weidner/computer/netz/firewall/

Wo platziere ich mein VPN Gateway?

Ein VPN-Gateway verbindet mein Netzwerk mit einem anderen, ohne dass ich mir Gedanken machen muss, wie viele und welche Stationen dazwischen liegen. Arbeitet das Gateway auf Ebene 2 des OSI-Modells, sind die verbundenen Netze sogar in der gleichen Broadcast Domain.

Abgesehen von den verschiedenen Problemen, ein VPN-Gateway einzurichten, die ich hier nicht weiter betrachten will, ist eine interessante Frage, wo ich das VPN-Gateway in meinem Netz platziere. Damit meine ich jetzt nicht, ob in einem Schrank, unter dem Tisch oder an der Wand. Es geht mir hier um die logische Position in meinem Netzwerk, konkret um die Positionierung relativ zur Paketfilter-Firewall.

Und da habe ich grundsätzlich drei Möglichkeiten, das VPN-Gateway zu platzieren:

  1. vor der Firewall
  2. auf der Firewall
  3. hinter der Firewall

Wo platziere ich mein VPN Gateway

Jede der drei Positionen bringt Vor- und Nachteile, die ich nachfolgend gegenüberstellen möchte.

VPN Gateway vor der Firewall

Vor der Firewall heißt, aus Sicht eines Fremdnetzes kommt zuerst das VPN-Gateway, dann meine Firewall, dann mein Netzwerk.

Das hat verschiedene Vorteile:

Dem stehen einige Nachteile gegenüber:

Was muss ich also tun, wenn ich mein VPN-Gateway vor der Firewall platzieren will?

VPN Gateway auf der Firewall

Auch das Platzieren des VPN-Gateways direkt auf der Firewall hat Vorteile:

Dem stehen einige Nachteile gegenüber

Worauf muss ich also achten, wenn ich das VPN-Gateway auf der Firewall betreibe?

VPN Gateway hinter der Firewall

Auch diese Variante hat Vorteile:

Dem stehen die folgenden Nachteile gegenüber:

Worauf muss ich bei dieser Variante achten?

Wo also platziere ich das VPN-Gateway?

Aus den genannten Vor- und Nachteilen ergibt sich für mich das folgende.

Ich platziere das VPN-Gateway vor der Firewall,

Ich platziere das VPN-Gateway auf der Firewall,

Ich platziere das VPN-Gateway hinter der Firewall,

Das heißt, ich betrachte die Frage der Platzierung des VPN-Gateways jedes Mal aufs Neue unter Berücksichtigung der oben genannten Punkte.

Posted 2016-12-29
Tags: