Topic: SME als Server/Gateway hinter Firewall?

[azche24]

Hallo,

mein SME läuft nun seit fast 10 Jahren mit direkter Anbindung ohne Probleme im Server/Gateway Modus. Die Anbindung erfolgt über DSL mit einer festen IP. Die Emails schickt mir der Provider (DNS-Eintrag sei Dank) auf die feste IP, so dass ich eine Email in der Regel innerhalb von Sekunden habe (brauche ich oft).

Nun soll ein VPN her mit mindestens zwei ständigen Verbindungen. Habe also zusätzlich einen weiteren WAN Anschluss bekommen. Da SME kein Load-Balancing kann und auch keine zwei externen NICs verwalten kann, habe ich einen Router (Vigor 2820) mit zwei WAN-Schnittstellen. Der SME läuft derzeit im Server/Gateway Mode. Internetzugang geht über die 2. Netzwerkkarte (statische IP z.B. 192.168.57.245) auf den Router. Auf dem Router ist die Schnittstelle 192.168.57.245 als DMZ eingestellt. So bekomme ich problemlos Emails per SMTP und kann auf alle normalen Dienste von draußen zugreifen. Das interne Netz hängt an der 1. NIC des SME (zum Beispiel 192.168.57.100) und die Gigabit-Schnittstelle des Routers hängt im selben Netzbereich. Funktionieren tut das alles. Aber folgende Fragen:

• Besteht ein besonderes Sicherheitsrisiko dadurch, dass die interne Schnittstelle des Servers (auch) am Router hängt? Die Firewall des Routers ist komplett dicht (davon gehen wir mal aus).
• Wenn nicht sicher: Andererseits wollte ich das so lassen, damit a) alle Clients über den Router ihre zwei WAN-Anbindungen bekommen und b) damit über VPN durch den Router von außen ein Zugriff auf die Datei- und Druckdienste des SME möglich ist. Und zwar durch den Router, damit alle externen Zugriffe von der größeren Bandbreite und Redundanz durch zwei WAN-Schnittstellen profitieren.
• Wenn ich im Prinzip alles so lasse - sollte dann der Router den DHCP-Server machen (dann kann man u.a. auch die IP des Routers als Gateway eintragen, die Internetanbindung ist dann deutlich schneller als "nur" über den SME) oder ist es weiter notwendig, den SME das machen zu lassen.

Das Konzept ist also, dem SME die Rolle als Internet-Gateway und VPN-Zugang wegzunehmen, ohne auf die anderen Dienste zu verzichten. Was meint Ihr, welche Erfahrungen habt Ihr mit einer solchen Konfiguration? Oder soll ich den SME einfach in den Private-Server Mode setzen (dann habe ich aber keine Webmail, keinen SMTP-Emailempfang usw.)?

[lancelott2]

Hallo,

interessante Konfiguration, jedoch würde ich den Server und das interne Netz immer auch physisch vom Router trennen und VPN sowieso nur über SSL (PHP Ki) zulassen.

Also:
Client (intern) -> eth für intern -> Server -> eth für Internet -> Router <- VPN (SSL)

Das selbe würde ich auch bei WLAN machen:
Client (intern) -> eth für intern -> Server -> eth für Internet -> Router <- WLAN VPN (SSL)

So richtig habe ich deinen Weg zwar nicht verstanden, aber vlt. hilft es ja wenn du die eingehenden Verbindungen am Router per IP-Weiterleitung an den Server durchreichst.

Grüße,

Lance