Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setting a Microsoft VPN server in the DMZ: how?

friscom
I wish to know if anyone has tried such configuration before.
A VPN server in the DMZ (reasonably a MS machine) connected to another VPN server (definitely a MS one) through Internet.

The documentation I found  at the MS site (http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dnsbj_ips_schx.asp) states:” you need to open port 500 (ISAKMP) and 4500 (ISAKMP over NAT-T) but also enable protocols 50 (ESP) and 51 (AH)”.

The first two are easy to do, but: what about the latter ones (ESP and AH)?

They are surely enabled by default if we are going to use the VPN service included with ASL, but what is the situation if the server is a third box placed in the DMZ?

Any idea is warmly welcome!

friscom


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]
    I wish to know if anyone has tried such configuration before.
    A VPN server in the DMZ (reasonably a MS machine) connected to another VPN server (definitely a MS one) through Internet.

    [/ QUOTE ]I am puzzled by this approach.
    Why create a VPN host in behind your ASL box, when ASL itself is a very capable VPN host?
    And why would this Windows based, VPN host sit on the DMZ network?
    Typically DMZ networks are used to contain servers that are available to the outside world,
    while residing on a segregated inner network that is kept separate from,
    and with no access to, the Internal network protected by the firewall.
    So what good would the ability to VPN into a DMZ network do?
    And if you actually need to do so, why not just do it using ASL's built-in VPN capabilities?
Reply
  • 0
    [ QUOTE ]
    I wish to know if anyone has tried such configuration before.
    A VPN server in the DMZ (reasonably a MS machine) connected to another VPN server (definitely a MS one) through Internet.

    [/ QUOTE ]I am puzzled by this approach.
    Why create a VPN host in behind your ASL box, when ASL itself is a very capable VPN host?
    And why would this Windows based, VPN host sit on the DMZ network?
    Typically DMZ networks are used to contain servers that are available to the outside world,
    while residing on a segregated inner network that is kept separate from,
    and with no access to, the Internal network protected by the firewall.
    So what good would the ability to VPN into a DMZ network do?
    And if you actually need to do so, why not just do it using ASL's built-in VPN capabilities?
Children
  • 0 in reply to VelvetFog
    Hi VelvetFog!
    Unfortunately it is not my requirement but a customer's one.
    They need to place a server with the specifications I detailed, and they want it in a DMZ.

    I set up everything already and in some 10 days I'll have to support him to make it work.

    My commitment is to report to you all.

    friscom

    PS:no matter to say I would do and suggest to do exactly what you stated. But you know, it's not me... 
  • 0 in reply to VelvetFog
    VelvetFrog: There might be a reason for putting a VPN in the dmz.
    If you fear that ipsec-relatec Parts on the Astaro could be  exploited to
    access the firewall itself.

    Or they only need to access this one host.

    But I would use the astaro, too.
Cookie Information Banner