Фон
Я разрабатываю настройки сервера для малого бизнеса, где я работаю. Мы хотим иметь возможность размещать наш собственный веб-сервер и другие сервисы в будущем на нашем собственном месте.
Будучи айтишником / сетевым парнем / генеральным техническим гуру, я учусь быть мастером на все руки. К сожалению, у меня мало опыта работы с сетями, но я учусь, и это было интересно.
Я читал о сети, и я считаю, что у меня есть достаточно четкое понимание того, что происходит с нашей сетью. Я понимаю принципы переадресации портов и идею о том, что маршрутизатор можно использовать как способ блокирования входящих подключений к службам. У меня также есть наш веб-сервер на базе Nginx, хотя я еще не выяснил, как подключить его к Интернету.
Кроме того, у нас на самом деле нет бюджета на новое оборудование, поэтому я справляюсь с кучей оборудования для домашних сетей, которое у нас есть. Если этого недостаточно, дайте мне знать, но я предполагаю, что это сработает.
Вот быстрый рисунок текущей настройки:
Начиная сверху, толстая черная линия (представляющая собой соединение для передачи данных здания, Comcast) разделена на интернет на модеме. Здесь нет встроенной сети Ethernet - наш бизнес использует Wi-Fi в качестве метода использования Интернета. Таким образом, Wi-Fi роутер подключен напрямую к модему, потому что это единственное устройство на верхнем уровне. Wi-Fi роутер обслуживает интернет для повседневного использования.
описание проблемы
Безопасность
Я пытаюсь обеспечить безопасность веб-сервера от остальной части сети. Если сервер скомпрометирован, я не хочу, чтобы он влиял на компьютеры, которые мы используем для повседневной работы.
КПД
Я не хочу, чтобы из-за добавления сервера "повседневная" сеть слишком сильно замедлялась. Я также не хочу, чтобы сервер работал очень медленно из-за разметки сети.
Настроить
Как должны выглядеть IP-адреса, маски подсетей и соединения для каждого маршрутизатора?
Решения
Это было первое решение, которое я придумал. Используя переключатель рабочей группы, я хотел дать обоим маршрутизаторам позиции верхнего уровня. Маршрутизатор сервера будет пересылать TCP-порт 80 (http).
Минусы:
- Я не мог добраться до работы. Я предполагаю, что это потому, что оба маршрутизатора пытаются получить один и тот же назначенный Comcast публичный IP-адрес от модема. Каким-то образом маршрутизатор бизнес-сети будет нормально работать в этой настройке, но другой маршрутизатор не будет обновлять / освобождать IP-адреса или давать внешнее интернет-соединение (с причиной сбоя DNS). Хотя я пытался назначить каждому маршрутизатору разные IP-адреса (один 192.168.1.1, один 192.168.2.1), это не решило проблему.
Плюсы:
- Хорошая безопасность. Если сервер скомпрометирован, он не может попасть в деловую сеть. В худшем случае это может перехватить трафик снаружи, но я не уверен, возможно ли это вообще.
- Хорошая эффективность. Каждая сеть замедляется только переключателем рабочей группы.
Это было следующее решение, которое я придумал. Это настройка в стиле DMZ, которая позволяет серверу находиться за пределами бизнес-сети, но по-прежнему обслуживать HTTP.
Минусы:
- В решении A я мог испортить серверный маршрутизатор, и для повседневной работы не было бы никаких последствий. Но в этом методе, если я испорчу конфигурацию маршрутизатора сервера, это будет проблемой для всех.
- Плохая эффективность. Деловая сеть должна пройти через два маршрутизатора, чтобы попасть в Интернет.
- Плохая безопасность сервера. Если один из рабочих компьютеров будет взломан, это может повредить сервер.
Плюсы:
- Хорошая безопасность бизнес-сети. Сервер, если он скомпрометирован, не может получить доступ к другим компьютерам.
- Правильно обрабатывает публичный IP. Это решение использует маршрутизатор в качестве элемента верхнего уровня, что означает, что он может использовать DHCP для назначения IP-адресов, которых нет в сетевом коммутаторе.
Это решение аналогично первому решению, но вместо правильного управления IP-адресом используется маршрутизатор.
Минусы:
- Плохая эффективность. Обе сети должны пройти через 2 маршрутизатора, чтобы получить интернет.
Плюсы:
- Хорошая безопасность. Ни одна из сетей не может напрямую добраться до другой. В худшем случае я предполагаю, что может произойти перехват трафика (не уверен).
- Правильно обрабатывает публичный IP. Это решение имеет устройство верхнего уровня, которое может использовать DHCP для сортировки IP-адресов.
Нижняя линия
Я не уверен, какое решение работает лучше всего. Есть ли лучшее решение, которое я еще не придумал?
Я также не уверен, как настроить лучшее решение, чтобы оно правильно и безопасно обслуживало Интернет для каждой сети. Что мне нужно сделать с IP-адресами, открытыми портами и масками подсетей для каждого маршрутизатора?
Примечание: я знаю, что ошибка сервера имеет низкую терпимость к вопросам, которые используют оборудование домашней сети. Это единственная причина, по которой я написал здесь - я хочу, чтобы на мой вопрос ответили, и я не хочу играть в политику. Если это неправильный сайт, я был бы признателен, если бы вы могли переместить его в правильное место. Благодарю.