我将在数据中心build立一个networking,我想知道是否有可能让Windows Server 2008 R2充当VPN服务器。
另外,我听说有三种主要的VPNtypes:PPTP,L2TP / IPSec和SSTP。 经过一番调查,它看起来像允许Mac OS X,Linux和Windows本地(操作系统级别)的支持,我会使用PPTP或L2TP / IPSec。 我还读到,L2TP比PPTP更安全,这是真的吗?
最后,在主域控制器(PDC)上安装VPN服务器是否是一个好主意,如果不是的话,为什么?
PPTP是“最不安全的” 但是当您使用EAP- *authentication协议时,除了FIPS-140数据外,对于其他所有人来说,它仍然是足够安全的。 MS-CHAPv2也非常安全。 但它依赖于密码,这几乎总是一个弱点(那个和社会工程,这是非常有效的)。
L2TP更安全,您应该使用证书进行部署,而不是PSK。 这需要一个PKI,这不是很难设置。 它比PPTP更安全,但仅限于需要证书或PSK。
SSTP基本上和L2TP一样安全,它再次使用证书,仍然需要一个PKI。 它的主要优点是可以使用廉价的防火墙(或严格configuration的防火墙)来阻止GRE和UDPstream量(分别用于PPTP和L2TP)。
最好的做法是只在服务器上安装AD(或使用DNS); 但是人们经常安装其他服务而没有显着问题。 请记住,如果互联网连接的服务器受到威胁,您的AD DB也会自动受到影响。
这是安全/互操作性/设置开销之间的折衷
如果您可以设置GRE数据包转发和端口转发TCP 1723,那么PPTP可能是互操作性最强的,可以很好地工作,比如NAT。只要您使用的是MSCHAPv2(您可以在Windows Server 2008上),那么可能是好的。
L2TP需要PKI设置,如果您希望VPN服务器位于NATnetworking上,则需要执行一些额外的步骤 。
SSTP是该块上的新成员,可能是设置开销/互操作的中间位置。 如果你看着未来的打样,那么这就是要走的路。 不知道是否有任何Mac OS的工作支持。
使用AD作为VPN服务器可能不是最佳实践,但是在SOHO环境中,VPN服务器通常是DC(认为是SBS)。