Intranetadministration über VPN nutzbar?

[and_schulz]

Hallo,

ich habe erfolgreich eine Außenstelle per VPN (Intranator<->Zywall) angebunden, welche zuvor über eine ISDN-Standleitung verbunden war. Die Nutzer im exteren Netz sollen weiterhin den Intranator als Mail/Proxy nutzen. Da für dieses externe Netz ein Routingeintrag im Intranator eingerichtet war, war es auch möglich, im Intranator die einzelnen Rechner dieses externen Netzes anzulegen und deren Zugriffe zu konfigurieren (Firewall/Proxyzugriff).
Nach Umschwenken auf VPN ist das Anlegen des Routingeintrages für das externe Netz nicht mehr möglich ("IP-Adresse wird bereits verwendet.."). Ist sicher auch nicht gerade sinnvoll, da das externe Netz ja über VPN verwendet wird. Das Problem ist, wenn ich Rechner im Intranator anlegen möchte, deren IP-Adressen im externen Netz liegen sollen, dann ist dieses externe Netz plötzlich nicht mehr bekannt ("Die IP *.*.*.* ist nicht innerhalb des angegebenen IP-Bereichs").
Ich kann die Firewall/Zugriffrechte für das gesamte externe Netz in den VPN-Einstellungen zuweisen. Das ist mir aber nicht differenziert genug und weiterhin geht die DNS-Funktionalität des Intranators für Rechner dieses Netzes verloren.

Ich habe schon das Forum durchsucht, aber keine Lösung gefunden. Vielen Dank für Ihre Hilfe.

A.Schulz

[bjoerns]

Hallo,

ein solches Szenario ist machbar, allerdings nicht so komfortabel wie man es gewohnt ist. Als erstes müssen Sie die Rechner und/oder Netzgruppen der Gegenseite, welche differenziert werden sollen, unter Netzwerk->Firewall->Netzgruppen anlegen. Danach erstellen Sie eine neue Firewall-Regelliste für die VPN-Verbindung. In dieser Firewall-Regelliste können Sie nun auch die definierten Rechner und/oder Netzgruppen, welche vorher definiert wurden, beliebig als Ziel oder Quelle in der Firewall Regel nutzen. Natürlich geht dies nur über eine Vollständige Firewall-Regelliste.

MFG Björn

[and_schulz]

Hallo,

vielen Dank für Ihre Antwort. Die Lösung ist in der Tat nicht besonders komfortabel und für uns nicht befriedigend, da für Rechner im extern über VPN angekoppelten Netz:

1. keine Zugriffrechte (Proxy-Profile) auf den Proxy vergeben werden können,
2. die DNS-Registrierung für diese Rechner nicht vorhanden ist und
3. Firewallprofile nicht nutzbar sind.

Der einzige Vorteil dieser Lösung ist, dass ich für jeden Rechner eine eigene Firewallregel zuweisen kann. Dafür muss ich aber jeden Rechner einzeln dieser (VPN) Firewallregelliste zuweisen. Wie gesagt, wenig komfortabel.

Ich kann mir nicht vorstellen, dass unser Szenario so selten vorkommt. Es ist doch sicher sinnvoll, bei verteilten Standorten nur einen zentralen Zugangspunkt zum Internet (Intranator) zu verwenden und die (kleineren) Außenstellen nur per reinem VPN anzubinden. Das hat neben dem Vorteil der zentralen Administration sicher auch einen Kostenvorteil (Lizenzen für Virenscanner und Contentfilter benötige ich nur an einem Standort).

Wäre es daher nicht etwas für eines der nächsten Updates, die Administration der über VPN angebundenen Netze durch den Intranator wie gewohnt komfortabel durchführen zu können?

Viele Grüße
A. Schulz

[Gerd von Egidy]

Hallo,

Wäre es daher nicht etwas für eines der nächsten Updates, die Administration der über VPN angebundenen Netze durch den Intranator wie gewohnt komfortabel durchführen zu können?

Ihr Vorschlag macht in der Tat für das von Ihnen beschriebene Szenario Sinn. Ich habe ihn daher in unsere Wunschliste mit aufgenommen.

Herzliche Grüße,

v. Egidy