Как правильно организовать подключение локалки к интернету.
 

Добрый день!
Посоветуйте, как правильно вывести локалку в интернет.
Хочу смоделировать в тестовой среде.
Планируется КД, всус-сервер, почтовый сервер, рабочие станции.
Что выбрать в качестве шлюза, посоветуйте, плиз.
И как это правильно сделать: если надо выпускать несколько клиентов в инет, значит нужен НАТ, правильно, + защита локалки от угроз - это фаерволл. Ну и хорошо бы иметь возможность подключать некоторых клиентов из дома по ВПН.
Не могу увязать все вместе: есть например трафик-инспектор или юзер-гейт, или керио - у них есть свои НАТ-сервисы или нужно устанавливать виндовый?
Вроде, хорошо бы, если шлюз не является членом домена. Тогда как отсеивать доменные учетки пользователей по правам доступа в интернет? И если нужен ВПН, то его надо тоже устанавливать на шлюзе? Если не ошибаюсь, это будет стандартная роль в 2008 сервере... Тогда как он не будучи членом домена пустит удаленных пользователей в домен?

Заранее благодарен!

Вы же уже сами предлагали в теме про hyper-v сервер с двумя картами и маршрутизацией. Одна карта во внешней сети, другая - во внутренней(NAT), она же шлюз для внутренней сети, в том числе и для интернета. Можете включать этот сервер в домен. А во внутренней сети что угодно.
Удаленные rdp-пользователи пускаются в домен независимо от членства, лишь бы учетки были зарегистрированы на терминальном сервере.

Вместо сервера-маршрутизатора можете сделать комп.-не сервер с Kerio Control (Winroute) - он интегрируется с Аctive Directory из домена локсети, но vpn у него вроде нестандартный, свой, но для сетей одной организации может подойти.

alef2474, здравствуйте!
Я насчет того, что хватит ли встроенного фаерволла на 2008 сервере для хорошей защиты сети. + вроде не рекомендуют делать шлюз членом домена. Вот и думаю, что бы выбрать в качестве фаерволла и прокси - керио, ИСА, или еще что...

pfSense или TMeter.

Добрый вечер!
Для начала решил попробовать настроить через 2008 сервер с ролью РРАС. Установил роль, стал настраивать через оснастку Маршрутизация и удаленный доступ: выбрал НАТ, внешнюю сетевую карту. На определенном этапе мастер предложил два варианта - Включить базовые службы назначения адреса - по умолчанию, или Установить службы имен и сопоставления позднее. Насколько я понимаю, т.к. у меня есть КД с АД и ДНС, то надо выбирать этот вариант?

Да, и настройки сетевых карт. Внешняя будет получать адресацию от провайдера по ДХЦП - тут все понятно.
А что прописывать на внутренней? Адрес и маску - из диапазона моей локалки, а ДНС сервером что указывать - мой КД? Шлюз вроде не указывают?

И до кучи - что посоветуете для повышения взломостойкости шлюза? Переименовать админскую учетку и чтобы не совпадала с админскими учетками на остальных серверах, а что еще?

Да.

Нет. Ничего не указывать.

Не указывают.

Например, сменить порт RDP, отключить на внешнем сетевом адаптере службы доступа к файлам и принтерам и NetBIOS, позакрывать ненужные порты.

Ок, спасибо! Вроде бы получается.
В 2008 сервере можно ли для каждого сетевого соединения (сетевой карты) настроить свои правила фаерволла? На 2003 сервере с ролью ррас это было доступно в том числе в свойствах самого соединения, а на 2008 что-то не найду...

ISA-уже давно как TMG- и уже давно как не продается и нет у мелкомягких теперь firewall
Kerio- чисто мое мнение... Вроде не плох но с интеграцией с АД у него совсем все плохо.
Tmeter- ну как то не завелось у меня с ним одни негативные эмоции.
PfSense- для тестовой среды самое то, да и для небольших организаций считаю идеальное решение. На нем и впнки на основе сертификатов можно сделать.
там вроде не для интерфейса, а для типа соединения (доменный, общий вроде для них) Но я бы все таки поставил PfSense мощная штука за.... нахаляву.

Это неправильное мнение. У меня очень хорошо интегрировался несколько лет назад, причем очень на слабой машине с ХР.
Может только новые версии похужели?

Вот тут хз. я с ним как лет 10-12 назад общался, тогда было все не совсем хорошо. пользователи нормально привязывались только если фиксированный IP дать. (не исключаю факта, что может я его готовить не умел) но потом пересел на ISA, и там совсем все по другому с этим обстояло.
Но иногда лазию по форумам, темы про интеграцию АД и Kerio все равно остались. На форумах ISA(TMG) таких вопросов просто нет.