URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94634
[ Назад ]

Исходное сообщение
"VPN сервер без локальной сети, ну и DMZ"
Отправлено PashaTurok , 30-Апр-13 16:18

Доброго времени суток всем.
Я на администратор, говорю сразу, а программист. Поэтому не бросайте камни :)
Есть два вопроса, в которые никак въехать не могу.
1)Когда мы делаем стандартный впн, мы берем (в упрощенном виде) сервер, ставим туда две сетевухи. Одна выходит в wan, другая в lan. Соответственно, мы поднимаем впн сервер, который слушает определенный порт на wan сетевухе. При правильном пароле, он поверх wan сети делает тунель и перенаправляет пакеты на лан сетевуху. Правильно? Однако, что делать, если стоит следующая задача. Есть сервер в нете. Чтобы обезопасить доступ к нему, хотят сделать впн сеть. Вот тут меня клинит. В упор не понимаю алгоритм построения такой впн. Объясните пожалуйста.
2)DMZ это зона, которая не стоит за файрволом и к которой могут подключаться из интернета.
Прежположим у нас такая сеть (fw - firewall):
интернет        LAN1                             LAN2
--------!роутер!----!  WEB сервер  !
               !
               !----!VPN Server+fw !--------Comp1,Comp2,Dataserver...
LAN 1 получается у нас DMZ. Так? Но тогда по логике вещей у нас VPN сервер должен быть в DMZ. , а то к нему по другому не подкючиться. Итого, разве такой вариант не нарушает принцип DMZ? Или есть более безопасные варианты? Подскажите, кто знает.

Содержание

VPN сервер без локальной сети, ну и DMZ,Mr. Mistoffelees, 17:03 , 30-Апр-13
- VPN сервер без локальной сети, ну и DMZ,PashaTurok, 17:34 , 30-Апр-13

Сообщения в этом обсуждении

"VPN сервер без локальной сети, ну и DMZ"
Отправлено Mr. Mistoffelees , 30-Апр-13 17:03

Привет,
> Есть сервер в нете. Чтобы обезопасить доступ к нему, хотят
> сделать впн сеть. Вот тут меня клинит. В упор не понимаю
> алгоритм построения такой впн. Объясните пожалуйста.
Вместо того, чтоб перенаправить пакет на "внутреннюю" сетехуву, операционая система передает пакеты прямо серверному процессу на той же машине (или, если вам удобнее, представьте, что loopback интерфейс стал "физическим" и пакеты переданы ему, а сервис слушает на нем же).
> Но тогда по логике вещей
> у нас VPN сервер должен быть в DMZ. , а то
> к нему по другому не подкючиться. Итого, разве такой вариант не
> нарушает принцип DMZ? Или есть более безопасные варианты? Подскажите, кто знает.
При удаленном доступе вам всегда нужно устройство, которое находится на границе DMZ. Возможны некоторые ухищрения, типа jump points, но принцип от этого не меняется.
WWell,

"VPN сервер без локальной сети, ну и DMZ"
Отправлено PashaTurok , 30-Апр-13 17:34

Спасибо за участие!
> Вместо того, чтоб перенаправить пакет на "внутреннюю" сетехуву, операционая система передает
> пакеты прямо серверному процессу на той же машине (или, если вам
> удобнее, представьте, что loopback интерфейс стал "физическим" и пакеты переданы ему,
> а сервис слушает на нем же).
То есть правильно ли следующая последовательность. Есть в глобальной сети vpn сервер (wip1) и комп пользователя (wip2). Они образуют впн сеть, где у них появляются адреса локальной сети соответственно lip1 и lip2. Таким образом, когда пакет идет с lip2 на lip1, он идет ... не понимаю. Совсем запутался. У впн сервера ведь не должно быть своего ip адреса в локальной сети, он как бы является шлюзом.
То есть даже при классической впн сети у впн сервера на внутренней сетевухи какие IP? Или на внутренней сетевухи у него мост, где висят локальные IP всех подключившихся пользователей через VPN?