15
Öffentliches und Privates Netz im Rechenzentrum
Hallo,
ich habe nen Dedicated Server in Frankfurt stehen.
Nun hatte ich das Problem, dass der DC, Exchange, SQL und soweiter alles offen im Netz stand und der DNS Port (53) für ne DDoS genutzt wurde.
Darauf hin bekam ich vom RZ ne nette Mail, bitte mal prüfen und ggf handeln!.
Also folgende Konstellation liegt vor:
Host-Server:
4 Netzwerkanschlüsse
1&2 im NIC Teaming mit der Öffentlichen IP: 212.xxx.xxx.30
3 Hyper-V Öffentliche IP: 212.xxx.xxx.31
4 Reserve
Alle VM's auf dem Host haben öffentliche Adressen.
212.xxx.xxx.32/33/34/35/36 und so weiter.
Nun sind auch diverse Ports auf den VM's offen.
21,80,443,445,25,3389 und weiß der kuckuck nicht alles.
Roundabout:
SQL-Server 2013, Exchange 2010, MySQL-Server, FTP, Remotedesktop, DNS, Dateifreigabe, Gameserver und so weiter.
Nun würde ich gerne ein wenig Sicherheit in das ganze bringen.
Ein neuer DC wird aufgesetzt auf 2012 R2 Basis.
Nun habe ich im Hyper-V Manager einen 2. Switch angelegt mit "intern" Schalterstellung.
Weil eigentlich müssen nur die anderen VM's auf den DNS,DC zugreifen. Von außen brauch das doch niemand...oder benötige ich das mit Outlook Anywhere am Exchange und Active Sync etc.?
Weil habe mir überlegt an dem Exc. z.B 2 Netzwerkkarten zu haben.
Die eine hat eine Öffentliche Adresse und die andere eine Private (192.168.178.55), der DC bekommt nur eine Interne (192.168.178.54) nun würde ich aber trotzdem gerne mit dem DC ins Internet für Updates.
Wie bekomme ich das gelöst?
Auf allen VM's läuft Server 2012 R2 Datacenter und auf dem Host Server 2012 Datacenter (wird bald geupdatet)
Ich habe keine Möglichkeit dort einen Router vorzuhängen oder ähnliches.
Windows VPN habe ich bereits versucht, bin aber kläglich dran gescheitert mit OpenVPN kam ich auch nicht klar.
Nun bräuchte ich mal euren Rat.
ich habe nen Dedicated Server in Frankfurt stehen.
Nun hatte ich das Problem, dass der DC, Exchange, SQL und soweiter alles offen im Netz stand und der DNS Port (53) für ne DDoS genutzt wurde.
Darauf hin bekam ich vom RZ ne nette Mail, bitte mal prüfen und ggf handeln!.
Also folgende Konstellation liegt vor:
Host-Server:
4 Netzwerkanschlüsse
1&2 im NIC Teaming mit der Öffentlichen IP: 212.xxx.xxx.30
3 Hyper-V Öffentliche IP: 212.xxx.xxx.31
4 Reserve
Alle VM's auf dem Host haben öffentliche Adressen.
212.xxx.xxx.32/33/34/35/36 und so weiter.
Nun sind auch diverse Ports auf den VM's offen.
21,80,443,445,25,3389 und weiß der kuckuck nicht alles.
Roundabout:
SQL-Server 2013, Exchange 2010, MySQL-Server, FTP, Remotedesktop, DNS, Dateifreigabe, Gameserver und so weiter.
Nun würde ich gerne ein wenig Sicherheit in das ganze bringen.
Ein neuer DC wird aufgesetzt auf 2012 R2 Basis.
Nun habe ich im Hyper-V Manager einen 2. Switch angelegt mit "intern" Schalterstellung.
Weil eigentlich müssen nur die anderen VM's auf den DNS,DC zugreifen. Von außen brauch das doch niemand...oder benötige ich das mit Outlook Anywhere am Exchange und Active Sync etc.?
Weil habe mir überlegt an dem Exc. z.B 2 Netzwerkkarten zu haben.
