通過 Pfsense 在 WAN 和 LAN 之間建立森林信任關係

我正在使用具有 3 個介面的 Pfsense：LAN、DMZ 和 WAN。LAN 包含我的域控制器和我的主要森林（abc.com），DMZ 包含一些 Web 伺服器。另一個林位於 Internet 上的其他位置，因此位於 WAN 介面上。按照嚴格的政策，我完全阻止了從 WAN 到 LAN 的流量，只允許從 WAN 到 DMZ 的 HTTP/HTTPS。我的問題是在兩個森林（WAN -> LAN）之間安全地建立信任關係的最佳方法是什麼。為所需的特定協議打開埠似乎有風險，其他人不鼓勵在 DMZ 中使用只讀域控制器，那麼最安全的方法是什麼？

我想說你首先需要在兩個站點之間建立一個 VPN 隧道，然後建立信任，這樣你就不會將關鍵的 AD 基礎設施直接暴露給 Internet。IPSec/IKEv2 是站點到站點 VPN 隧道的目前最佳實踐。

引用自：https://serverfault.com/questions/1041466