Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 1179 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bunch of questions

markcasey
I'm currently in the position of deciding on purchasing a new firewall..

Here's what's happening:

* We're going to switch from a slow ADSL line to a leased line.
* We've purchased a bunch of iphones and want to use them to connect to our exchange server over the internet via a vpn (big plus of astaro)

At the moment i'm undecided. Between a newer version of the GB1000 (our current firewall) the GB2000 or an Astaro firewall. The big bonus of the GB2000 is that configuration can essentially be copied across from the old one with only the VPN configuration being an issue.

Break down.

GB2000:

Much more expensive than an Astaro firewall
Relatively easy configuration (moving from a GB1000 to 2000)
Support doesn't seem as extensive as Astaro (no support forum like here for example)
Is proven to me
Lacks documentation for iphone VPN

Astaro:

An unknown to me
Cheaper
Looks good
Seems to be decently well documented
Is being pushed for by my boss because of the lower cost


The problem as I see it with the Astaro is that it's totally different from what i'm used to, hence configuration issues.

For example, if I say have a router address range of 62.49.111.111/29 how do I go about a DMZ that is accessible from the local lan to the webserver in that dmz? For example a user types www.ourcoolwebsite.com will it be possible to configure astaro to direct the resolved domain traffic direct to the webserver in the dmz correctly? I've experimented with other firewalls in the past that could not do this.

For example we'll have a dmz with an ip address range of 172.16.0.1/24 and a local lan with a range of 192.168.0.1/24. When the user types www.ourcoolwebsite.com and it resolves to 123.123.123.123 the firewall will correctly redirect that traffic to the webserver in the dmz rather than trying to fetch it from the internet. Other things too, like for example the webserver being able to access a SQL server (port 1433/tcp) which is on the local lan. (say 192.168.0.2)


Advice is much appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    I'm wondering why you need a VPN just for iPhones to access Exchange data? Assuming you want to use ActiveSync, this all happens over HTTPS via the same web server that handles Outlook WebAccess. You just poke a hole in your firewall for 443 to the Exchange web server and you're done. 

    Are you in a situation where even the Exchange *web server* isn't allowed to be exposed to the Internet, even via SSL??
Reply
  • 0
    I'm wondering why you need a VPN just for iPhones to access Exchange data? Assuming you want to use ActiveSync, this all happens over HTTPS via the same web server that handles Outlook WebAccess. You just poke a hole in your firewall for 443 to the Exchange web server and you're done. 

    Are you in a situation where even the Exchange *web server* isn't allowed to be exposed to the Internet, even via SSL??
Children
  • 0 in reply to jkmichael
    Having slain this dragon just recently, I would suggest that you DON'T want to use the iPhones in VPN mode - you will drain the batteries so fast that the phones won't be mobile at all!

    I documented a cheat-sheet from my experience here: Using iPhone 3G with Exchange ActiveSync

    Cheers - Bob
  • 0 in reply to jkmichael
    I'm wondering why you need a VPN just for iPhones to access Exchange data? Assuming you want to use ActiveSync, this all happens over HTTPS via the same web server that handles Outlook WebAccess. You just poke a hole in your firewall for 443 to the Exchange web server and you're done. 

    Are you in a situation where even the Exchange *web server* isn't allowed to be exposed to the Internet, even via SSL??


    Purely security reasons, I only want external access to exchange through a VPN. Allowing anyone and everyone to try and connect in is just asking for trouble in my view. And this is purely for a select number of users too, 12 in fact.

    I consider the main server too critical to the company to risk external access, any machine that I allow external access (web server, ftp server) I put in the dmz. I don't take chances when it comes to security.

    For example, even though the ftp server runs on openbsd I still have it in the dmz. It's just good practice for any machine that is accessible from the internet.

    Having slain this dragon just recently, I would suggest that you DON'T want to use the iPhones in VPN mode - you will drain the batteries so fast that the phones won't be mobile at all!

    I documented a cheat-sheet from my experience here: Using iPhone 3G with Exchange ActiveSync

    Cheers - Bob


    Frankly, iPhones don't have great battery life anyway. 2.1 has helped a little but users are charging them everyday here. That's what we get for a 3G phone with a big display, murders battery life. The single biggest complaint I got when we switched company phone users to the iphone was battery life, I don't think vpn will make a big difference in what is pretty bad battery life already.

    Hopefully future updates will help decrease battery usage and future iphone versions have chips that have lower energy use.