Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Öffentliches und Privates Netz im Rechenzentrum

Frage Microsoft Windows Server

Mitglied: m.reeger

m.reeger (Level 2) - Jetzt verbinden

15.11.2013 um 19:41 Uhr, 3342 Aufrufe, 15 Kommentare

Hallo,

ich habe nen Dedicated Server in Frankfurt stehen.
Nun hatte ich das Problem, dass der DC, Exchange, SQL und soweiter alles offen im Netz stand und der DNS Port (53) für ne DDoS genutzt wurde.
Darauf hin bekam ich vom RZ ne nette Mail, bitte mal prüfen und ggf handeln!.

Also folgende Konstellation liegt vor:

Host-Server:
4 Netzwerkanschlüsse
1&2 im NIC Teaming mit der Öffentlichen IP: 212.xxx.xxx.30
3 Hyper-V Öffentliche IP: 212.xxx.xxx.31
4 Reserve

Alle VM's auf dem Host haben öffentliche Adressen.
212.xxx.xxx.32/33/34/35/36 und so weiter.

Nun sind auch diverse Ports auf den VM's offen.

21,80,443,445,25,3389 und weiß der kuckuck nicht alles.
Roundabout:
SQL-Server 2013, Exchange 2010, MySQL-Server, FTP, Remotedesktop, DNS, Dateifreigabe, Gameserver und so weiter.

Nun würde ich gerne ein wenig Sicherheit in das ganze bringen.

Ein neuer DC wird aufgesetzt auf 2012 R2 Basis.
Nun habe ich im Hyper-V Manager einen 2. Switch angelegt mit "intern" Schalterstellung.
Weil eigentlich müssen nur die anderen VM's auf den DNS,DC zugreifen. Von außen brauch das doch niemand...oder benötige ich das mit Outlook Anywhere am Exchange und Active Sync etc.?

Weil habe mir überlegt an dem Exc. z.B 2 Netzwerkkarten zu haben.
Die eine hat eine Öffentliche Adresse und die andere eine Private (192.168.178.55), der DC bekommt nur eine Interne (192.168.178.54) nun würde ich aber trotzdem gerne mit dem DC ins Internet für Updates.
Wie bekomme ich das gelöst?
Auf allen VM's läuft Server 2012 R2 Datacenter und auf dem Host Server 2012 Datacenter (wird bald geupdatet)
Ich habe keine Möglichkeit dort einen Router vorzuhängen oder ähnliches.

Windows VPN habe ich bereits versucht, bin aber kläglich dran gescheitert mit OpenVPN kam ich auch nicht klar.

Nun bräuchte ich mal euren Rat.


Mitglied: wiesi200
15.11.2013 um 19:55 Uhr
Wow,

Nen Datacenter für nen Gaming Server, ist der Spaß nicht etwas teuer.
Du könntest schon einen virtuellen Router mit PFSense oder so einbauen. Aber ich glaub erst mal wäre eher interessant welche Probleme du mit den VPN Verbindungen hattest und nicht gleich die Flinte ins Korn werfen wenn was nicht auf anhieb funktioniert.
Bitte warten ..
Mitglied: m.reeger
15.11.2013 um 20:01 Uhr
Also habe mich via IPSec Auth dann ins RZ eingewählt, auf den Host-Server, hatte dann aber keine Verbindung mehr zu den VM's und ins Internet.
OpenVPN habe ich nichtmal ansatzweise richtig zum laufen bekommen.

Ich habe die Server Lizenzen kostenlos durch ein DreamSpark Konto von meiner BBS.
SO weit ich weiß, darf ich da alle Lizenzen für den Privaten Gebrauch nurtzen, egal auf welchem System.
Ich bilde mich damit nur fort. Zur Zeit mache ich ne Ausbildung zum IT-Systemelektroniker, möchte gerne später aber als
Fachinformatiker arbeiten. Da ist ein bestimmtes Know How ja erforderlich.
Würde auch gerne bestimmte Zertifizierungen machen, diese sind aber leider sehr teuer.
Bitte warten ..
Mitglied: certifiedit.net
15.11.2013 um 20:03 Uhr
Sollte das ein Honeypott darstellen oder ist das ernst gemeint mit alle Windows Server mit voller Breitseite im Netz?

