Прежде всего, я (пока) не полностью обученный ИТ-специалист, а всего лишь студент колледжа, поэтому, пожалуйста, простите меня, если некоторые из вопросов, о которых я собираюсь задать, могут показаться «глупыми», потому что ответы для вас совершенно очевидны.
Я почти закончил настройку сервера Windows Server 2012 Foundation для нашей домашней сети. Он настроен со следующими ролями:
Файловый сервер, сервер печати, DHCP-сервер, DNS-сервер и сервер безопасности для Trend Micro Worry-Free Business Security. Все это уже запущено и работает - пока все хорошо.
В дополнение к этому я хочу использовать сервер в качестве маршрутизатора OpenVPN и брандмауэра, используя «Брандмауэр Windows с повышенной безопасностью» в сочетании с RRAS. Я думаю, что я в значительной степени закончил настройку этих сервисов, но поскольку, как я уже упоминал ранее, я не полностью обученный ИТ-специалист, и я сделал это впервые, я был бы очень признателен, если бы некоторые из вас, ребята, могли скажите мне, в порядке ли моя конфигурация, прежде чем я подключу ее к общедоступной / незащищенной сети.
Итак, сначала вот сети, которые у меня есть, и то, что я хочу, чтобы сервер делал:
Внутренняя домашняя сеть: 192.168.0.0/24 - IP-адрес сервера 192.168.0.1 - подключен к NIC1
Локальная "незащищенная" сеть: 192.168.3.0/24 - IP-адрес сервера 192.168.3.2 - подключен к NIC2
Интернет-соединение OpenVPN: 10.8.1.52/30 - IP-адрес сервера 10.8.1.54 - подключено к виртуальной сетевой карте OpenVPN
Теперь я хочу позволить серверу Windows Server 2012 маршрутизировать Интернет-трафик моей внутренней домашней сети через это Интернет-соединение OpenVPN. Он также должен блокировать весь нежелательный входящий трафик от Интернет-соединения OpenVPN, независимо от того, нацелен ли он на сам сервер или на мою внутреннюю домашнюю сеть, и в дополнение к этому он должен блокировать весь трафик в и из локальной сети, за исключением Подключение OpenVPN к VPN-серверу моего поставщика услуг VPN. Основная причина, по которой я это делаю, заключается в том, что я живу в Германии, и благодаря маршрутизации всего интернет-трафика через VPN-соединение моего провайдера в США вся моя домашняя сеть будет подключена с использованием IP-адреса в США, который позволяет мне использовать такие службы, как Netflix, Hulu, Vevo и т. Д., Которые не будут работать с IP-адресом в Германии. Другая причина заключается в том, что, полностью отделив мою внутреннюю домашнюю сеть (на NIC1) от внешней «незащищенной» сети (на NIC2), я могу использовать «незащищенную» сеть для обеспечения доступа в Интернет для менее безопасных / ненадежных устройств (например, смартфонов, Интернета). радио или устройства, принесенные гостями) напрямую через немецкое соединение ADSL без риска того, что эти устройства каким-либо образом скомпрометируют мою внутреннюю домашнюю сеть.
В «незащищенной» сети есть стандартный маршрутизатор ADSL с IP-адресом 192.168.3.1, который должен использоваться OpenVPN для установления безопасного, зашифрованного соединения с сервером моего поставщика услуг VPN. За исключением этого весь остальной входящий и исходящий трафик через NIC2 должен быть полностью заблокирован сервером.
-С помощью "gpedit.msc" я установил "Брандмауэр Windows в режиме повышенной безопасности" со следующими параметрами:
(Я настроил профили «Домен», «Общедоступный» и «Частный» с одинаковыми параметрами, чтобы мне не приходилось иметь дело с информацией о местоположении в сети)
Состояние брандмауэра: включено (рекомендуется)
Входящие соединения: блокировать (по умолчанию)
Исходящие подключения: блокировать
Разрешить одноадресный ответ: Нет
Применить правила локального брандмауэра и Применить правила безопасности локального подключения: Нет (я сделал это, чтобы сторонние приложения не «вмешивались» в настройки брандмауэра, добавляя свои собственные правила)
Разрешить, если локальный адрес = 192.168.0.1 и удаленный адрес = 192.168.0.0/24 (это должно разрешить все входящие соединения из моей внутренней домашней сети через NIC1)
Разрешить, если локальный адрес = 192.168.0.1 ИЛИ 10.8.1.54 (это должно разрешить все исходящие соединения через NIC1 и виртуальный сетевой адаптер OpenVPN)
Разрешить, если программа = "% ProgramFiles% \ OpenVPN \ bin \ openvpn.exe" и локальный адрес = 192.168.3.2 и удаленный адрес = "общедоступный IP-адрес сервера моего VPN-провайдера" и протокол = "UDP" и удаленный порт = 1194 (это должен позволить OpenVPN установить безопасное зашифрованное соединение с сервером моего VPN-провайдера через NIC2)
в свойствах NIC1 я снял флажок с протокола IPv6, поскольку я его не использую, и настроил IPv4 для использования статического IP-адреса 192.168.0.1, сетевой маски 255.255.255.0, без шлюза по умолчанию и предпочитаемого DNS-сервера 192.168.0.1
для NIC2, где говорится: «Это соединение использует следующие элементы». Я снял все флажки, кроме IPv4, а затем настроил IPv4 для использования статического IP-адреса 192.168.3.2, сетевой маски 255.255.255.0, без шлюза по умолчанию, без предпочтительного DNS-сервера
для виртуального сетевого адаптера OpenVPN, где говорится: «Это соединение использует следующие элементы». Я снял все флажки, кроме IPv4, а затем настроил IPv4 для использования статического IP-адреса 10.8.1.54, сетевой маски 255.255.255.252, шлюза по умолчанию 10.8.1.53, предпочтительного DNS-сервера 127.0.0.1 [я должен добавить строку в файл конфигурации OpenVPN, в которой говорится, что он не должен «связываться» с этими вручную настроенными параметрами, но я думаю, что это не должно быть проблемой]
в мастере «Настроить маршрутизацию и удаленный доступ» я выбрал опцию «NAT», а затем выбрал NIC1 в качестве частного интерфейса, а виртуальный NIC OpenVPN в качестве открытого интерфейса.
