VPN-Router hinter NAT



Tach Leute,

ich mache ein Konzept für eine Umstellung der Sicherheitsstruktur in
einem Netzwerk.

Es existiert ein kleines öffentliches IP-Netz (Maske /29). Derzeit
werden die VPN-Kanäle direkt von einem VPN-Router mit öffentlicher IP
terminiert.

Von der Planung her soll eine Firewall an die Front, welche die
Anfragen aus dem Internet regelt und die gewünschten Services in die
dahinter liegende DMZ routet. Die Firewall verfügt auf Internet-Seite
also über alle öffentlichen IP-Adressen und übersetzt abgehende
Requests per NAT, da in der DMZ keine öffentlichen Adressen verwendet
werden.

Der VPN-Router soll somit in die DMZ wandern und über das Internet
über seine bisherige IP erreichbar sein, nur daß die Services (IKE UDP
500, ESP, IKE NAT-T UDP 4500) von der Firewall durchs NAT an den VPN-
Router in der DMZ gehen.

Nun ist's ja so, daß das klassische IKE als Sourceport UND
Destinationport UDP 500 verwendet, dies dürfte ja durch das NAT an der
Firewall verändert werden.

Ich bräuchte das NAT wohl nicht, wenn ich die DMZ mit öffentlichen
Adressen ausstatten könnte, aber ich habe derzeit nur dieses 8-
Adressen Netz zur Verfügung.

Wie wäre dieses Problem am besten zu lösen?

Danke & Grüße
Thomas

.