7
Zweiter Server in die DMZ
Guten Tag zusammen, ich hoffe mal Ihr hattet alle angenehme Festtage!
So nun würde ich gerne Eure Meinung wissen: Wir sind ein Unternehmen was in der Industrie arbeitet und über Fernüberwachung die z.B. Motoren anderer Betriebe überwachen möchte. Hierzu verwenden wir Ethernethardware, welche das Signal zu uns in die Firma über VPN rübersenden soll. Wir haben in der Firma einen Router welcher DMZ so wie auch VPN unterstützt. In der DMZ steht lediglich ein Fileserver um Servicemitarbeitern ein Zugriff auf Daten zu ermöglichen, welche von unserer Firma aus dort hinauf geschoben werden können. Hinter der DMZ steht letztendlich ein Server worauf sich AD befindet und worüber die Bürokräfte nun arbeiten. Nun meine Frage: Würdet Ihr einen zweiten Router dazu kaufen und evtl. sogar noch eine eigene Internetleitung beantragen oder würdet Ihr den Server für den VPN zugriff einfach mit in die DMZ hineinsetzen? (Hierzu ist noch zu sagen die Außendienstmitarbeiter greifen ebenfalls über VPN in die DMZ zu)
PS: Wir besitzen einen Router welches es uns erlaubt unendlich VPN-Clients zu erstellen.
Vielen Dank!
So nun würde ich gerne Eure Meinung wissen: Wir sind ein Unternehmen was in der Industrie arbeitet und über Fernüberwachung die z.B. Motoren anderer Betriebe überwachen möchte. Hierzu verwenden wir Ethernethardware, welche das Signal zu uns in die Firma über VPN rübersenden soll. Wir haben in der Firma einen Router welcher DMZ so wie auch VPN unterstützt. In der DMZ steht lediglich ein Fileserver um Servicemitarbeitern ein Zugriff auf Daten zu ermöglichen, welche von unserer Firma aus dort hinauf geschoben werden können. Hinter der DMZ steht letztendlich ein Server worauf sich AD befindet und worüber die Bürokräfte nun arbeiten. Nun meine Frage: Würdet Ihr einen zweiten Router dazu kaufen und evtl. sogar noch eine eigene Internetleitung beantragen oder würdet Ihr den Server für den VPN zugriff einfach mit in die DMZ hineinsetzen? (Hierzu ist noch zu sagen die Außendienstmitarbeiter greifen ebenfalls über VPN in die DMZ zu)
PS: Wir besitzen einen Router welches es uns erlaubt unendlich VPN-Clients zu erstellen.
Vielen Dank!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157598
Url: https://administrator.de/forum/zweiter-server-in-die-dmz-157598.html
Ausgedruckt am: 03.04.2025 um 06:04 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
ich persönlich würde mir dafür ein kleines getrenntes Netz schaffen und die Verbindungen dort auflaufen lassen. Denn es könnte ja mal passieren, dass einer bei einer Firma auf den Gedanken kommt das Netzwerkkabel mal in ein Laptop zu stecken und dann habt ihr "fremde" im Netz
Gruß
Heiko
ich persönlich würde mir dafür ein kleines getrenntes Netz schaffen und die Verbindungen dort auflaufen lassen. Denn es könnte ja mal passieren, dass einer bei einer Firma auf den Gedanken kommt das Netzwerkkabel mal in ein Laptop zu stecken und dann habt ihr "fremde" im Netz
Gruß
Heiko
Danke!
Dann würde er aber ja auch die Zugangsdaten benötigen!
MfG
Dann würde er aber ja auch die Zugangsdaten benötigen!
MfG
Ja, das ist richtig und deshalb ist der Tip von oben auch Unsinn etwas unsinnig !
Setz dir einen 2ten Server der nur die Überwachungsdaten aufnimmt mit in die DMZ und ziehe die Firewall so dicht das nur diese Applikationen auf diese Server IP zugreifen kann.
Die Kunden VPNs könnt ihr statt mit User/Passwort mit Zertifikaten arbeiten lassen, dann habt ihr die Sicherheit auf eure Hardware gebunden und keiner kann sie klauen. So wird das in der Regel gemacht.
P.S.: Was du schreibst "...Wir besitzen einen Router welche(r) es uns erlaubt unendlich VPN-Clients zu erstellen." Ist natürlich Blödsinn, denn sowas gibt es nicht in der IT , aber das weisst du vermutlich auch selber ?!