Die eine hat eine Öffentliche Adresse und die andere eine Private (192.168.178.55), der DC bekommt nur eine Interne (192.168.178.54) nun würde ich aber trotzdem gerne mit dem DC ins Internet für Updates.
Wie bekomme ich das gelöst?
Auf allen VM's läuft Server 2012 R2 Datacenter und auf dem Host Server 2012 Datacenter (wird bald geupdatet)
Ich habe keine Möglichkeit dort einen Router vorzuhängen oder ähnliches.
Windows VPN habe ich bereits versucht, bin aber kläglich dran gescheitert mit OpenVPN kam ich auch nicht klar.
Nun bräuchte ich mal euren Rat.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 222117
Url: https://administrator.de/contentid/222117
Printed on: April 26, 2024 at 04:04 o'clock
15 Comments
Latest comment
Wow,
Nen Datacenter für nen Gaming Server, ist der Spaß nicht etwas teuer.
Du könntest schon einen virtuellen Router mit PFSense oder so einbauen. Aber ich glaub erst mal wäre eher interessant welche Probleme du mit den VPN Verbindungen hattest und nicht gleich die Flinte ins Korn werfen wenn was nicht auf anhieb funktioniert.
Nen Datacenter für nen Gaming Server, ist der Spaß nicht etwas teuer.
Du könntest schon einen virtuellen Router mit PFSense oder so einbauen. Aber ich glaub erst mal wäre eher interessant welche Probleme du mit den VPN Verbindungen hattest und nicht gleich die Flinte ins Korn werfen wenn was nicht auf anhieb funktioniert.
Also habe mich via IPSec Auth dann ins RZ eingewählt, auf den Host-Server, hatte dann aber keine Verbindung mehr zu den VM's und ins Internet.
OpenVPN habe ich nichtmal ansatzweise richtig zum laufen bekommen.
Ich habe die Server Lizenzen kostenlos durch ein DreamSpark Konto von meiner BBS.
SO weit ich weiß, darf ich da alle Lizenzen für den Privaten Gebrauch nurtzen, egal auf welchem System.
Ich bilde mich damit nur fort. Zur Zeit mache ich ne Ausbildung zum IT-Systemelektroniker, möchte gerne später aber als
Fachinformatiker arbeiten. Da ist ein bestimmtes Know How ja erforderlich.
Würde auch gerne bestimmte Zertifizierungen machen, diese sind aber leider sehr teuer.
OpenVPN habe ich nichtmal ansatzweise richtig zum laufen bekommen.
Ich habe die Server Lizenzen kostenlos durch ein DreamSpark Konto von meiner BBS.
SO weit ich weiß, darf ich da alle Lizenzen für den Privaten Gebrauch nurtzen, egal auf welchem System.
Ich bilde mich damit nur fort. Zur Zeit mache ich ne Ausbildung zum IT-Systemelektroniker, möchte gerne später aber als
Fachinformatiker arbeiten. Da ist ein bestimmtes Know How ja erforderlich.
Würde auch gerne bestimmte Zertifizierungen machen, diese sind aber leider sehr teuer.
Sollte das ein Honeypott darstellen oder ist das ernst gemeint mit alle Windows Server mit voller Breitseite im Netz?
@wiesi200: Ich vermute dass das Stud Versionen sind, ansonsten hoffe ich nicht, das o.g normal an solche Lizenzen kommt.
@wiesi200: Ich vermute dass das Stud Versionen sind, ansonsten hoffe ich nicht, das o.g normal an solche Lizenzen kommt.
4
Die Kisten hängen direkt nackt am Netz.
Ich habe den Server über einen Reseller, der seine Kundenkisten im diesem RZ betreibt (nur Firmenkunden)
Er lässt über seine Server meine Kiste mit überwachen, Tracet soweit alles. Der Server hängt auch über seinen Switch am Rz Netz.
Sobald größere Pakete etc. über die 4 Ports auf dem Switch gehen bekommen wir beide ne Mail.
Ich weiß sehr sehr gefährlich Windows Kisten direkt am Netz zu haben....aber du würdest dich wundern, was man da von den Techniker im RZ zu hören bekommt!