@wiesi200: Ich vermute dass das Stud Versionen sind, ansonsten hoffe ich nicht, das o.g normal an solche Lizenzen kommt.
Bitte warten ..
Mitglied: m.reeger
15.11.2013 um 20:14 Uhr
Die Kisten hängen direkt nackt am Netz.
Ich habe den Server über einen Reseller, der seine Kundenkisten im diesem RZ betreibt (nur Firmenkunden)
Er lässt über seine Server meine Kiste mit überwachen, Tracet soweit alles. Der Server hängt auch über seinen Switch am Rz Netz.
Sobald größere Pakete etc. über die 4 Ports auf dem Switch gehen bekommen wir beide ne Mail.

Ich weiß sehr sehr gefährlich Windows Kisten direkt am Netz zu haben....aber du würdest dich wundern, was man da von den Techniker im RZ zu hören bekommt!
Teilweile deaktivieren manache Kunden die FW komplett und nutzten dann noch ein Passwort wie "1234567890" o.ä

Ich habe schon zu gesehen, jede Kiste mit einem anderen PW zu versehen und dieses wird alle 30 Tage verändert.
Bitte warten ..
Mitglied: certifiedit.net
15.11.2013 um 20:19 Uhr
Macht aber das mit dem nackten Arsch im Netz nicht besser.
Bitte warten ..
Mitglied: wiesi200
15.11.2013 um 20:33 Uhr
Auch wenn man sowas nicht virtuell macht, aber da's ja um's lernen geht und besser als der Zustand jetzt ist.
Erstell einen Virtuellen Rechner mit PFSense drauf und bilde doch dahinter ein richtiges Netzt ab wie man's in der Praxis hat mit VPN Zugang.
Wobei das mit Windows VPN solltest du dir dann auch noch mal zu Gemüte führen.


<OT>Ob ein Nackter Arsch schlimm ist liegt doch dran wie er aussieht.</OT>
Bitte warten ..
Mitglied: m.reeger
15.11.2013 um 20:41 Uhr
Ok werd mich gleich mal dran setzen und PFSense installieren...
Habe ich zwar noch keine Erfahrungen mit aber gut xD

Was könnte/sollte ich denn machen, dass die Kiste Sicher steht?

Den Server werde ich im März 2014 vom Resseller kaufen und im RZ stehen lassen.
40-45€ im Monat für Traffic und Strom mit Stellplatz ist lachhaft....!
Da kann ich dann auch was anderes mit vorstellen, nur der aktuelle Vertrag läuft 12 Monate und in
dem Zeitraum darf nichts an der Kiste Hardwaretechnisch gemacht werden, da sich der Vertrag sons wieder verlängert, was ich nicht will.

Bin mit dem Resseller per du und er würde mir die Kiste für 1.600€ abtreten.
Supermicro System (X8DT3)
1x Intel Xenon E5645 (2. CPU Fassung vorhanden)
48GB DDR3 ECC RAM (6 von 12 Plätzen belegt)
2x2 TB HDD mit LSI Mega RAID Controller im RAID 1 (2 weitere 3,5" Einschübe sind frei)
4x Gigabit Lan
1x IMPI 2.0 Modul
Bitte warten ..
Mitglied: wiesi200
15.11.2013 um 20:47 Uhr
Zitat von m.reeger:

Ok werd mich gleich mal dran setzen und PFSense installieren...
Habe ich zwar noch keine Erfahrungen mit aber gut xD

Was könnte/sollte ich denn machen, dass die Kiste Sicher steht?

Nur das durchlassen was du unbedingt öffentlich brauchst, und den Rest über VPN abwickeln und sonst nichts direkt auf die Server leiten.
Bitte warten ..
Mitglied: m.reeger
15.11.2013 um 20:52 Uhr
Also Webserver und Mailserver öffentlich und sowas wie DNS, DC etc. über VPN regeln gut ich werd mich mal einlesen und ne Testumgebung zu Hause aufbauen, bevor ich mir auf dem Aktiv System was zerschiesse

Danke für eure Antworten!
Bitte warten ..
Mitglied: certifiedit.net
15.11.2013, aktualisiert 16.11.2013
Zitat von wiesi200:

<OT>Ob ein Nackter Arsch schlimm ist liegt doch dran wie er aussieht.</OT>

Absolut richtig, "aber nackte Windows Ärsche im Internet finde ich jetzt nicht so ansehnlich" ;)
Bitte warten ..
Mitglied: builder4242
15.11.2013 um 22:07 Uhr
Hallo,


Wenn du zu Hause eine feste IP hast, kannst du in der Firewall auch festlegen, dass nur diese per RDP auf den Host kommt.

