Re: Mehrere Gateways insbesondere für VPN
- From: "Tobias Redelberger \(MVP - SBS\)" <T.Redelberger@xxxxxxxxxxxxxxxxxxxx>
- Date: Mon, 24 Dec 2007 12:46:34 +0100
Hi Thomas,
ich habe einen Kunden, der mehrere Internet SDSL Leitungen nutzen
will.
- ISA Server 2006 mit mehreren Netzwerkkarten
- 2 SDSL Leitungen mit festen IP Adressen (ISP1 und ISP 2)
- ein internes Netz
- eine DMZ
Grundsätzlich soll der "normale Internet Zugang" über die
Default-Gateway (ISP 1) stattfinden. Die DMZ soll allerdings via VPN
mit dem einem Netzwerk im Internet über die 2. Leitung verbunden
werden.
Ich habe eine permanente Route für die RemoteGateway des Providers
gelegt, so dass ein VPN Tunnel zum Provider über die 2. Leitung
zustande kommt. Bis dahin ist alles in Ordnung.
Allerdings werden keine Daten über den vorhandenen Tunnel übertragen,
weil alle Anfragen in das Providernetzwerk über die Default-GateWay
geleitet werden.
Ist das grundsätzlich möglich, VPN Tunnel auf unterschiedliche
Gateways aufzuteilen?
Wenn ich eine weitere feste Route in das Providernetzwerk lege,
werden die Pakete doch sicher auch nicht über den Tunnel geleitet,
sondern wahrscheinlich direkt an die Schnittstelle, was mir aber
nichts nützt.
Kennt jemand hier eine Möglichkeit, oder muss ich vorgeschaltete
Router einsetzen?
Genau das.. ;)
Es gibt zwar auch noch die Möglichkeit dem jeweiligen Benutzerobjekt* (für
die VPN-Einwahl) eine Statische Route zuzuweisen, aber wirklich "schön",
d.h. robustes Netzwerkdesign, ist das IMO nicht.
Aus meiner Sicht ist folgendes Best Practice:
<snip>
___ISA 2006__ Internes Netz
ISA-Extern | ISA 2004 VLAN 1
| |
VLAN 2 | |
| (Steuerung über Layer-3 Switch und
SDSL1 | VLAN-Tagging)
|---Router---| |
SDSL2 | |
| QoS | VLAN 1
VPN-Einwahl |__________|
Höhere Sicherheit erreichst Du mit scannen des VPN-Traffics, wie es eine
Cisco 5500 Series ermöglicht.
S.a.: Cisco ASA 5500 Series Adaptive Security Appliances
http://www.cisco.com/go/asa
Hintergrundinformationen:
VLAN - Virtual Local Area Network
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Overview of Routing between Virtual LANs
http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/switch_c/xcvlan.htm
PIX/ASA: Multiple VPN Group Clients to use Different VLANs after Connecting
to a Security Appliance Configuration Example
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806ab788.shtml
</snip>
* Statische Route im jeweiligen Benutzerobjekt zuweisen (nicht verfügbar im
Gemischten Windows 2000 Modus des AD)
-> Active Directory-Benutzer und -Computer
-> <Pfad zum Benutzerobjekt>
-> <Benutzer für VPN-Einwahl>
-> Eigenschaften
-> Einwählen
-> Statische Routen anwenden
--
Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49 (9722) 4835
Mobil: +49 (179) 25 98 341
Email: T.Redelberger@xxxxxxxxxxxxxxxxxxxx
.
- Follow-Ups:
- Re: Mehrere Gateways insbesondere für VPN
- From: Thomas Hofmann
- Re: Mehrere Gateways insbesondere für VPN
- References:
- Mehrere Gateways insbesondere für VPN
- From: Thomas Hofmann
- Mehrere Gateways insbesondere für VPN
- Prev by Date: VPN Clients und VPN Zugriffe auf Notebooks
- Next by Date: Re: VPN Clients und VPN Zugriffe auf Notebooks
- Previous by thread: Mehrere Gateways insbesondere für VPN
- Next by thread: Re: Mehrere Gateways insbesondere für VPN
- Index(es):
Relevant Pages
|
