Jetzt ist die Website online, soweit eingerichtet und besitzt auch schon einen Link, um mir meine VPN-Verbindung von überall *hua hua* zu ermöglichen. Gut es ging schon vorher, aber we hat Lust sich einen kryptischen DNS-Namen zu merken…Wahren wir ein professionelles Gefühl.

DNS-steht, das schwarze Gerät am Splitterkabel macht wie gewünscht ordentliches Portforwarding. Doppel-NAT vergessen wir gleich mal und fragen uns auch nicht, warum ein an der Firewall angeschlossenes Modem nicht ausreichen würde. Meinem ISP(Internet Service Provider) muss ich erst nochmal meine SIP-Daten herauskitzeln, denn ja – die Firewall kann SIP, aber das wird erst eine Aufgabe für die nächste FW, welche schon bestellt ist. Meiner ASA5005 tue ich das nicht an…

Wie gehts weiter? Wo starten?

Was braucht denn die ASA so für VPN?

Erstmal klären wir, was für VPN wir machen möchten. Zur Auswahl stehen: Site-to-Site, Clientless SSL und Client Network Access über AnyConnect?

Site-to-Site fällt weg, denn ich habe keine Lust, immer eine ASA oder einen Router im Rucksack zu haben für den Fall, dass ich mal VPN brauche.

Clientless klingt gut. Um interne Ressourcen zur NAS, zum AD, FTP, RDP etc. zur Verfügung zu Stellen schon ne echt gute Idee. Klar geht das auch alles über AnyConnect(Network Client Access) aber es ist deutlich sparsamer für beide Seiten, Clientless SSL VPN zu benutzen.

Client Network Access mit Cisco AnyConnect? Natürlich! Nichts einfacher als das…naja man sollte sich schon paar Gedanken machen und ein Konzept aufstellen. Sonst kann einem AnyConnect auch gerne mal um die Ohren fliegen, und das schon bei der Konfiguration. Mit Split-Tunneling und ACLs schon ne feine Sache. Und das natürlich alles auf User-Basis. Und mal schauen, wie wir die ISE(Identity Service Engine) da noch einbauen können, wo da die Grenzen gesetzt sind und wer von beiden dann den entscheidenderen Part übernimmt. Die ISE-Einbindung wird dann aber erst was für die ASA5506. Klar kann ich sie als Radius-Server einbinden. Aber die ISE kann eben noch viel mehr als das. Client Provisioning nur mal genannt. Saubere Sache, jedenfalls unter Windows und Android. Linux wäre noch zu testen. Aber beim Apfel spiele ich nicht Schneewittchen.

Soweit erstmal.

Als nächstes folgt der Plan: IP-Addressen, Profile, User, etc… und natürlich die Reihenfolge der Schritte festzulegen bzw. zu kennen.

Dazu bald mehr!

Euer Netzwerk-Fritz

1 thought on “VPN – wieder mal von vorn

  1. fantastic issues altogether, you simply gained a new reader.
    What might you suggest about your put up that you simply made some days ago?
    Any positive?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.