Virtuell kannst du, um bei Microsoft zu bleiben, auch einen Forefront installieren und dahinter deine Server. Da kannst du dann Port 25 und 443 freigeben und den Rest per VPN lösen.

gruß
Bitte warten ..
Mitglied: m.reeger
16.11.2013, aktualisiert um 09:56 Uhr
Also Forefront in eine VM packen und da mal reinarbeiten gut.
Hab ich am Wochenede was zu tun!
PFSense und Forefront ^^

Daheim ist keine feste IP
(Muss hier auch mit Dorf DSL leben :O)


Mal ne absolut dämliche Frage, welches Forefront soll ich denn nehmen?
Folgendes steht zur Auswahl:
Forefront Entpoint Protection 2010
Forefront Protection for Exchange 2010
Forefront Portection for SharePoint 2010
Forefront Threat Management Gateway 2010
Forefront Sercurity for Exchange Server with SP1
Forefront Security Management Console
Forefront Unified Access Gateway 2010 with SP1
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert um 14:03 Uhr
Und vielleicht hilft auch mal die Lektüre eines grundlegenden OVPN Tutorials:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Damit bekommt das sogar jeder IT Azubi hin….
Die Hardware Basis ist dabei unerheblich, da die Setup Schritte immer identisch und Hardware unabhängig sind !
Was das Thema IPsec VPNs anbetrifft wirst du hier fündig:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Microsoft unterstützt aber kein natives IPsec, deshalb musst du schon sowas wie eine pfSense in einer VM laufen lassen, was generell deinem Design gut tut (Thema "Nackter MS Ar… im Internet"). Vermutlich bist du auch an dieser Tatsache gescheitert mit deinen VPN Bemühungen. Alternativ nutzt du PPTP was aber als kompromittiert gilt.
Vielleicht mal generell etwas weniger MS Geraffel und Hörigkeit…das erweitert auch den Fachinformatiker Horizont. MS Knechte und solche die sich dafür halten gibt es ja wie Sand am Meer….
Bitte warten ..
Mitglied: m.reeger
16.11.2013 um 20:12 Uhr
Ja M$ ist halt was für KLICKI BUNTI Freunde ;)

Ich arbeite schon am Ausbau meiner Linux Kenntnisse.
Daheim steht ein kleine Raspi mit Raspian drauf und ein kleiner "Homeserver" mit Debian (mit GUI) zum basteln.

Auf dem heimischen Rechner läuft auch Debian und Windows 8.1 (Multiboot)

Ich werd mich mal dransetzen und nen OPENVPN aufsetzen, habe auch einen TP-LINK WR1043ND mit DD-WRT Firmware, den wollte ich gerne nutzen um direkt ins VPN Netz zu gelangen. Dann kann der heimische PC auch in die Domäne

Die Netzwerkkonstallation ist nur etwas schwer.
DSL -> AVM Fritzbox 3270 (192.168.178.1) -> LAN4 -> TP-Link Router (192.168.115.254)
Ich werd mal mein bestes versuchen!

Aber recht herzlichen Dank an alle!!!
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert um 20:37 Uhr
Na da bist du ja auf dem allerbesten Weg kein MS Knecht zu werden... !!!
Lies dir im o.a. Tutorial bitte ganz genau das Kapitel "OpenVPN hinter einem bestehenden NAT Router betreiben" durch.
Das beschreibt haargenau dein Szenario "DSL -> AVM Fritzbox 3270 (192.168.178.1) -> LAN4 -> TP-Link Router (192.168.115.254)" und erklärt dir haarklein wie du das im Handumdrehen löst.
Thema Port Forwarding UDP 1194 in der FB auf den TP mit OVPN….!
Damit bekommst du das im Handumdrehen zum Fliegen
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...