Teilweile deaktivieren manache Kunden die FW komplett und nutzten dann noch ein Passwort wie "1234567890" o.ä
Ich habe schon zu gesehen, jede Kiste mit einem anderen PW zu versehen und dieses wird alle 30 Tage verändert.
Ich habe den Server über einen Reseller, der seine Kundenkisten im diesem RZ betreibt (nur Firmenkunden)
Er lässt über seine Server meine Kiste mit überwachen, Tracet soweit alles. Der Server hängt auch über seinen Switch am Rz Netz.
Sobald größere Pakete etc. über die 4 Ports auf dem Switch gehen bekommen wir beide ne Mail.
Ich weiß sehr sehr gefährlich Windows Kisten direkt am Netz zu haben....aber du würdest dich wundern, was man da von den Techniker im RZ zu hören bekommt!
Teilweile deaktivieren manache Kunden die FW komplett und nutzten dann noch ein Passwort wie "1234567890" o.ä
Ich habe schon zu gesehen, jede Kiste mit einem anderen PW zu versehen und dieses wird alle 30 Tage verändert.
Macht aber das mit dem nackten Arsch im Netz nicht besser.
4
Auch wenn man sowas nicht virtuell macht, aber da's ja um's lernen geht und besser als der Zustand jetzt ist.
Erstell einen Virtuellen Rechner mit PFSense drauf und bilde doch dahinter ein richtiges Netzt ab wie man's in der Praxis hat mit VPN Zugang.
Wobei das mit Windows VPN solltest du dir dann auch noch mal zu Gemüte führen.
<OT>Ob ein Nackter Arsch schlimm ist liegt doch dran wie er aussieht.</OT>
Erstell einen Virtuellen Rechner mit PFSense drauf und bilde doch dahinter ein richtiges Netzt ab wie man's in der Praxis hat mit VPN Zugang.
Wobei das mit Windows VPN solltest du dir dann auch noch mal zu Gemüte führen.
<OT>Ob ein Nackter Arsch schlimm ist liegt doch dran wie er aussieht.</OT>
Ok werd mich gleich mal dran setzen und PFSense installieren...
Habe ich zwar noch keine Erfahrungen mit aber gut xD
Was könnte/sollte ich denn machen, dass die Kiste Sicher steht?
Den Server werde ich im März 2014 vom Resseller kaufen und im RZ stehen lassen.
40-45€ im Monat für Traffic und Strom mit Stellplatz ist lachhaft....!
Da kann ich dann auch was anderes mit vorstellen, nur der aktuelle Vertrag läuft 12 Monate und in
dem Zeitraum darf nichts an der Kiste Hardwaretechnisch gemacht werden, da sich der Vertrag sons wieder verlängert, was ich nicht will.
Bin mit dem Resseller per du und er würde mir die Kiste für 1.600€ abtreten.
Supermicro System (X8DT3)
1x Intel Xenon E5645 (2. CPU Fassung vorhanden)
48GB DDR3 ECC RAM (6 von 12 Plätzen belegt)
2x2 TB HDD mit LSI Mega RAID Controller im RAID 1 (2 weitere 3,5" Einschübe sind frei)
4x Gigabit Lan
1x IMPI 2.0 Modul
Habe ich zwar noch keine Erfahrungen mit aber gut xD
Was könnte/sollte ich denn machen, dass die Kiste Sicher steht?
Den Server werde ich im März 2014 vom Resseller kaufen und im RZ stehen lassen.
40-45€ im Monat für Traffic und Strom mit Stellplatz ist lachhaft....!
Da kann ich dann auch was anderes mit vorstellen, nur der aktuelle Vertrag läuft 12 Monate und in
dem Zeitraum darf nichts an der Kiste Hardwaretechnisch gemacht werden, da sich der Vertrag sons wieder verlängert, was ich nicht will.
Bin mit dem Resseller per du und er würde mir die Kiste für 1.600€ abtreten.
