Consigli riguardo architettura di rete

[billiejoex]

Ciao a tutti. Chiedo consigli in quanto ho la necessità di installare una rete LAN con server di dominio 2003 a cui si dovranno agganciare 4 clients.
Il server dovrà espletare le funzioni di:

- DHCP server dinamico per i client
- DNS server
- Domain controller per autenticazione delle utenze
- VPN server per le connessioni da remoto

Avevo pensato di strutturare la rete nel seguente modo:


client 1--
|
client 2--|
|
client 3--|-----------switch
|
server ---|
|
firewall--
|
|
---------------------Internet


I miei dubbi riguardano:

1 - Topologia di rete: può sembrare una topologia valida? Avete da consigliarmi alternative migliori?

2 - Assegnamento indirizzi: sulla rete sono presenti 2 server DHCP: uno sul server e l'altro sul firewall hardware. Non avendo mai utilizzato un firewall hardware mi chiedo: è possibile disabilitare il DHCP del firewall hardware di modo che i client utilizzino il DHCP del server?

3 - Routing: sulla scheda di rete del server dovrò assegnare un indirizzo statico? Come default gateway dovrò settare l'indirizzo (sempre statico) dell'interfaccia privata del firewall? E' esatto?

4 - Firewalling: che porte dovrò aprire sul firewall per consentire l'accesso VPN?
Dovrò anche fare un forwarding verso che punta verso il server, vero?

5 - VPN: non ci ho mai avuto a che fare. Sarebbero graditi consigli...


Per ora dovrebbe essere tutto. Ringtrazio anticipatamente qualunque anima buona mi venga in aiuto.

Saluti

[alphalab]

-puoi disabilitare il dhcp del firewall
-sulla scheda di rete del server quella che punta sulla scheda di rete privata del firewall dovrai settare un ip statico.
-il default gateway sarà l'ip della scheda privata del firewall
-per la vpn la porta e :1723

ti consiglio di installare una seconda scheda di rete sul server per nattare i client

4client 192.168.0.x
|
|
switch
|
interfaccia sulla lan eth0 server es:192.168.0.x
server
interfaccia sulla wan eth1 server es:10.0.0.1
|
interfaccia sulla wan eth1 firewall es:10.0.0.2
firewall
interfaccia sulla wan eth2 firewall es:10.0.0.3
|
router es:10.0.0.4

questa è una configurazione che ho usato io in una rete.
prego non vorrei averti creato confusione.in tal caso sicuramente quacuno mi saprà correggere.
ciao

[diegoctn]

1)
Client 1
Client 2
Client 3
Switch
Server
Firewall

2)
Se hai solo 4 pc a che ti serve il dhcp? Dai a tutti gli indirizzi fissi.

3)

Il server deve "assolutamente" avere l'indirizzo fisso. Comunque non è granchè bello fargli fare da proxy, è un pò pericoloso. Comunque sì, devi dargli l'ip privato del firewall.

4)

Se non ricordo male la porta è la 1724 ( ma non ne sono sicuro, guarda un pò in giro). Se il server è il 2003 non hai bisogno del forwarding. C'è già una procedura per la VPN.

5)

Virtual Private Network. In pratica utilizzi una rete privata all'interno di internet. Ma in rete trovi tutto quello che vuoi.

[tia86]

Visto che ti è stato detto quasi tutto parto direttamente dalla VPN.

Prima di tutto, l'autenticazione (VPN) come deve essere gestita? Da AD?

Si può fare in 2 modi, la soluzione più pulita è quella di utilizzare il router per gestire il collegamento road warrior (in caso di singolo utente che si autentica ed entra nella VPN) o un collegamento fisso (router-router). Naturalmente devi avere un router che supporta VPN ed interfacciarlo in qualche modo con AD (LDAP).
La soluzione più semplice e 'casereccia' è quella di far diventare il DC un router con dietro i client e nattare la porta del router direttamente nel DC

clients --> DC --> Internet

Il fatto che tu abbia un router o un modem a questo punto è indifferente in quanto Windows può gestire il NAT (la famosa condivisione internet).

[billiejoex]

@alphalab - Grazie per i preziosi suggerimenti.
Effettivamente anche io avevo in mente una configurazione di rete simile a quella da te descritta (con due interfacce sul server e due interfacce sul firewall) ma mi è stata sconsigliata per risparmiare una scheda di rete.
Non vorrei solo che si creassero casini a livello di routing dato che in questo caso un client della LAN sarebbe costretto a oltrepassare due NAT, uno del server e l'altro del firewall, anzichè solo quello del firewall.
Questo non potrebbe comportare dei cali di prestazioni/velocità?

@diegoctn ringrazio anche te

Se hai solo 4 pc a che ti serve il dhcp? Dai a tutti gli indirizzi fissi.

E' una comodità da parte degli utilizzatori dei client che evitano di configurarsi manualmente le impostazioni di rete come default gateway e dns.

