2
Routing auf Small Busines Servern einrichten
Hallo zusammen ;)
Ich habe ca. 20 unabhängige, aber homogen eingerichtete Domänen zu verwalten. Die Domänen bestehen jeweils aus einem Windows 2003 R2-Server (DC, Fileserver, Printserver, WSUS, SharePoint...) und 2 bis 20 Windows XP-Clients. Um die Server fern zu warten und per Nagios zu überwachen, habe ich aktuell folgenden Aufbau:
Hinter der FritzBox des DSL-Anschlusses an meinem Standort steht ein Debian Linux Server, auf dem OpenVPN als Server eingerichtet ist. Auf der FritzBox ist der Port 1194 für die OpenVPN-Einwahl auf den Linux Server geleitet. Eine Firewall-Funktion für's VPN auf dem Server habe ich per IPTables-Script umgesetzt. Die Netze in den Außenstellen sind ebenfalls über FritzBoxen zum Internet verbunden. Auf den Servern wurde die OpenVPN-GUI installiert und als Dienst zu automatischen Einwahl zu meinem Standort konfiguriert.
Das Firewall-Script erlaubt bislang nur die Kommunikation vom Netz meines Standort zu den Servern (RDP, Dateiübertragung, Nagios...).
Ich würde die Funktionalität jetzt gern erweitern, sodass ich bspw. zentral Services anbieten kann, auf die die Clients in den Außenstellen zugreifen können oder die Clients mit Bordmitteln (Remoteunterstützung) fernwarten zu können. Eigentlich müsste ich dazu "nur" das Routing auf allen Server aktivieren und konfigurieren.
Warum ich jetzt poste, ist meine Frage an euch, ob diese Konstellation denn auch ganz "koscher" ist. Ich tue mich etwas schwer, diese Frage öffentlich zu stellen, da ich mich bisher immer ausführlich darüber informiert habe, was ich da tue - es soll ja auch sicher sein ;)
Ich habe nur im Moment etwas Bauchschmerzen bei der Vorstellung, auf einem Small Business Server das Routing zu aktivieren. Normalerweise überlässt man sowas ja dedizierten Netzwerkkomponenten. Hier wäre nur ein nicht unerheblicher Investitionsaufwand und ein Neuaufbau des VPNs nötig...
Vielen Dank schon mal für eure Meinungen und Anregungen.
MfG
Eicky
Ich habe ca. 20 unabhängige, aber homogen eingerichtete Domänen zu verwalten. Die Domänen bestehen jeweils aus einem Windows 2003 R2-Server (DC, Fileserver, Printserver, WSUS, SharePoint...) und 2 bis 20 Windows XP-Clients. Um die Server fern zu warten und per Nagios zu überwachen, habe ich aktuell folgenden Aufbau:
Hinter der FritzBox des DSL-Anschlusses an meinem Standort steht ein Debian Linux Server, auf dem OpenVPN als Server eingerichtet ist. Auf der FritzBox ist der Port 1194 für die OpenVPN-Einwahl auf den Linux Server geleitet. Eine Firewall-Funktion für's VPN auf dem Server habe ich per IPTables-Script umgesetzt. Die Netze in den Außenstellen sind ebenfalls über FritzBoxen zum Internet verbunden. Auf den Servern wurde die OpenVPN-GUI installiert und als Dienst zu automatischen Einwahl zu meinem Standort konfiguriert.
Das Firewall-Script erlaubt bislang nur die Kommunikation vom Netz meines Standort zu den Servern (RDP, Dateiübertragung, Nagios...).
Ich würde die Funktionalität jetzt gern erweitern, sodass ich bspw. zentral Services anbieten kann, auf die die Clients in den Außenstellen zugreifen können oder die Clients mit Bordmitteln (Remoteunterstützung) fernwarten zu können. Eigentlich müsste ich dazu "nur" das Routing auf allen Server aktivieren und konfigurieren.