Supermicro System (X8DT3)
1x Intel Xenon E5645 (2. CPU Fassung vorhanden)
48GB DDR3 ECC RAM (6 von 12 Plätzen belegt)
2x2 TB HDD mit LSI Mega RAID Controller im RAID 1 (2 weitere 3,5" Einschübe sind frei)
4x Gigabit Lan
1x IMPI 2.0 Modul
Zitat von @ITAllrounder:
Ok werd mich gleich mal dran setzen und PFSense installieren...
Habe ich zwar noch keine Erfahrungen mit aber gut xD
Was könnte/sollte ich denn machen, dass die Kiste Sicher steht?
Ok werd mich gleich mal dran setzen und PFSense installieren...
Habe ich zwar noch keine Erfahrungen mit aber gut xD
Was könnte/sollte ich denn machen, dass die Kiste Sicher steht?
Nur das durchlassen was du unbedingt öffentlich brauchst, und den Rest über VPN abwickeln und sonst nichts direkt auf die Server leiten.
Also Webserver und Mailserver öffentlich und sowas wie DNS, DC etc. über VPN regeln gut ich werd mich mal einlesen und ne Testumgebung zu Hause aufbauen, bevor ich mir auf dem Aktiv System was zerschiesse
Danke für eure Antworten!
Danke für eure Antworten!
Absolut richtig, "aber nackte Windows Ärsche im Internet finde ich jetzt nicht so ansehnlich" ;)
3
Hallo,
Wenn du zu Hause eine feste IP hast, kannst du in der Firewall auch festlegen, dass nur diese per RDP auf den Host kommt.
Virtuell kannst du, um bei Microsoft zu bleiben, auch einen Forefront installieren und dahinter deine Server. Da kannst du dann Port 25 und 443 freigeben und den Rest per VPN lösen.
gruß
Wenn du zu Hause eine feste IP hast, kannst du in der Firewall auch festlegen, dass nur diese per RDP auf den Host kommt.
Virtuell kannst du, um bei Microsoft zu bleiben, auch einen Forefront installieren und dahinter deine Server. Da kannst du dann Port 25 und 443 freigeben und den Rest per VPN lösen.
gruß
Also Forefront in eine VM packen und da mal reinarbeiten gut.
Hab ich am Wochenede was zu tun!
PFSense und Forefront ^^
Daheim ist keine feste IP
(Muss hier auch mit Dorf DSL leben :O)
Mal ne absolut dämliche Frage, welches Forefront soll ich denn nehmen?
Folgendes steht zur Auswahl:
Forefront Entpoint Protection 2010
Forefront Protection for Exchange 2010
Forefront Portection for SharePoint 2010
Forefront Threat Management Gateway 2010
Forefront Sercurity for Exchange Server with SP1
Forefront Security Management Console
Forefront Unified Access Gateway 2010 with SP1
Hab ich am Wochenede was zu tun!
PFSense und Forefront ^^
Daheim ist keine feste IP
(Muss hier auch mit Dorf DSL leben :O)
Mal ne absolut dämliche Frage, welches Forefront soll ich denn nehmen?
Folgendes steht zur Auswahl:
Forefront Entpoint Protection 2010
Forefront Protection for Exchange 2010
Forefront Portection for SharePoint 2010
Forefront Threat Management Gateway 2010
Forefront Sercurity for Exchange Server with SP1
Forefront Security Management Console
Forefront Unified Access Gateway 2010 with SP1
Und vielleicht hilft auch mal die Lektüre eines grundlegenden OVPN Tutorials:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Damit bekommt das sogar jeder IT Azubi hin….
Die Hardware Basis ist dabei unerheblich, da die Setup Schritte immer identisch und Hardware unabhängig sind !
Was das Thema IPsec VPNs anbetrifft wirst du hier fündig:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Microsoft unterstützt aber kein natives IPsec, deshalb musst du schon sowas wie eine pfSense in einer VM laufen lassen, was generell deinem Design gut tut (Thema "Nackter MS Ar… im Internet"). Vermutlich bist du auch an dieser Tatsache gescheitert mit deinen VPN Bemühungen. Alternativ nutzt du PPTP was aber als kompromittiert gilt.
