Назад | Перейти на главную страницу

Где поставить OpenVPN сервер - DMZ или LAN?

У нас есть межсетевой экран Smoothwall с «зеленой» сетью (LAN) и «оранжевой» сетью (DMZ), и мы хотели бы использовать сервер доступа OpenVPN в качестве нашего VPN-сервера.

Возникает вопрос: должен ли VPN-сервер находиться в локальной сети или в DMZ? А если в DMZ, то как клиенты, подключенные к VPN, должны получать доступ к ресурсам локальной сети (например, к общему ресурсу Samba или удаленному рабочему столу Windows)?

(Я знаю, что это должен быть основной вопрос, но я потратил много времени на поиск в Интернете, и, похоже, большинство людей рекомендуют поместить VPN-сервер в DMZ. Однако мне не ясно, как можно доступ к ресурсам в локальной сети с сервера VPN без ущерба для принципов безопасности наличия DMZ в первую очередь.)

Будем очень признательны за любые ответы!

Изменить: я не могу найти качественного объяснения того, как действовать в Интернете. Другое предложение (http://www.antionline.com/showthread.php?228254.html) - поставить VPN-сервер параллельно брандмауэру. Для меня это звучит даже хуже, чем перенаправление портов в локальную сеть.

Ваш ответ в вашем вопросе:

если в DMZ, то как клиенты, подключенные к VPN, должны получать доступ к ресурсам LAN ...

В зависимости от вашей цели ...

Ввод VPN в вашу DMZ - это что-то глупое, поскольку DMZ - это развитая интернет-зона в вашей архитектуре.

Включение VPN в вашу локальную сеть означает, что вы знаете, что делаете.

Вы даже можете построить своего рода DMZ bis которые имеют ограниченный, контролируемый и контролируемый доступ к вашей локальной сети и недоступны из Интернета. Для этого потребуется такой продвинутый межсетевой экран или два каскадных межсетевых экрана.