Я зашел в свойства сервера и снял флажок «Маршрутизатор IPv6» на вкладке «Общие», затем я перешел на вкладку «IPv6» и снял флажок «Включить пересылку IPv6»
Свойства NIC2
в свойствах NIC2 я проверил "Включить проверку фрагментации" [это необходимо / рекомендуется ???], а затем настроил следующие статические фильтры
входящие фильтры:
выбрал «Отбросить все пакеты, ожидая тех, которые соответствуют критериям ниже», а затем добавил следующий фильтр
адрес источника = ЛЮБОЙ, маска исходной сети = ЛЮБОЙ, адрес назначения = 192.168.3.2, маска назначения = 255.255.255.255
исходящие фильтры:
выбрал «Отбросить все пакеты, ожидая тех, которые соответствуют критериям ниже», а затем добавил следующий фильтр
адрес источника = 192.168.3.2, маска исходной сети = 255.255.255.255, адрес назначения = ANY, маска назначения = ANY
(эти фильтры должны предотвращать любую входящую или исходящую маршрутизацию через NIC2 и должны разрешать только пакеты, которые либо исходят от самого сервера, либо нацелены на сам сервер - и такие соединения затем должны обрабатываться «Брандмауэром Windows с повышенной безопасностью»)
Свойства виртуальной сетевой карты OpenVPN
в свойствах виртуального сетевого адаптера OpenVPN я проверил "Включить проверку фрагментации" [это необходимо / рекомендуется ???], а затем настроил следующие статические фильтры
входящие фильтры:
выбрал «Отбросить все пакеты, ожидая тех, которые соответствуют критериям ниже», а затем добавил следующий фильтр
адрес источника = ЛЮБОЙ, маска исходной сети = ЛЮБОЙ, адрес назначения = 10.8.1.54, маска назначения = 255.255.255.255
исходящие фильтры:
выбрал «Отбросить все пакеты, ожидая тех, которые соответствуют критериям ниже», а затем добавил следующий фильтр
адрес источника = 10.8.1.54, маска исходной сети = 255.255.255.255, адрес назначения = ANY, маска назначения = ANY
(эти фильтры должны предотвращать любую входящую или исходящую маршрутизацию через виртуальный сетевой адаптер OpenVPN, в то время как они не должны влиять на NAT, поскольку все пакеты с NAT должны иметь адрес 10.8.1.54 в качестве исходного или целевого адреса)
Я добавил следующий маршрут
Назначение: "общедоступный IP-адрес сервера моего VPN-провайдера"
Сетевая маска: 255.255.255.255
Шлюз: 192.168.3.1
Интерфейс: NIC2
Метрика: 1
Поскольку я уже снял флажок IPv6 в свойствах сетевого адаптера, а также снял флажки «Маршрутизатор IPv6» и «Включить переадресацию IPv6» в RRAS, я не думаю, что мне придется больше беспокоиться об IPv6, но на всякий случай я пошел на «IPv6 \ General» и настроенные статические фильтры для NIC2 и виртуального NIC OpenVPN, которые должны блокировать любой входящий или исходящий IPv6-трафик через эти NIC.
Я знаю, что это ОЧЕНЬ много, чтобы прочитать и пройти через это, но поскольку это первый раз, когда я делал такую настройку, я действительно мог спать намного лучше, зная, что более опытный, чем я, взглянул на эти настройки, прежде чем я подключу сервер в мою "незащищенную" сеть и Интернет. Так что я был бы очень признателен за это.
Заранее большое спасибо и хороших выходных!
Александар