Setting a Microsoft VPN server in the DMZ: how?

Maybe going to definitions->Services and define an Service with ah and esp as protocol with default spi-entries is what you want to use for a later packet rule ?

I wish you were right!

I give a try but would it be possible that also Astaro people have a look at my message and clarify this matter?


friscom

[ QUOTE ]
I wish you were right!

I give a try but would it be possible that also Astaro people have a look at my message and clarify this matter?


friscom 

[/ QUOTE ]

You really should try. And if it does not work, tell why it does not work, by posting packetfilter.log etc.

[ QUOTE ]
I wish to know if anyone has tried such configuration before.
A VPN server in the DMZ (reasonably a MS machine) connected to another VPN server (definitely a MS one) through Internet.

[/ QUOTE ]I am puzzled by this approach.
Why create a VPN host in behind your ASL box, when ASL itself is a very capable VPN host?
And why would this Windows based, VPN host sit on the DMZ network?
Typically DMZ networks are used to contain servers that are available to the outside world,
while residing on a segregated inner network that is kept separate from,
and with no access to, the Internal network protected by the firewall.
So what good would the ability to VPN into a DMZ network do?
And if you actually need to do so, why not just do it using ASL's built-in VPN capabilities?

Hi VelvetFog!
Unfortunately it is not my requirement but a customer's one.
They need to place a server with the specifications I detailed, and they want it in a DMZ.

I set up everything already and in some 10 days I'll have to support him to make it work.

My commitment is to report to you all.

friscom

PS:no matter to say I would do and suggest to do exactly what you stated. But you know, it's not me... 

VelvetFrog: There might be a reason for putting a VPN in the dmz.
If you fear that ipsec-relatec Parts on the Astaro could be  exploited to
access the firewall itself.

Or they only need to access this one host.

But I would use the astaro, too.

Well,
Here I am after I deployed the suggested changs in the FW configuration in order to accommodate the VPN server in the DMZ.

The ports opened were as per the specified ones in my initial post, then AH and ESP protocols were included in a group service in order to create the appropriate rule.
Interestingly, the VPN server, that can also act as an initiator, needs to have a DNAT rule to accomplish the purpose of a bi-directional connection.
I mean: opening the incoming connection with a DNAT rule is not enough; it must be done also the reverse.

In my specific situation, the server has a "public" address" that had to be aliased on the external interface. Because of that a simple masquerading is not possible whilst a DNAT for the server in the DMZ to the aliased interface is.

I have been suggested to apply a routing instead, using a spare public address and apply a subnet in order to have a subnet address in the DMZ compatible with the original server address.
This sounded new to me and I wish to share somebody's opinion (and experience) to understand how that can be managed.

If the configuration is not clear, just let me know and I'll try with a sketch.

BTW, does anybody know some general purpose router mailing list where such topics can be shared?   

Thanks in advance,
friscom

PS: a note for VelvetFog: the VPN server in the DMZ is justified by the needing to manage a remote VPN concentrator for some tens of VPNs installations, possibly supported (on the other sides) with networks protected by FW that are not necessarily ASL ones...