форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN)
Изначальное сообщение		[ Отслеживать ]

"VPN сервер без локальной сети, ну и DMZ"	+/–
Сообщение от PashaTurok (ok) on 30-Апр-13, 16:18
Доброго времени суток всем. Я на администратор, говорю сразу, а программист. Поэтому не бросайте камни :) Есть два вопроса, в которые никак въехать не могу. 1)Когда мы делаем стандартный впн, мы берем (в упрощенном виде) сервер, ставим туда две сетевухи. Одна выходит в wan, другая в lan. Соответственно, мы поднимаем впн сервер, который слушает определенный порт на wan сетевухе. При правильном пароле, он поверх wan сети делает тунель и перенаправляет пакеты на лан сетевуху. Правильно? Однако, что делать, если стоит следующая задача. Есть сервер в нете. Чтобы обезопасить доступ к нему, хотят сделать впн сеть. Вот тут меня клинит. В упор не понимаю алгоритм построения такой впн. Объясните пожалуйста. 2)DMZ это зона, которая не стоит за файрволом и к которой могут подключаться из интернета. Прежположим у нас такая сеть (fw - firewall): интернет        LAN1                             LAN2 --------!роутер!----!  WEB сервер  !                !                !----!VPN Server+fw !--------Comp1,Comp2,Dataserver... LAN 1 получается у нас DMZ. Так? Но тогда по логике вещей у нас VPN сервер должен быть в DMZ. , а то к нему по другому не подкючиться. Итого, разве такой вариант не нарушает принцип DMZ? Или есть более безопасные варианты? Подскажите, кто знает.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN сервер без локальной сети, ну и DMZ"	+/–
Сообщение от Mr. Mistoffelees on 30-Апр-13, 17:03
Привет, > Есть сервер в нете. Чтобы обезопасить доступ к нему, хотят > сделать впн сеть. Вот тут меня клинит. В упор не понимаю > алгоритм построения такой впн. Объясните пожалуйста. Вместо того, чтоб перенаправить пакет на "внутреннюю" сетехуву, операционая система передает пакеты прямо серверному процессу на той же машине (или, если вам удобнее, представьте, что loopback интерфейс стал "физическим" и пакеты переданы ему, а сервис слушает на нем же). > Но тогда по логике вещей > у нас VPN сервер должен быть в DMZ. , а то > к нему по другому не подкючиться. Итого, разве такой вариант не > нарушает принцип DMZ? Или есть более безопасные варианты? Подскажите, кто знает. При удаленном доступе вам всегда нужно устройство, которое находится на границе DMZ. Возможны некоторые ухищрения, типа jump points, но принцип от этого не меняется. WWell,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "VPN сервер без локальной сети, ну и DMZ"	+/–
	Сообщение от PashaTurok (ok) on 30-Апр-13, 17:34
	Спасибо за участие! > Вместо того, чтоб перенаправить пакет на "внутреннюю" сетехуву, операционая система передает > пакеты прямо серверному процессу на той же машине (или, если вам > удобнее, представьте, что loopback интерфейс стал "физическим" и пакеты переданы ему, > а сервис слушает на нем же). То есть правильно ли следующая последовательность. Есть в глобальной сети vpn сервер (wip1) и комп пользователя (wip2). Они образуют впн сеть, где у них появляются адреса локальной сети соответственно lip1 и lip2. Таким образом, когда пакет идет с lip2 на lip1, он идет ... не понимаю. Совсем запутался. У впн сервера ведь не должно быть своего ip адреса в локальной сети, он как бы является шлюзом. То есть даже при классической впн сети у впн сервера на внутренней сетевухи какие IP? Или на внутренней сетевухи у него мост, где висят локальные IP всех подключившихся пользователей через VPN?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема