Zweiter Server in die DMZ
Guten Tag zusammen, ich hoffe mal Ihr hattet alle angenehme Festtage!
So nun würde ich gerne Eure Meinung wissen: Wir sind ein Unternehmen was in der Industrie arbeitet und über Fernüberwachung die z.B. Motoren anderer Betriebe überwachen möchte. Hierzu verwenden wir Ethernethardware, welche das Signal zu uns in die Firma über VPN rübersenden soll. Wir haben in der Firma einen Router welcher DMZ so wie auch VPN unterstützt. In der DMZ steht lediglich ein Fileserver um Servicemitarbeitern ein Zugriff auf Daten zu ermöglichen, welche von unserer Firma aus dort hinauf geschoben werden können. Hinter der DMZ steht letztendlich ein Server worauf sich AD befindet und worüber die Bürokräfte nun arbeiten. Nun meine Frage: Würdet Ihr einen zweiten Router dazu kaufen und evtl. sogar noch eine eigene Internetleitung beantragen oder würdet Ihr den Server für den VPN zugriff einfach mit in die DMZ hineinsetzen? (Hierzu ist noch zu sagen die Außendienstmitarbeiter greifen ebenfalls über VPN in die DMZ zu)
PS: Wir besitzen einen Router welches es uns erlaubt unendlich VPN-Clients zu erstellen.
Vielen Dank!
So nun würde ich gerne Eure Meinung wissen: Wir sind ein Unternehmen was in der Industrie arbeitet und über Fernüberwachung die z.B. Motoren anderer Betriebe überwachen möchte. Hierzu verwenden wir Ethernethardware, welche das Signal zu uns in die Firma über VPN rübersenden soll. Wir haben in der Firma einen Router welcher DMZ so wie auch VPN unterstützt. In der DMZ steht lediglich ein Fileserver um Servicemitarbeitern ein Zugriff auf Daten zu ermöglichen, welche von unserer Firma aus dort hinauf geschoben werden können. Hinter der DMZ steht letztendlich ein Server worauf sich AD befindet und worüber die Bürokräfte nun arbeiten. Nun meine Frage: Würdet Ihr einen zweiten Router dazu kaufen und evtl. sogar noch eine eigene Internetleitung beantragen oder würdet Ihr den Server für den VPN zugriff einfach mit in die DMZ hineinsetzen? (Hierzu ist noch zu sagen die Außendienstmitarbeiter greifen ebenfalls über VPN in die DMZ zu)
PS: Wir besitzen einen Router welches es uns erlaubt unendlich VPN-Clients zu erstellen.
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157598
Url: https://administrator.de/forum/zweiter-server-in-die-dmz-157598.html
Ausgedruckt am: 03.04.2025 um 06:04 Uhr
7 Kommentare
Neuester Kommentar
Ja, das ist richtig und deshalb ist der Tip von oben auch Unsinn etwas unsinnig !
Setz dir einen 2ten Server der nur die Überwachungsdaten aufnimmt mit in die DMZ und ziehe die Firewall so dicht das nur diese Applikationen auf diese Server IP zugreifen kann.
Die Kunden VPNs könnt ihr statt mit User/Passwort mit Zertifikaten arbeiten lassen, dann habt ihr die Sicherheit auf eure Hardware gebunden und keiner kann sie klauen. So wird das in der Regel gemacht.
P.S.: Was du schreibst "...Wir besitzen einen Router welche(r) es uns erlaubt unendlich VPN-Clients zu erstellen." Ist natürlich Blödsinn, denn sowas gibt es nicht in der IT , aber das weisst du vermutlich auch selber ?!
Setz dir einen 2ten Server der nur die Überwachungsdaten aufnimmt mit in die DMZ und ziehe die Firewall so dicht das nur diese Applikationen auf diese Server IP zugreifen kann.
Die Kunden VPNs könnt ihr statt mit User/Passwort mit Zertifikaten arbeiten lassen, dann habt ihr die Sicherheit auf eure Hardware gebunden und keiner kann sie klauen. So wird das in der Regel gemacht.
P.S.: Was du schreibst "...Wir besitzen einen Router welche(r) es uns erlaubt unendlich VPN-Clients zu erstellen." Ist natürlich Blödsinn, denn sowas gibt es nicht in der IT , aber das weisst du vermutlich auch selber ?!
Das hängt davon ab wie der TO die Client VPN Verbindung realisieren will und vor allen Dingen welches VPN Protokoll er dafür benutzt. Das kann auch ein simpler VPN Router sein und muss NICHT zwingend die SPS machen sondern das Netz selber. Wenn er SSL VPNs verwendet reicht sogar ein simpler Webbrowser...
Leider äußert sich der TO dazu aber nicht so das man das "raten" muss. Einzig wissen wir das sein VPN Server vermutlich die Firmen DMZ Firewall ist, was per se ja nicht das Schlechteste ist !!
Leider äußert sich der TO dazu aber nicht so das man das "raten" muss. Einzig wissen wir das sein VPN Server vermutlich die Firmen DMZ Firewall ist, was per se ja nicht das Schlechteste ist !!
Du hast sicher schon mal was von PGP gehört und öffentlichen und privaten Schlüsseln, oder ?? Ist das gleiche Prinzip was dahintersteckt.
Hier findest du ein paar Beispiele:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit dem Tool XCA was es auch für Windows gibt.
oder...
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ist immer das gleiche mhr oder weniger. Einfach mal mit Dr. Google nach "Certification Authority" mit und ohne OpenSSL suchen....
Hier findest du ein paar Beispiele:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit dem Tool XCA was es auch für Windows gibt.
oder...
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ist immer das gleiche mhr oder weniger. Einfach mal mit Dr. Google nach "Certification Authority" mit und ohne OpenSSL suchen....