Ajuda a montar um servidor para propósitos de Roteamento / Firewall / VPN

Você pode usar o RRAS para firewall, NAT e VPN, portanto, é possível fornecer um único endereço IP público ao seu firewall do Windows Server 2008 e fazer com que ele direcione o tráfego para toda a sua rede interna e encaminhar portas específicas (fe 80) para seus servidores internos, e você também pode agir como um servidor VPN (PPTP e / ou L2TP). O RRAS existe desde o Windows 2000 e faz seu trabalho muito bem para configurações simples .

não é uma solução completa de firewall / proxy; você não pode definir políticas refinadas, não faz nenhum proxy na web (seja direto ou inversa), não pode filtrar o tráfego no nível do aplicativo e não registrar o tráfego na rede para análise posterior.

Resumindo: sim, o RRAS pode fazer tudo o que você precisa, de forma simples e um pouco crua; mas não é uma solução de acesso e segurança de rede completa como ISA ou TMG.

Acabei de criar algo bastante semelhante há cerca de uma hora. O Windows Server 2008 R2 é uma solução totalmente viável para o que você está fazendo.

Concordo com os comentários até agora sobre o uso do ISA para o firewall. O firewall do Windows pode funcionar, mas é bastante básico e não possui nenhum IDS ou filtragem. ISA é o caminho a percorrer se você puder, caso contrário, o Firewall do Windows é ok como um trampolim.

Para sua VPN, não, DNS e DHCP não precisam estar no mesmo servidor que o RRAS. O DNS pode estar em qualquer lugar, e o DHCP precisa estar apenas na sub-rede interna.

Para seus IPs internos, eles podem ser originados no servidor do firewall / roteador, portanto, a linha superior esquerda no diagrama é realmente uma linha dentro da linha verde. Use VPN para se conectar ao servidor firewall / roteador / vpn que irá atribuir um IP interno.

Para o servidor de banco de dados, basta fornecer um IP interno e ele só será acessível por dentro.

Na NIC interna do servidor do roteador, atribua um IP x.x.x.1 (ou seja, 10.0.0.1) e use-o como seu gateway para sua NIC interna no servidor da Web e para seu servidor de banco de dados. Isso lhe dará a rede interna e o roteamento.

Além disso, se você instalar o RD Gateway Server, poderá executar o RDP no seu computador interno de fora da rede também.

Se você estiver usando uma caixa Server2008 como firewall, convém usar o ISA.

Para ser honesto, por que não usar um roteador para pequenas empresas de porte médio a partir da Linksys. Eu uso o RV042 nessa configuração exata. Eu tenho um endereço IP que é encaminhado para o servidor Web (usando NAT) em 80 e 443 eo roteador é um servidor VPN também usando apenas o cliente VPN do Windows. É cerca de US $ 200, em seguida, seu servidor é realmente removido fisicamente da Internet, caso algo no firewall do software do servidor seja acidentalmente desativado, ele não ficará exposto na Internet.

Nós usamos o Kerio WinRoute Firewall em nossos servidores Windows. Ele não faz proxy reverso, mas como para todo o resto, é muito bem suportado com recursos. Nós temos usado por 8/9 anos através das várias versões e atualmente é muito bom. Também é mais barato que o ISA e muito mais fácil de configurar.

Quanto ao proxy reverso, ainda não precisamos disso, mas estaríamos interessados em descobrir o que você faz no final, se necessário. Nós até agora contornamos isso, já que temos um bloco de endereços IP, então mapeie-os para diferentes servidores internos.

Deixe-me saber se você precisa de ajuda para configurá-lo.

1) Sobre roteamento Sim, tudo pode ser simplesmente roteado para o IIS com o RRAS, você só precisa configurar os registros DNS A adequados e fazer vários cliques no snap-in RRAS e também precisa configurar o IIS para obter cabeçalhos e portas apropriados. 2) É possível trabalhar sem firewall, mas é claro que diminuirá a segurança. É possível colocar o FreeBSD, Linux ou qualquer outro firewall baseado em limites, ou um simples firewall de hardware. 3) O Windows 2008 oferece ótimos SSTP, além de túneis PPTP e L2TP, VPN, que não dependem do protocolo GRE e funcionam em qualquer lugar. Mas você realmente precisa de túneis VPN? O Server 2008 também oferece um ótimo recurso TS RemoteApp, que é mais seguro, porque não oferece acesso total à rede do servidor, mas apenas a um aplicativo específico.
Você planeja servidor para hospedar também recursos internos da web?

Eu tive um problema semelhante ao seu. Um cavalheiro neste fórum recomendou que eu usasse o Astaro Security Gateway .

Eu peguei sua licença gratuita e joguei por um tempo com o software. No final do dia (na verdade, noite), consegui configurar uma máquina Pentium 4 para atuar como um firewall bem-sucedido e substituir dois roteadores separados.

Agora eu executo um servidor da Web que atende a dois endereços IP WAN (com balanceamento de carga de uplink) e o tráfego interno é redirecionado para o IP local do servidor sem passar pela Internet.

A vantagem do Astaro é que você tem controles granulares de cada movimento de pacote na sua rede. Você pode ter que tentar primeiro.

Você não disse em qual plataforma está olhando, então vou recomendar m0n0wall .

É um reempacotamento completo do FreeBSD para uso como firewall / roteador / etc.

EDITAR
atualizando com base nos comentários do Django, eu pensei que os servidores Win2k8 deveriam ser BEHIND o firewall, e não em que INSTALAR o firewall

Com esse sendo o caso, minha recomendação inicial de m0n0wall não faz sentido:)

Se você mudar de ideia, ainda assim:)