Windows 伺服器:VPN 訪問
目前,我在無法從 Internet 訪問的本地網路中執行 Windows Server。但是我需要擴展我的業務並且需要將伺服器移動到一個更強大的伺服器上,它將託管在 Internet 上。由於擴展,不再可能在本地託管。
伺服器將是一個專用的,它將充當域控制器。Hyper-V 正在執行並託管一個來賓 Windows Server,它有自己的公共 IP 並提供遠端桌面服務。可以通過遠端桌面訪問多個程序。
但這不是一個安全的環境,因為 rds 和 DC 可以通過 Internet 訪問。
VPN會是一個好的解決方案嗎?我需要在哪里安裝 VPN Server?我可以將它安裝在服務於 RDS 的伺服器上嗎?DC 將加入這個 VPN,我可以在那裡使用它嗎?客戶端應作為站點到站點 VPN 連接。
我可以改進什麼嗎?
我的 2 美分?
訪問遠端資源時始終使用 VPN。
我將始終在遠端託管電腦上設置防火牆,其中所有傳入流量都被拒絕,值得注意的例外是發往 VPN 埠的流量。
我唯一會打開的其他埠是 SMTP 和 IMAP(如果它是郵件伺服器)和埠 80 和 443(如果它是 Web 伺服器)。
防火牆允許的埠取決於 VPN 軟體,例如:
- 500/UDP 和 4500/UDP 用於 IPsec。
- 1194 TCP/UDP 用於 OpenVPN(取決於服務)。
- 51820/UDP 用於 WireGuard
您為 VPN 選擇的軟體取決於很多事情,但主要是您希望如何將其集成到現有設置中。
話雖這麼說:從純粹的頻寬速度的角度來看,首選順序是 WireGuard、IPsec,最後是 OpenVPN。
如果簡單是目標,那麼……遠離 IPsec!你可以用它做很多事情,但它對使用者不友好。
至於針對 VPN 伺服器的身份驗證,有幾個選項,例如客戶端證書和/或使用使用者名和密碼登錄。這完全取決於您要使用哪種 VPN 軟體。
在設計 VPN 時,您可能想要研究“中心輻射”架構。當您希望在單個客戶端之間進行通信時,這很有用,因為它們可以通過使用其 VPN 分配的 IP 地址相互通信。
甚至可以通過 VPN 連接在兩個子網之間進行站點到站點路由。
儘管與所有託管流量一樣要小心。您將必須監控通過 VPN 交換了多少流量,因為託管解決方案通常會限制您可以上傳和下載的數據總量,並且從一個客戶端發送到另一個客戶端的數據計數兩倍,因為它同時是一次上傳和下載取決於你從哪個方向看。