ComputerBase Menü
Aktuelles

Server 2016 als Gateway - Firewall?

RockNLol

RockNLol

Lieutenant
Registriert
Aug. 2008
Beiträge
817
hi,
Ich plane für die neue Zweigstelle eines Büros die gesamte PC-Struktur. Es soll ein Windows Server 2016 als Allroundserver verwendet werden, also DC, DNS, DHCP...
Um einen Router einzusparen und NAT-Probleme bei VPN-Verbindungen zu vermeiden (Stichwort NAT-T) hätte ich die zweite Netzwerkschnittstelle genutzt, um den Server auch als Gateway zu verwenden. Dazu habe ich die Routing & RAS Rolle installiert und bei der Konfiguration "NAT und VPN" ausgewählt und entsprechend eingestellt (VPN wird zur Verbindung der Zweigstelle mit dem Hauptbüro, sowie mobile Workstations auf Baustellen verwendet). Das klappt soweit gut, alle Geräte haben Internetzugriff.
Probleme bereitet die Verbindung von außen mit dem Server. Am "WAN-Port", um die Routerterminologie weiterzuführen, reagiert der Server nicht einmal auf pingen. Im Netzwerk und Freigabecenter steht auch die WAN-Netzwerkschnittslle auf der Firewalleinstellung Domänennetzwerk. Dies lässt sich auch per Powershell nicht ändern. Theoretisch müsste der Server RDP und allerhand Späße zulassen, was Sicherheitstechnisch komplett unangebracht wäre, tut er aber eh nicht. Nur wie lasse ich die Verbindung von außen nun zu?
 
Du stellst also den Internetzugriff direkt über den Windows-Rechner bereit, ohne einen Router oder sonstige Firewalls dazwischen? Mutig, sehr mutig. Oder hast du da noch irgendeinen Schutz nach außen dabei?
 
Multihomed-DC machen keinen Spaß. Da ist viel Handarbeit nötig, um das sauber hinzubekommen. Davon abgesehen, gibt es besser für Routing und Paketfilterung geeignete Betriebssysteme als Windows-Server.
 
rg88 schrieb:
Du stellst also den Internetzugriff direkt über den Windows-Rechner bereit, ohne einen Router oder sonstige Firewalls dazwischen? Mutig, sehr mutig. Oder hast du da noch irgendeinen Schutz nach außen dabei?
Zum Vergrößern anklicken....

Ich habe das derzeit nur lokal aufgebaut zum Testen. Kann ich da nicht irgendwie die Firewall so einstellen, dass das nicht gefährlich ist?
C2KXDeaf schrieb:
1) pfsense auf VMWare installieren
Zum Vergrößern anklicken....
Also geht das nur über einen zweiten virtuellen Rechner, der als Firewall fungiert?

*edit: Wäre es klüger 2 Hardware-Firewalls zu kaufen, die VPN unterstützen, z.B. Zyxel ZyWalls?
 
Zuletzt bearbeitet:
Halte auch für eine schlechte Idee und das nicht nur weil es lästig zu konfigurieren ist.
Gerade wenn auch AD drauf laufen soll, sollte der Server nicht auch noch Firewall sein. Das ist völlig unabhängig von Windows. Ich würde auch einen Samba-DC oder einen anderes gearteten LDAP-Server nicht ungeschützt ins Internet hängen, weil eine Kompromittierung des Verzeichnisdienstes der GAU in einem Netzwerk ist.

Sowohl eine Firewall-VM also auch Hardware-Firewalls sind da schon besser. Ist in der Hauptstelle bereits ein VPN-fähiger Router (z. B. FritzBox) vorhanden?
Wenn du nicht an ein bestimmtes VPN-Protokoll gebunden bist, kann man auch mit OpenVPN arbeiten, das meiner Erfahrung nach sehr wenig Probleme macht wenn hinter NAT betrieben.

Am Router würde ich nicht sparen, weil davon sowohl die Internetverbindung als auch die Netzwerk-Sicherheit der Zweigstelle abhängt.
Wenn die Anforderungen an die VPN-Performance überschaubar sind, kann man bereits mit zwei günstigen VPN-fähigen Routern mit wenig Aufwand ein Site-to-Site-VPN hinbekommen.
 
Dann werde ich die Netzwerkkonfiguration nocheinmal ändern und Router dazwischenhängen. In der Hauptstelle haben wir einen alten Netgearrouter, der außer WLAN so gut wie gar nichts kann, also müssen da zwei Stück erneuert werden.
Danke für die Tipps und Vorschläge!
 
Wie groß ist dein Netzwerk? Wenn es max. 50 IPs gibt, dann kannst auch eine Sophos UTM nehmen, die kann dann das Firewalling und das VPN zur Verfügung stellen.
Jedenfalls, würde ich niemals einen Windows Server so ins Internet stellen. Auch nicht, wenn dieser selbst als Firewall dienen sollte. Dafür gibt es bessere Systeme :)
 
geht um etwa 20 Clients aufgeteilt auf 2 Standorte. Preis auf Anfrage klingt aber nicht so gut :D
 
schau dir bitte mal https://opnsense.org/ als alternative für sophos utm an, damit ist es auch möglich einen transparenten proxy einzuschalten um diverse sachen raus zu filtern etc.

site to site vpn zwischen den Standorten geht auch.

Kannst du auf Hardware oder VM installieren
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
391
Mickey Mouse
Mickey Mouse
CaparZo18
DSL und LTE Verbindung auf externen Server umleiten im RZ
Antworten
5
Aufrufe
1.197
CaparZo18
CaparZo18
slsHyde
Leserartikel [Projekt, Worklog, HowTo] Server in Eigenregie
2
Antworten
38
Aufrufe
30.828
slsHyde
slsHyde
M
[Server 2016] Woran erkenne ich RDP SSl/TLS
Antworten
3
Aufrufe
2.754
maniman2
M
L
Windows Server 2012 R2 OpenVPN Server als Internet Gateway aber wie?
Antworten
4
Aufrufe
3.134
TheCadillacMan
TheCadillacMan
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz