У нас есть межсетевой экран Smoothwall с «зеленой» сетью (LAN) и «оранжевой» сетью (DMZ), и мы хотели бы использовать сервер доступа OpenVPN в качестве нашего VPN-сервера.
Возникает вопрос: должен ли VPN-сервер находиться в локальной сети или в DMZ? А если в DMZ, то как клиенты, подключенные к VPN, должны получать доступ к ресурсам локальной сети (например, к общему ресурсу Samba или удаленному рабочему столу Windows)?
(Я знаю, что это должен быть основной вопрос, но я потратил много времени на поиск в Интернете, и, похоже, большинство людей рекомендуют поместить VPN-сервер в DMZ. Однако мне не ясно, как можно доступ к ресурсам в локальной сети с сервера VPN без ущерба для принципов безопасности наличия DMZ в первую очередь.)
Будем очень признательны за любые ответы!
Изменить: я не могу найти качественного объяснения того, как действовать в Интернете. Другое предложение (http://www.antionline.com/showthread.php?228254.html) - поставить VPN-сервер параллельно брандмауэру. Для меня это звучит даже хуже, чем перенаправление портов в локальную сеть.
Ваш ответ в вашем вопросе:
если в DMZ, то как клиенты, подключенные к VPN, должны получать доступ к ресурсам LAN ...
В зависимости от вашей цели ...
Ввод VPN в вашу DMZ - это что-то глупое, поскольку DMZ - это развитая интернет-зона в вашей архитектуре.
Включение VPN в вашу локальную сеть означает, что вы знаете, что делаете.
Вы даже можете построить своего рода DMZ bis
которые имеют ограниченный, контролируемый и контролируемый доступ к вашей локальной сети и недоступны из Интернета. Для этого потребуется такой продвинутый межсетевой экран или два каскадных межсетевых экрана.