radlauf
Goto Top

Router Cascade: Welcher von beiden Routern sollte VPN Server sein?

Liebe Foren Mitglieder,

Ich bräuchte eine Entscheidungshilfe für die Konfiguration eingehender VPN Verbindungen.

Das Setup besteht aus 2 cascadierten Routern. Router A (Zywall USG210) stellt die Front Firewall und Router B (Lancom EF1781) die Back Firewall dar. Momentan nimmt Router A VPN Verbindungen an. Router B läßt nur RDP auf ausgewählte Rechner im Intranet zu. Zukünftig braucht es aber einen direkten Zugriff auf das Intranet bzw. müßten recht viele Ports auf Router B geöffnet werden.

Meine Frage ist es nun, ob es besser ist, dass Router B die eingehenden VPN Verbindungen verarbeitet, oder dieser den gesamten VPN Verkehr von Router A durch läßt?

Danke,
Thomas

Content-Key: 344434

Url: https://administrator.de/contentid/344434

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: michi1983
michi1983 25.07.2017 um 17:48:04 Uhr
Goto Top
Hallo,

warum denn die Kaskade?
Grundsätzlich ist deine VPN Konfiguration schon richtig so, denn sonst müsstest du ja schon an der ersten FW zusätzliche Ports öffnen was man vermeiden sollte.

Gruß
Mitglied: Radlauf
Radlauf 25.07.2017 um 18:02:24 Uhr
Goto Top
ich wollte den 2. Router (intranetseitig) nach Außen hin schützen. Da die Firma noch im Wachstum ist, ändern sich Anforderungen. So bin ich flexibler (auch wenn es etwas komplizierter wird). Der Lancom dient auch als WLan Kontroller für mehrere Netze. Diese kann ich dann getrennt zur Front Firewall führen (beide Router haben min. 4 Lanschnittstellen) und getrennt überwachen.

Ehrlicherweise war zuerst die Zywall und der Lancom ist dazugewachsen.
Mitglied: michi1983
michi1983 25.07.2017 um 18:07:55 Uhr
Goto Top
Na dann belasse es so und gut ist face-smile

Gruß
Mitglied: 133883
Lösung 133883 25.07.2017 aktualisiert um 19:39:09 Uhr
Goto Top
Optimalerweise terminiert man ein VPN immer an den Grenzen des Netzwerks. Auch hier wäre die Grenze an der Zywall sicherheitstechnisch eigentlich die bessere Wahl.
Ich würde es also an der Zywall terminieren, dann alle Netze in VLANs trennen und per ACL definieren wer wohin darf. Dazu würde ich Zywall und LanCom über einen Trunk miteinander verbinden statt hier eine doppelte NAT-Barriere aufzubauen.
Aber jeder wie er mag...

Gruß
Mitglied: Radlauf
Radlauf 26.07.2017 um 11:55:35 Uhr
Goto Top
Danke für den Tip. Das Netzwerk reicht ja bis zur Zywall. VPN terminiert also an der richtigen Stelle. Das es ein zusätzlich ein "inneres" Netzwerk gibt, ist mir wichtig, denn ich kann nicht abschätzen, ob es Zugänge für Externe Partner geben wird. Diese will ich physikalisch getrennt wissen. ACLs sind ein guter Hinweis auf regelhaften VPN Verkehr.