Dabei ist diese so konfiguriert, dass VPN einfach passthrough durch die NSA
direkt zum ISA geroutet wird und dort terminiert.



OK

Das liese sich sicherlich ohne Probleme einrichten.



ACK

Allerdings würde ich gerne die Remote-VPNs der Notebooks und
Home-Office-User weiterhin auf dem ISA terminieren lassen.
(Da kann ich über das ISA-Logging wunderschön die Einwahlzeiten auslesen und
für die Remote-Stunden-Abrechnung aufbereiten,
was die SonicWall leider nicht in diesem Umfang hergibt...).



die Client VPN Komponente laesst Du so auf dem ISA laufen und das Site to
Site VPN ueber die Sonicwall. Da die Clients dann an der Sonicwall terminiert
werden, ist dann saemtlicher Datenverkehr Extern aus ISA Sicht, da die
Anfragen dann am externen ISA Interface ankommen. Wenn das
Netzwerkverhaeltnis dann NAT ist, musst Du mit Serververoeffentlichungen
arbeiten. Besser waere ein Extra VPN S2S Netz am ISA einzurichten und dort
das Netzwerkverhaeltnis auf Route zu stellen um den Traffic per normalen
Firewallregeln zu erlauben. Das mit NAT und VPN Terminierung an der Sonicwall
vor dem ISA wird sonst problematisch

Gruss Jens
www.nt-faq.de
www.it-training-grote.de

Ähnliche fragen