web-dev-qa-db-ja.com

OpenVPNサーバーをどこに置くか-DMZまたはLAN?

「グリーン」ネットワーク(LAN)と「オレンジ」ネットワーク(DMZ)の両方を備えたSmoothwallファイアウォールがあり、VPNサーバーとしてOpenVPNアクセスサーバーを使用したいと考えています。

問題は、VPNサーバーをLANまたはDMZに接続する必要があるかどうかです。また、DMZ内の場合、VPN接続されたクライアントはLANリソース(Samba共有やWindowsリモートデスクトップなど)にどのようにアクセスする必要がありますか?

(これは基本的な質問であるべきだと知っていますが、私はWebの検索に多くの時間を費やしており、ほとんどの人がVPNサーバーをDMZに配置することを推奨しているようです。しかし、どうすればよいかわかりません。そもそもDMZ)を持つというセキュリティ原則を損なうことなく、VPNサーバーからLAN内のリソースにアクセスします。

どんな回答でも大歓迎です!

編集:ウェブ上での進め方についての質の高い説明が見つかりません。もう1つの提案( http://www.antionline.com/showthread.php?228254.html )は、VPNサーバーをファイアウォールと並列に配置することです。私には、これはLAN自体へのポート転送よりもさらに悪いように聞こえます。

3
Andrew Bate

あなたの答えはあなたの質問にあります:

dMZ内の場合、VPN接続されたクライアントはLANリソースにどのようにアクセスする必要がありますか...

あなたの目標に応じて...

VPNをDMZに配置することは、DMZはアーキテクチャ内の高度なインターネットゾーンであるため、愚かなことです。

VPNをLANに配置することは、自分が何をしているのかを知っていることを意味します。

LANへのアクセスを制限、監視、制御し、インターネットからアクセスできない一種のDMZ bisを作成することもできます。これには、そのような高度なファイアウォールまたは2つのカスケードファイアウォールが必要です。

1
F. Hauri