Standort-VPN vor dem ISA terminieren

04/10/2007 - 13:03 von André Partecke | Report spam
Hallo NG

Wenn ich eine Standortverbindung vor einem ISA Server auf der FF terminieren
muss, wie bekomme ich dann die Daten des remote Standortes in mein internes
Netzwerk, geschützt vom ISA Server?

Aufbau etwa so:
[internes Netzwerk] [ISA] [FF] <> [FF Remote Standort]

Ich sehe nur 2 Möglichkeiten:
- Am ISA Server wird das Netzwerkverhàltnis zwischen dem internen Netzwerk
und dem remote Netzwerk (bzw. Extern) auf Route gesetzt, so kann alles
geroutet werden. Nachteil: Das remote Netzwerk kann den Proxyserver des ISA
Servers nicht nutzen, Webproxy làsst sich nicht für Netzwerk "Extern"
aktivieren; es làuft interner Datenverkehr (Replikation etc...) über ein
prinzipiell nicht allzu vertrauenswürdiges Netzwerk (zwischen ISA und FF).

- Man baut ein "Umgehungsnetzwerk" zwischen ISA und FF, also man eröffnet
ein weiteres Netzwerk zwischen den beiden Firewalls, allerdings auf jeweils
einem anderen Interface beider Firewalls. Hier làsst sich dann auch der
Webproxy für das remote Netzwerk aktivieren. Vorausgesetzt im Regelwerk
stimmt alles, wàre das eine sichere Lösung?! Über das externe Interface des
ISA Servers làuft ab sofort so gut wie nur noch Web-, Mailverkehr.
Datenverkehr beider Standorte über das Umgehensnetzwerk. Der ISA Server wird
so nicht "gebypassed" (vgl. Nightmare Scenario
http://www.isaserver.org/tutorials/...Part1.html)

[internes Netzwerk] [ISA] [FF] <> [FF Remote Standort]
| |
-

Die zweit-schönste Lösung wàre sicherlich, wenn man ein drittes Geràt hàtte,
dass die Standortverbindung herstellt und ins interne Netzwerk routet, der
ISA Server die Schnittstelle nach Außen bildet und die FF Dinge wie
SMTP-Gateway, Proxykette, etc. erledigt.

Die schönste Lösung natürlich: ISA Server als VPN Gateway nutzen ;-)
Hier gibt es aber Probleme: Politik, Admins, Kompatibilitàt z.B.
Verschlüsselungsmechanismen

Wie machen das andere Firmen???

Besten Dank!


Danke & Gruß
André
 

Lesen sie die antworten

#1 Jens Baier
04/10/2007 - 13:38 | Warnen spam
Hi,

Wenn ich eine Standortverbindung vor einem ISA Server auf der FF
terminieren muss, wie bekomme ich dann die Daten des remote Standortes in
mein internes Netzwerk, geschützt vom ISA Server?



nur per Route, weil Serververoeffentlichungen wirklich beschraenkt sind

- Am ISA Server wird das Netzwerkverhàltnis zwischen dem internen Netzwerk
und dem remote Netzwerk (bzw. Extern) auf Route gesetzt, so kann alles
geroutet werden. Nachteil: Das remote Netzwerk kann den Proxyserver des
ISA Servers nicht nutzen, Webproxy làsst sich nicht für Netzwerk "Extern"
aktivieren; es làuft interner Datenverkehr (Replikation etc...) über ein
prinzipiell nicht allzu vertrauenswürdiges Netzwerk (zwischen ISA und FF).



waere eine Loesung

Wie machen das andere Firmen???



VPN Verbindungen in der DMZ terminieren lassen und dann per Netzwerk / Regel
auf die Ressourcne im internen Netzwerk zugreifen lassen, ist aus meiner
Sicht eine gangbare Moeglichkeit.

gruss Jens
ww.wnt-faq.de

Ähnliche fragen