VPN-Router hinter NAT



Tach Leute,

ich mache ein Konzept für eine Umstellung der Sicherheitsstruktur in
einem Netzwerk.

Es existiert ein kleines öffentliches IP-Netz (Maske /29). Derzeit
werden die VPN-Kanäle direkt von einem VPN-Router mit öffentlicher IP
terminiert.

Von der Planung her soll eine Firewall an die Front, welche die
Anfragen aus dem Internet regelt und die gewünschten Services in die
dahinter liegende DMZ routet. Die Firewall verfügt auf Internet-Seite
also über alle öffentlichen IP-Adressen und übersetzt abgehende
Requests per NAT, da in der DMZ keine öffentlichen Adressen verwendet
werden.

Der VPN-Router soll somit in die DMZ wandern und über das Internet
über seine bisherige IP erreichbar sein, nur daß die Services (IKE UDP
500, ESP, IKE NAT-T UDP 4500) von der Firewall durchs NAT an den VPN-
Router in der DMZ gehen.

Nun ist's ja so, daß das klassische IKE als Sourceport UND
Destinationport UDP 500 verwendet, dies dürfte ja durch das NAT an der
Firewall verändert werden.

Ich bräuchte das NAT wohl nicht, wenn ich die DMZ mit öffentlichen
Adressen ausstatten könnte, aber ich habe derzeit nur dieses 8-
Adressen Netz zur Verfügung.

Wie wäre dieses Problem am besten zu lösen?

Danke & Grüße
Thomas

.



Relevant Pages

  • Re: Forest Trust between Production & DMZ
    ... >> more vulnerable, external, then we are speaking of the trust ... If your DMZ gets whacked, ... To avoid the Swiss-cheese affect on the firewall, ... > Network segregation was a good thing at times when Internet Protocol was ...
    (microsoft.public.windows.server.security)
  • Re: WSS v2 Intranet and Extranet config with DMZ...
    ... We also have a DMZ AD with a one way trust. ... in each with a one-way trust setup so internal users can access the WSS ... We have a firewall between our WSS installation and the big bad Internet. ...
    (microsoft.public.sharepoint.windowsservices)
  • Re: Using a Linksys router, should I also use Zonealarm? Internet Acceptable Use Policy
    ... my browser's access to the Internet is restricted. ... I thought it was the company's firewall extending a slap on my ... > public internet to access corporate network. ... > NAT is Network Address Translation. ...
    (microsoft.public.security)
  • Re: Whats the difference between NAT and a FIREWALL?
    ... NAT is network address translation: basically a router that routes between ... company/home users) get on the internet with just one public IP address from ... A firewall is any router that has rules on it that filter ... A proxy server is a server that acts as a router, but at a higher level on ...
    (comp.security.firewalls)
  • RE: Whats wrong with this topology?
    ... it's better to have the DMZ ... complicates all the filtering rules on your firewall... ... Better is to have the DMZ physically apart from your LAN (with the firewall ... region system (hostile internet vs. not very secure internal lan) because ...
    (Security-Basics)