Warum ich jetzt poste, ist meine Frage an euch, ob diese Konstellation denn auch ganz "koscher" ist. Ich tue mich etwas schwer, diese Frage öffentlich zu stellen, da ich mich bisher immer ausführlich darüber informiert habe, was ich da tue - es soll ja auch sicher sein ;)
Ich habe nur im Moment etwas Bauchschmerzen bei der Vorstellung, auf einem Small Business Server das Routing zu aktivieren. Normalerweise überlässt man sowas ja dedizierten Netzwerkkomponenten. Hier wäre nur ein nicht unerheblicher Investitionsaufwand und ein Neuaufbau des VPNs nötig...
Vielen Dank schon mal für eure Meinungen und Anregungen.
MfG
Eicky
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 110277
Url: https://administrator.de/contentid/110277
Printed on: April 23, 2024 at 14:04 o'clock
2 Comments
Latest comment
Hallo,
evtl. ist es ganz einfach.
Die FritzBoxen stellen ja die Verbindung mit dem Internet her. Also müßte sie auch das Standard Gateway sein. Kannst Du dort statsche Routen eintragen?
Dann könntest Du über die FBs die Daten an den openVPN Server schicken und der zum Zentralen Server. Dann müßte man am SBS gar nix ändern.
Alternativ würde ich Dir aber wirklich dann andere Router mit VPN Funktionalität empfehlen.
Der Routing und Ras kann hal auch mal nicht funktionieren. Und einen Router neu zu starten ist doch was anderes als nen Server.
Stefan
evtl. ist es ganz einfach.
Die FritzBoxen stellen ja die Verbindung mit dem Internet her. Also müßte sie auch das Standard Gateway sein. Kannst Du dort statsche Routen eintragen?
Dann könntest Du über die FBs die Daten an den openVPN Server schicken und der zum Zentralen Server. Dann müßte man am SBS gar nix ändern.
Alternativ würde ich Dir aber wirklich dann andere Router mit VPN Funktionalität empfehlen.
Der Routing und Ras kann hal auch mal nicht funktionieren. Und einen Router neu zu starten ist doch was anderes als nen Server.
Stefan
Hallo Stefan,
vielen Dank schon mal für deine Idee mit dem Routing auf dem FritzBox-Router. Allerdings müsste ich dann trotzdem das Routing auf dem SBS-Server aktivieren, wenn mich nicht alles täuscht. Das einzige, was mir die FritzBox in dem Moment abnehmen würde, wäre ja der "Verweis" auf die Route über den SBS, der ja die VPN-Verbindung herstellt.
Die Ausfallsicherheit des SBS-Servers ist übrigens nicht mein "Problem". Falls einer der Server ausfallen sollte, hab ich ganz andere Probleme als das Routing ;) Bisher liefen Sie aber - von 2, 3 wenigen Ausnahmen mal abgesehen - seit eineinhalb Jahren stabil durch...
Viele Grüße,
Eicky
P.S.: Irgendwie sind mir bisher noch keine triftigen Gründe GEGEN meine "angestrebte" Lösung eingefallen, aber Bedenken hab ich immer noch ;)
vielen Dank schon mal für deine Idee mit dem Routing auf dem FritzBox-Router. Allerdings müsste ich dann trotzdem das Routing auf dem SBS-Server aktivieren, wenn mich nicht alles täuscht. Das einzige, was mir die FritzBox in dem Moment abnehmen würde, wäre ja der "Verweis" auf die Route über den SBS, der ja die VPN-Verbindung herstellt.
Die Ausfallsicherheit des SBS-Servers ist übrigens nicht mein "Problem". Falls einer der Server ausfallen sollte, hab ich ganz andere Probleme als das Routing ;) Bisher liefen Sie aber - von 2, 3 wenigen Ausnahmen mal abgesehen - seit eineinhalb Jahren stabil durch...
Viele Grüße,
Eicky
P.S.: Irgendwie sind mir bisher noch keine triftigen Gründe GEGEN meine "angestrebte" Lösung eingefallen, aber Bedenken hab ich immer noch ;)
