首先,我还没有一个训练有素的IT专业人员,但只是一个大学生,所以请原谅我,如果我要问的一些事情可能看起来“愚蠢”,因为答案是完全明显的。
我几乎完成了为我们的家庭networking设置Windows Server 2012 Foundation服务器。 它configuration有以下angular色:
趋势科技企业安全无忧版的文件服务器,打印服务器,DHCP服务器,DNS服务器和安全服务器。 所有这些都已经开始运行 – 迄今为止这么好。
除此之外,我希望将服务器作为OpenVPN路由器和防火墙使用“具有高级安全性的Windows防火墙”与RRAS结合使用。 我想我也已经完成了这些服务的设置,但是正如我之前提到的,我不是一个训练有素的IT专业人员,我第一次这样做,如果你们中的一些人可以,我会非常感激告诉我如果我的configuration是好的,然后我把它连接到一个公共/不安全的networking。
所以首先这里是我有的networking和我想要的服务器:
内部家庭networking:192.168.0.0/24 – 服务器IP 192.168.0.1 – 连接到NIC1
本地“不安全”networking:192.168.3.0/24 – 服务器IP 192.168.3.2 – 连接到NIC2
OpenVPN互联网连接:10.8.1.52/30 – 服务器的IP 10.8.1.54 – 连接到OpenVPN的虚拟网卡
现在我想要做的就是让Windows Server 2012服务器通过该OpenVPN Internet连接路由我的内部家庭networking的Internetstream量。 它还必须阻止来自OpenVPN互联网连接的所有未经请求的传入stream量,而不pipe它是针对服务器本身还是我的内部家庭networking,除此之外,还必须阻止来往于本地“usecured”networking的所有stream量OpenVPN连接到我的VPN服务提供商的VPN服务器。 我这样做的主要原因是,我住在德国,并通过我的美国基于提供商的VPN连接路由所有互联网stream量我的整个家庭networking将连接使用美国的IP地址,这使我可以使用像Netflix, Hulu,Vevo等无法使用德国的IP地址。 另一个原因是,通过将我的内部家庭networking(在NIC1上)与外部“不安全”networking(在NIC2上)完全分开,我可以使用“不安全”networking来提供对不太安全/不可信设备(例如智能手机,互联网无线电或客人携带的设备)直接通过德国的ADSL连接,而不会有这些设备以某种方式危害我的家庭内部networking的风险。
在“不安全”networking中,有一个标准的ADSL路由器设备,其IP地址为192.168.3.1,OpenVPN应该使用它来与我的VPN服务提供商的服务器build立安全的encryption连接。 除了通过NIC2的所有其他传入和传出通信应完全被服务器阻止。
– 使用“gpedit.msc”我使用以下参数设置了“具有高级安全性的Windows防火墙”:
(我configuration了“域”,“公共”和“私人”configuration文件都具有相同的设置,所以我不必处理networking位置感知)
防火墙状态:开启(推荐)
入站连接:阻止(默认)
出站连接:阻止
允许单播响应:否
应用本地防火墙规则并应用本地连接安全规则:否(我这样做是为了防止第三方应用程序通过添加自己的规则来与防火墙设置“搞乱”)
如果本地地址= 192.168.0.1&远程地址= 192.168.0.0/24(这应允许从我的内部家庭networking通过NIC1的所有入站连接)
如果本地地址= 192.168.0.1或10.8.1.54(这应允许通过NIC1和OpenVPN的虚拟NIC的所有出站连接)
允许程序=“%ProgramFiles%\ OpenVPN \ bin \ openvpn.exe”和本地地址= 192.168.3.2和远程地址=“我的VPN提供商的服务器的公共IP地址”和协议=“UDP”和远程端口= 1194应允许OpenVPN通过NIC2build立到我的VPN提供商服务器的安全encryption连接)
在NIC1的属性中,我没有selectIPv6协议,因为我没有使用它,我configuration了IPv4使用静态IP地址192.168.0.1,networking掩码255.255.255.0,没有默认网关和首选的DNS服务器192.168.0.1
对于NIC2它说:“此连接使用以下项目”我取消了除IPv4之外的所有内容,然后configurationIPv4使用静态IP地址192.168.3.2,networking掩码255.255.255.0,没有默认网关,没有首选的DNS服务器
对于OpenVPN的虚拟网卡,它说:“这个连接使用下列项目”我除了IPv4,然后configurationIPv4使用静态IP地址10.8.1.54,networking掩码255.255.255.252,默认网关10.8.1.53,首选的DNS服务器127.0.0.1 [我必须添加一行到OpenVPN的configuration文件,告诉它不要与那些手动configuration的参数“混乱”,但我认为这不应该是一个问题]
在“configuration路由和远程访问”向导中,我select了“NAT”选项,然后selectNIC1作为专用接口,将OpenVPN的虚拟NIC作为公共接口
我去了服务器属性,并在“常规”选项卡上取消选中“IPv6路由器”,然后我去了“IPv6”选项卡,并取消选中“启用IPv6转发”
NIC2属性
在NIC2的属性中,我选中了“启用分片检查”[这是必要的/推荐的???],然后设置下面的静态filter
入站筛选器:
select“丢弃所有符合下面条件的数据包”,然后添加以下filter
源地址= ANY,源networking掩码= ANY,目的地址= 192.168.3.2,目的地掩码= 255.255.255.255
出站筛选器:
select“丢弃所有符合下面条件的数据包”,然后添加以下filter
源地址= 192.168.3.2,源networking掩码= 255.255.255.255,目的地址= ANY,目的地掩码= ANY
(这些filter应该防止在NIC2上发生任何入站或出站路由,并且应该只允许源自服务器本身的数据包或针对服务器本身的数据包,而这些连接则应该由“具有高级安全性的Windows防火墙”来处理)
OpenVPN的虚拟NIC属性
在OpenVPN的虚拟网卡的属性中,我选中了“启用分片检查”[这是必要/推荐?],然后设置下面的静态filter
入站筛选器:
select“丢弃所有符合下面条件的数据包”,然后添加以下filter
源地址= ANY,源networking掩码= ANY,目的地址= 10.8.1.54,目的地掩码= 255.255.255.255
出站筛选器:
select“丢弃所有符合下面条件的数据包”,然后添加以下filter
源地址= 10.8.1.54,源networking掩码= 255.255.255.255,目标地址= ANY,目标掩码= ANY
(这些filter应该防止任何入站或出站路由发生在OpenVPN的虚拟网卡上,而它们不应该影响NAT,因为所有的NAT数据包都应该具有10.8.1.54作为其源地址或目标地址)
我添加了以下路线
目的地:“我的VPN提供商的服务器的公共IP地址”
networking掩码:255.255.255.255
网关:192.168.3.1
接口:NIC2
公制:1
由于我已经取消了NIC属性中的IPv6选项,而且我也没有在RRAS中选中“IPv6路由器”和“启用IPv6转发”,所以我不认为我将不必担心IPv6的问题,只是为了安全起见,到“IPv6 \ General”,并为NIC2和OpenVPN的虚拟网卡configuration静态filter,以阻止通过这些网卡的任何入站或出站IPv6stream量。
我知道这是一个很好的阅读和经历,但因为这是我第一次做这样的设置,我可以真正睡得更好,因为知道在我连接服务器之前,比我更有经验的人看了这些设置到我的“不安全”的networking和互联网。 所以我会非常感激。
提前感谢你,祝你周末愉快!
亚历山大