Mehrere Gateways insbesondere für VPN

24/12/2007 - 12:02 von Thomas Hofmann | Report spam
Hallo,

ich habe einen Kunden, der mehrere Internet SDSL Leitungen nutzen will.

- ISA Server 2006 mit mehreren Netzwerkkarten
- 2 SDSL Leitungen mit festen IP Adressen (ISP1 und ISP 2)
- ein internes Netz
- eine DMZ

Grundsàtzlich soll der "normale Internet Zugang" über die Default-Gateway
(ISP 1) stattfinden. Die DMZ soll allerdings via VPN mit dem einem Netzwerk
im Internet über die 2. Leitung verbunden werden.

Ich habe eine permanente Route für die RemoteGateway des Providers gelegt,
so dass ein VPN Tunnel zum Provider über die 2. Leitung zustande kommt. Bis
dahin ist alles in Ordnung.

Allerdings werden keine Daten über den vorhandenen Tunnel übertragen, weil
alle Anfragen in das Providernetzwerk über die Default-GateWay geleitet
werden.

Ist das grundsàtzlich möglich, VPN Tunnel auf unterschiedliche Gateways
aufzuteilen?

Wenn ich eine weitere feste Route in das Providernetzwerk lege, werden die
Pakete doch sicher auch nicht über den Tunnel geleitet, sondern
wahrscheinlich direkt an die Schnittstelle, was mir aber nichts nützt.

Kennt jemand hier eine Möglichkeit, oder muss ich vorgeschaltete Router
einsetzen?

Vielen Dank

Thomas Hofmann
Hofmann PC-Systeme
 

Lesen sie die antworten

#1 Tobias Redelberger \(MVP - SBS\)
24/12/2007 - 12:46 | Warnen spam
Hi Thomas,

ich habe einen Kunden, der mehrere Internet SDSL Leitungen nutzen
will.

- ISA Server 2006 mit mehreren Netzwerkkarten
- 2 SDSL Leitungen mit festen IP Adressen (ISP1 und ISP 2)
- ein internes Netz
- eine DMZ

Grundsàtzlich soll der "normale Internet Zugang" über die
Default-Gateway (ISP 1) stattfinden. Die DMZ soll allerdings via VPN
mit dem einem Netzwerk im Internet über die 2. Leitung verbunden
werden.

Ich habe eine permanente Route für die RemoteGateway des Providers
gelegt, so dass ein VPN Tunnel zum Provider über die 2. Leitung
zustande kommt. Bis dahin ist alles in Ordnung.

Allerdings werden keine Daten über den vorhandenen Tunnel übertragen,
weil alle Anfragen in das Providernetzwerk über die Default-GateWay
geleitet werden.

Ist das grundsàtzlich möglich, VPN Tunnel auf unterschiedliche
Gateways aufzuteilen?

Wenn ich eine weitere feste Route in das Providernetzwerk lege,
werden die Pakete doch sicher auch nicht über den Tunnel geleitet,
sondern wahrscheinlich direkt an die Schnittstelle, was mir aber
nichts nützt.

Kennt jemand hier eine Möglichkeit, oder muss ich vorgeschaltete
Router einsetzen?



Genau das.. ;)

Es gibt zwar auch noch die Möglichkeit dem jeweiligen Benutzerobjekt* (für
die VPN-Einwahl) eine Statische Route zuzuweisen, aber wirklich "schön",
d.h. robustes Netzwerkdesign, ist das IMO nicht.

Aus meiner Sicht ist folgendes Best Practice:

<snip>

___ISA 2006__ Internes Netz
ISA-Extern | ISA 2004 VLAN 1
| |
VLAN 2 | |
| (Steuerung über Layer-3 Switch und
SDSL1 | VLAN-Tagging)
|Router| |
SDSL2 | |
| QoS | VLAN 1
VPN-Einwahl |__________|


Höhere Sicherheit erreichst Du mit scannen des VPN-Traffics, wie es eine
Cisco 5500 Series ermöglicht.

S.a.: Cisco ASA 5500 Series Adaptive Security Appliances
http://www.cisco.com/go/asa


Hintergrundinformationen:

VLAN - Virtual Local Area Network
http://de.wikipedia.org/wiki/Virtua...ea_Network

Overview of Routing between Virtual LANs
http://www.cisco.com/univercd/cc/td...xcvlan.htm

PIX/ASA: Multiple VPN Group Clients to use Different VLANs after Connecting
to a Security Appliance Configuration Example
http://www.cisco.com/en/US/products...b788.shtml

</snip>


* Statische Route im jeweiligen Benutzerobjekt zuweisen (nicht verfügbar im
Gemischten Windows 2000 Modus des AD)

-> Active Directory-Benutzer und -Computer
-> <Pfad zum Benutzerobjekt>
-> <Benutzer für VPN-Einwahl>
-> Eigenschaften
-> Einwàhlen
-> Statische Routen anwenden

Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49 (9722) 4835
Mobil: +49 (179) 25 98 341
Email:

Ähnliche fragen