Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 2 replies
  • Answers 2 answers
  • Subscribers 27 subscribers
  • Views 1275 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mehrere VPN-Tunnel zu einer UTM

Christoph Klahn

Hallo Forum,

 

ich möchte mehreren Kunden die Möglichkeit geben, deren Backups bei mir auf einem großen NAS abzulegen. Folgende Idee hierzu:

 

In meinem Netzwerk befinden sich mehrere NAS-Laufwerke mit vielen TB an Speicherplatz. Ich selbst habe eine SG330. Meine Kunden haben größtenteils auch UTMs, aber auch Fritz!Boxen und Watchguards.

Nun sollen die Firewalls meiner Kunden einen VPN-Tunnel zu meiner SG aufbauen und die Daten übertragen können. Die UTMs der Kunden könnten SSL-Tunnel aufbauen, die Fritz!Boxen können nur IPSec usw.

Wie könnte ich dieses idealerweise realisieren. Natürlich Benutzergesteuert. Jeder Kunde soll ein Benutzer auf meiner SG sein, den ich jeweils aktivieren kann oder nicht.

Die Krone wäre dann noch ein zeitgestuerter Verbindungsaufbau.

Des Weiteren sollte hier der Durchsatz berücksichtigt werden. Ich habe hier schon mehrfach gelesen, daß z.B. bei SSL-VPN anstelle von TCP lieber UDP genommen werden soll.

 

Freue mich über Antworten.

 

Gruß

Christoph



This thread was automatically locked due to age.
  • +1

    Hallo,

     

    du kannst im ersten step die Kunden ganz normal per ip-sec an deine UTM anbinden.

    Sofern deine Kunden auch sophos utm haben, kannsts du der Einfachheit halber sogar red tunnel zwischen den UTMs einrichten.

     

    Zugriffskontrolle kannst du regeln per ein/ausschalten der ipsec verbindungen.

     

    Zeitgesteuert, wüsste ich nur die möglichkeit, dass du das per Regeldefinition machst ...

    Achtung, dann darf kein autmatisches erzeugen von Firewallregeln aktiv sein. Sollte aber sowieso nicht, da du ja nur den Zugriff auf die NAS erlauben willst.

     

    Die NAS sollten zudem in einer DMZ stehen .. aber das ist dir wohl klar :-)

     

     

    Cheers,

    Chris

  • 0

    Hallo Christoph,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Since you have a 330, the fastest encryption/decryption will be with IPsec using this IPsec Policy:

    If the others have CPUs that support AES-NI, this will accelerate their side, too, but it's probably more important for you that they use this Policy.  You really should use X509 certs instead of PSKs or RSA keys: How to create an X509 key based Site-to-Site VPN.  Once you've done one, the others will be easy.

    As Chris suggests, you will want to use Time Events in manual firewall rules instead of selecting automatic rules in your IPsec Connections.

    If, instead, you want to enable/disable the connections at specific times, you will need to add cron jobs at the command line.

    MfG - Bob (Bitte auf Deutsch weiterhin.)