Il server deve "assolutamente" avere l'indirizzo fisso. Comunque non è granchè bello fargli fare da proxy, è un pò pericoloso. Comunque sì, devi dargli l'ip privato del firewall.

??
Non ho mai parlato di proxy.

Se non ricordo male la porta è la 1724 ( ma non ne sono sicuro, guarda un pò in giro). Se il server è il 2003 non hai bisogno del forwarding. C'è già una procedura per la VPN.

??
Certo che ho bisogno del forwarding. Ho un firewall hardware davanti a tutto. La procedura del 2003 sarà anche guidata, ma non tanto da configurarmi anche il firewall.


PS - Riguardo il firewall hardware avete qualche marca in particolare da consigliarmi? Non ho bisogno di nulla di particolarmente affidabile, basta che sia configurabile via itnerfaccia web in modo non troppo complicato, sopratutto per quanto riguarda il forwarding.

PPS - Pura curiosità: Win 2003 permette operazioni di forwarding verso i client della LAN, supponendo che vi sia un server in ascolto su uno di essi?


Saluti

[tia86]

Originariamente inviato da billiejoex


PPS - Pura curiosità: Win 2003 permette operazioni di forwarding verso i client della LAN, supponendo che vi sia un server in ascolto su uno di essi?


Saluti

Port forwarding?
Windows 2000 lo permette, quindi si.

[billiejoex]

Visto che ti è stato detto quasi tutto parto direttamente dalla VPN.

Prima di tutto, l'autenticazione (VPN) come deve essere gestita? Da AD?

Si può fare in 2 modi, la soluzione più pulita è quella di utilizzare il router per gestire il collegamento road warrior (in caso di singolo utente che si autentica ed entra nella VPN) o un collegamento fisso (router-router). Naturalmente devi avere un router che supporta VPN ed interfacciarlo in qualche modo con AD (LDAP).
La soluzione più semplice e 'casereccia' è quella di far diventare il DC un router con dietro i client e nattare la porta del router direttamente nel DC

clients --> DC --> Internet

Il fatto che tu abbia un router o un modem a questo punto è indifferente in quanto Windows può gestire il NAT (la famosa condivisione internet).

Mi trovi un po' impreparato in vista di ciò che hai descritto (road warrior, ad es, è la prima volta che lo sento. Cosa intendi? :-\).
Se sapresti consigliarmi un how to relativamente "pratico" te ne sarei grato.
Gia che ci sono risollevo la questione della tipologia di rete: mi conviene utilizzare due interfacce di rete sul server?

[tia86]

Originariamente inviato da billiejoex
Mi trovi un po' impreparato in vista di ciò che hai descritto (road warrior, ad es, è la prima volta che lo sento. Cosa intendi? :-\).
Se sapresti consigliarmi un how to relativamente "pratico" te ne sarei grato.
Gia che ci sono risollevo la questione della tipologia di rete: mi conviene utilizzare due interfacce di rete sul server?

Una VPN può essere fatta in 2 modi, il primo è router-router, ovvero hai 2 LAN con dei router che si interfacciano all'esterno

codice:

Rete                                               Rete
192.168.0.0    -> Router -> Internet <- Router <-  192.168.1.0

In questo caso i 2 router gestiscono la connessione VPN ed la connessione VPN è trasparente per i client della rete.

In una VPN road warrior c'è un solo client che vuole collegarsi alla rete interna.
Se tu vuoi collegare 2 reti tra 2 uffici distanti tra loro, utilizzarai una VPN router-router. Se invece vuoi dare accesso alla rete interna ad un client esterno, utilizzerai una road warrior.
In pratica una VPN router-router è fissa, dovrebbe esserci sempre. Un road warrior può non esserci sempre.
Un road warrior lo puoi vedere come un pc che vuole connettersi ad internet (utilizzando PPP naturalmente).

Sul DC naturalmente servono 2 interfaccie di rete se è il DC che gestisce la VPN. Una roba del genere:

Clients -> Server (fa anche da router) -> Firewall (con NAT) -> Internet

Il firewall ti consiglierei di fartelo con una GNU/Linux Box.
Purtroppo non ho mai provato seriamente la VPN di Windows quindi non ti so consigliare nessun howto


Ciao

[billiejoex]

Del client remoto che si connette alla mia VPN non devo preoccuparmente io (una delle sedi "remote" si trova a Monza).
Quello che mi serve è configurare questa rete di modo che accetti connessioni dall'esterno, sia che esse provengano da un banalissimo client direttamente affacciato ad internet, sia da un client che agisce dietro una rete LAN nattata.

[tia86]

Originariamente inviato da billiejoex
Del client remoto che si connette alla mia VPN non devo preoccuparmente io (la sede "remota" si trova a Monza).
Quello che mi serve è configurare questa rete di modo che accetti connessioni dall'esterno, sia che esse provengano da un client direttamente affacciato in internet, sia da un client che agisce dietro una rete LAN nattata.

Ok, il client che si collega alla VPN deve poter accedere alla rete interna, quindi deve poter raggiungere sia il DC che gli altri host della rete o solo il DC?