LAN-Port für VPN reservieren; ISA "umgehen"

cosoft · Beitrag von **cosoft** » 03 Jan 2007, 11:04

Folgendes Szenario: an einem 1621 hängt an LAN1 ein ISA-Server, am ISA hängt das lokale Netz. Der 1621 hängt per LAN2 per DSLoL an einem T-COM SDSL-Anschluß mit fester IP. Gelant ist ein nun ein "direkter" Fernwartungszugang für das LAN über das Internet.

Idee: ich stecke LAN3 direkt an das interne Netz (umgehe damit den ISA) und "reserviere" LAN3 für einen VPN-Client. D.h. ich verbinde mich von extern per VPN-Client mit dem 1621 und habe somit Direkt-Zugriff auf das LAN.

Geht das oder ist das Konzept völlig abwegig?

Den Zugang auf bestimmte Gegenstellen oder IP-Adressen zu beschränken wäre kein Problem, falls es sicherheitstechnisch Bedenken gibt.

Mich per VPN durch den ISA zu qüalen, lehne ich ab. Daher die o.g. Idee.

Verbesserungen oder Gegenvorschläge sind natürlich jederzeit willkommen...

Danke im voraus!

backslash · Beitrag von **backslash** » 03 Jan 2007, 13:43

Hi cosoft,

wenn zwischen deinem 1621 und dem ISA-Server ein Transfernez besteht (also ein anderes IP-Netz als dein lokales Netz), dann ist das möglich, in dem du im 1621 das lokale Netz als DMZ einträgst.

Nun mußt du noch ein bischen mit Routing-Tags hantieren...

a) als erstes setzt du auf der (bereits vorhandenen) Route zum lokalen Netz, die ja auf den ISA-Server zeigt, ein Routing-Tag ungleich 0.
b) dann erstellst du eine Firewall-Regel, die allen Traffic, der aus dem Internet kommt, mit diesem Tag versieht - wenn du bereits Regeln für einkommenden Traffic hast, dann setzt du auf allen diesen Regeln das Tag.
c) und für den VPN-Client erstellst du ebenfalls eine Regel, die allen Traffic, der von ihm kommt mit einem anderen Tag versieht (damit sieht der Client die Route zum ISA-Server nicht)

Soweit so gut - nur hast du nun das Problem, daß auch jeder in deinem lokalen Netz den ISA-Server umgehen kann, in dem er einfach das 1621 auf seinem PC als Gateway einträgt. Das kannst du nur verhindern, wenn der ISA-Server maskiert, denn dann kannst du mit einer Firewallregel allen Traffic aus deinen lokalen Netz unterbinden und in einer weiteren Regel nur Traffic vom ISA-Server zulassen...

Gruß
Backslash

cosoft · Beitrag von **cosoft** » 11 Jan 2007, 10:18

Danke backslash für die ausführliche Antwort!

Das Konzept ist inzwischen leider wieder verworfen worden. Alternativ soll nun eine RAS-Verbindung direkt ins LAN genutzt werden...