Vielleicht mal generell etwas weniger MS Geraffel und Hörigkeit…das erweitert auch den Fachinformatiker Horizont. MS Knechte und solche die sich dafür halten gibt es ja wie Sand am Meer….
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Damit bekommt das sogar jeder IT Azubi hin….
Die Hardware Basis ist dabei unerheblich, da die Setup Schritte immer identisch und Hardware unabhängig sind !
Was das Thema IPsec VPNs anbetrifft wirst du hier fündig:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Microsoft unterstützt aber kein natives IPsec, deshalb musst du schon sowas wie eine pfSense in einer VM laufen lassen, was generell deinem Design gut tut (Thema "Nackter MS Ar… im Internet"). Vermutlich bist du auch an dieser Tatsache gescheitert mit deinen VPN Bemühungen. Alternativ nutzt du PPTP was aber als kompromittiert gilt.
Vielleicht mal generell etwas weniger MS Geraffel und Hörigkeit…das erweitert auch den Fachinformatiker Horizont. MS Knechte und solche die sich dafür halten gibt es ja wie Sand am Meer….
Ja M$ ist halt was für KLICKI BUNTI Freunde ;)
Ich arbeite schon am Ausbau meiner Linux Kenntnisse.
Daheim steht ein kleine Raspi mit Raspian drauf und ein kleiner "Homeserver" mit Debian (mit GUI) zum basteln.
Auf dem heimischen Rechner läuft auch Debian und Windows 8.1 (Multiboot)
Ich werd mich mal dransetzen und nen OPENVPN aufsetzen, habe auch einen TP-LINK WR1043ND mit DD-WRT Firmware, den wollte ich gerne nutzen um direkt ins VPN Netz zu gelangen. Dann kann der heimische PC auch in die Domäne
Die Netzwerkkonstallation ist nur etwas schwer.
DSL -> AVM Fritzbox 3270 (192.168.178.1) -> LAN4 -> TP-Link Router (192.168.115.254)
Ich werd mal mein bestes versuchen!
Aber recht herzlichen Dank an alle!!!
Ich arbeite schon am Ausbau meiner Linux Kenntnisse.
Daheim steht ein kleine Raspi mit Raspian drauf und ein kleiner "Homeserver" mit Debian (mit GUI) zum basteln.
Auf dem heimischen Rechner läuft auch Debian und Windows 8.1 (Multiboot)
Ich werd mich mal dransetzen und nen OPENVPN aufsetzen, habe auch einen TP-LINK WR1043ND mit DD-WRT Firmware, den wollte ich gerne nutzen um direkt ins VPN Netz zu gelangen. Dann kann der heimische PC auch in die Domäne
Die Netzwerkkonstallation ist nur etwas schwer.
DSL -> AVM Fritzbox 3270 (192.168.178.1) -> LAN4 -> TP-Link Router (192.168.115.254)
Ich werd mal mein bestes versuchen!
Aber recht herzlichen Dank an alle!!!
Na da bist du ja auf dem allerbesten Weg kein MS Knecht zu werden... !!!
Lies dir im o.a. Tutorial bitte ganz genau das Kapitel "OpenVPN hinter einem bestehenden NAT Router betreiben" durch.
Das beschreibt haargenau dein Szenario "DSL -> AVM Fritzbox 3270 (192.168.178.1) -> LAN4 -> TP-Link Router (192.168.115.254)" und erklärt dir haarklein wie du das im Handumdrehen löst.
Thema Port Forwarding UDP 1194 in der FB auf den TP mit OVPN….!
Damit bekommst du das im Handumdrehen zum Fliegen
Lies dir im o.a. Tutorial bitte ganz genau das Kapitel "OpenVPN hinter einem bestehenden NAT Router betreiben" durch.
Das beschreibt haargenau dein Szenario "DSL -> AVM Fritzbox 3270 (192.168.178.1) -> LAN4 -> TP-Link Router (192.168.115.254)" und erklärt dir haarklein wie du das im Handumdrehen löst.
Thema Port Forwarding UDP 1194 in der FB auf den TP mit OVPN….!
Damit bekommst du das im Handumdrehen zum Fliegen
1