Setz dir einen 2ten Server der nur die Überwachungsdaten aufnimmt mit in die DMZ und ziehe die Firewall so dicht das nur diese Applikationen auf diese Server IP zugreifen kann.
Die Kunden VPNs könnt ihr statt mit User/Passwort mit Zertifikaten arbeiten lassen, dann habt ihr die Sicherheit auf eure Hardware gebunden und keiner kann sie klauen. So wird das in der Regel gemacht.
P.S.: Was du schreibst "...Wir besitzen einen Router welche(r) es uns erlaubt unendlich VPN-Clients zu erstellen." Ist natürlich Blödsinn, denn sowas gibt es nicht in der IT , aber das weisst du vermutlich auch selber ?!
Hallo,
ich bin davon ausgegangen das nicht jedem eine SPS mit integriertem VPN Client zur Verfügung steht. Dann ist der Tip eben nicht unsinn, da es zwei Geräte geben würde.
Gruß
Heiko
ich bin davon ausgegangen das nicht jedem eine SPS mit integriertem VPN Client zur Verfügung steht. Dann ist der Tip eben nicht unsinn, da es zwei Geräte geben würde.
Gruß
Heiko
Das hängt davon ab wie der TO die Client VPN Verbindung realisieren will und vor allen Dingen welches VPN Protokoll er dafür benutzt. Das kann auch ein simpler VPN Router sein und muss NICHT zwingend die SPS machen sondern das Netz selber. Wenn er SSL VPNs verwendet reicht sogar ein simpler Webbrowser...
Leider äußert sich der TO dazu aber nicht so das man das "raten" muss. Einzig wissen wir das sein VPN Server vermutlich die Firmen DMZ Firewall ist, was per se ja nicht das Schlechteste ist !!
Leider äußert sich der TO dazu aber nicht so das man das "raten" muss. Einzig wissen wir das sein VPN Server vermutlich die Firmen DMZ Firewall ist, was per se ja nicht das Schlechteste ist !!
Danke für die Antwort!
Leider muss ich gestehen noch nie mit einem Zertifikat gearbeitet zu haben, klingt für mich als wenn ich in einen „Creator“ Daten eingebe und dieser dann eine Datei erstellt, welche die Komponente benötigt, die auf den VPN-Router zugreifen will! Evtl. IPsec? Wie gesagt ist nur eine Vermutung von mir! Wenn es so sein sollte, kann der Selfmaderouter, über den du ein Tut. Verfasst hast dieses Feature um ein Zertifikat zu erstellen? Desweiteren bin ich mir nicht sicher ob die Ethernetkomponente eine Datei aufnehmen kann um ein Zertifikat zu haben. Wenn ich mich irre verbessert mich ruhig! Geplant war das ganze über PPTP zu realisieren aber über neue Ratschläge bin ich sehr dankbar.
MfG
Leider muss ich gestehen noch nie mit einem Zertifikat gearbeitet zu haben, klingt für mich als wenn ich in einen „Creator“ Daten eingebe und dieser dann eine Datei erstellt, welche die Komponente benötigt, die auf den VPN-Router zugreifen will! Evtl. IPsec? Wie gesagt ist nur eine Vermutung von mir! Wenn es so sein sollte, kann der Selfmaderouter, über den du ein Tut. Verfasst hast dieses Feature um ein Zertifikat zu erstellen? Desweiteren bin ich mir nicht sicher ob die Ethernetkomponente eine Datei aufnehmen kann um ein Zertifikat zu haben. Wenn ich mich irre verbessert mich ruhig! Geplant war das ganze über PPTP zu realisieren aber über neue Ratschläge bin ich sehr dankbar.
MfG
Du hast sicher schon mal was von PGP gehört und öffentlichen und privaten Schlüsseln, oder ?? Ist das gleiche Prinzip was dahintersteckt.
Hier findest du ein paar Beispiele:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit dem Tool XCA was es auch für Windows gibt.
oder...
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ist immer das gleiche mhr oder weniger. Einfach mal mit Dr. Google nach "Certification Authority" mit und ohne OpenSSL suchen....
Hier findest du ein paar Beispiele:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit dem Tool XCA was es auch für Windows gibt.
oder...
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ist immer das gleiche mhr oder weniger. Einfach mal mit Dr. Google nach "Certification Authority" mit und ohne OpenSSL suchen....
