VPN-Zugriff über Firewall-Kaskade

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
melas
Beiträge: 1
Registriert: Mi 07.12.2022, 17:03

VPN-Zugriff über Firewall-Kaskade

Beitrag von melas »

Hallo zusammen,

ich arbeite gerade an einem größeren Projekt und stehe deshalb aktuell vor folgendem Problem:

Das Netzwerk des Kunden soll durch eine Firewall-Kaskade geschützt werden. Die Firewalls müssen laut Vorgaben mit unterschiedlichen Kernels arbeiten. 
Darum bildet eine Lancom die erste Stufe vom Internet nach intern, die zweite Stufe, auf der der Großteil der Konfiguration stattfindet, dann eine Securepoint.
Für den Zugriff der Außenstellen besteht derzeit eine S2S-OpneVPN-Verbindung (1195udp) zwischen Securepoint-UTMs. Außerdem kann der Support über eine weitere OpenVPN-Verbindung (1194udp) auf die Netze zugreifen. Die Securepoint-Firewalls stellen also den VPN-Server. Das funktioniert auch alles wunderbar.
Wenn ich aber die Lancom einrichte, funktioniert der VPN-Zugriff (logischerweise) nicht mehr. Folgende Ansätze habe ich bereits versucht, bzw. als Lösungsansätze in Betracht gezogen:

- Reverse-Proxy: geht nicht, da die für einen Reverse-Proxy Lancom zwingend eine URL voraussetzt, die ich meines Wissens nach nicht auf der UTM auf dem externen Interface vergeben kann. Vielleicht habe ich da aber auch etwas übersehen.
- Portweiterleitungen mit den spDNS-Adressen der anderen UTMs als erlaubte Gegenstellen: auf dem Lancom scheint eine Gegenstelle im Internet nur via IP definierbar zu sein, da frage ich aber bei Lancom nochmal nach.
- Portweiterleitungen ohne Einschränkungen: würde ich nach Möglichkeit gerne vermeiden
- Tunnel-in-Tunnel-VPN: würde vermutlich für die S2S-Verbindungen funktionieren, Roadwarrior wären aber weiterhin ausgesperrt

Hat eventuell schonmal jemand ein ähnliches Setup implementiert bzw. hat eine Idee, wie ich das am besten umsetzen könnte?

Antworten