Seite 1 von 1
VMware View Security Server in zwei Netzen?
Verfasst: 18.04.2011, 17:56
von pauLee
Hallo Leute,
ich experimentiere gerade mit einem View Security Server 4.6 rum und frage mich gerade, ob ich den Server in zwei Netze stellen muss, also einmal DMZ, um von außen erreichbar zu sein und einmal intern, um mit dem Connection Server zu kommunizieren.
An sich halte ich das für keine gute Idee, den Server noch mit einer zweiten Netzwerkkarte ins interne Netz zu stellen aber wie sonst soll der Server das interne Netz erreichen?
Oder stellt ihr den Security Server nur ins interne Netz und macht dann ein NAT? Dann bräuchte ich aber auch keinen Security Server, auch nicht für PCoIP, oder irre ich mich?
Verfasst: 18.04.2011, 19:28
von Tschoergez
Die Idee vom Security Server ist es, einen "abgespeckten" Server zu haben, der nach außen nicht die /admin-Seite bereitstellt.
Üblicherweise steht der dann in der DMZ, mit nem zweiten "Beinchen" ins interne Netz, und alle Firewalls sind eben genau so eingestellt, dass z.b. der Security-Server NUR den connection server intern erreich darf, sonst aber nix.
Wenn Du den securtiy Server via NAT direkt ins interne Netz stellst, fehlt Dir diese Trennung (außer mit ner Host-based Firewall direkt auf dem Security server).
Für PCoIP brauchts zwingend das PCoIP-Gateway, wenn Du von den clients aus via https tunneln willst.
Viele Grüße,
Jörg
Verfasst: 18.04.2011, 21:18
von pauLee
Tschoergez hat geschrieben:Die Idee vom Security Server ist es, einen "abgespeckten" Server zu haben, der nach außen nicht die /admin-Seite bereitstellt.
Üblicherweise steht der dann in der DMZ, mit nem zweiten "Beinchen" ins interne Netz, und alle Firewalls sind eben genau so eingestellt, dass z.b. der Security-Server NUR den connection server intern erreich darf, sonst aber nix.
Wenn Du den securtiy Server via NAT direkt ins interne Netz stellst, fehlt Dir diese Trennung (außer mit ner Host-based Firewall direkt auf dem Security server).
Für PCoIP brauchts zwingend das PCoIP-Gateway, wenn Du von den clients aus via https tunneln willst.
Viele Grüße,
Jörg
Ok, also dann doch die Grätsche in zwei Netze aber mit dem kurzen Bein im internen. Ja, das ist auch regelbar.
Sind das die korrekten Ports für die interne Kommunikation: 4001, 8009, 3389 ... oder fehlen da noch welche?
Die Ports offen in der DMZ sollten folgende sein: 443 und 4172 ... richtig?
Verfasst: 19.04.2011, 08:45
von Tschoergez
Hi!
Die genauen Ports weiß ich nicht auswendig, die sollten aber in der Doku stehen.
Es gibt auch nen KB-Artikel bei VMware:
http://kb.vmware.com/selfservice/micros ... View%204.x
Zur Netzwerkarchitektur: naja, irgendwie müssen die Clients ja den Connection-Server erreichen. Und ein gehärteter Server in der DMZ ist wohl besser als wenn ein interner Server direkt aus dem Internet erreichbar ist...
viele grüße,
jörg
Verfasst: 20.04.2011, 11:26
von pauLee
Tschoergez hat geschrieben:Hi!
Die genauen Ports weiß ich nicht auswendig, die sollten aber in der Doku stehen.
Es gibt auch nen KB-Artikel bei VMware:
http://kb.vmware.com/selfservice/micros ... View%204.xZur Netzwerkarchitektur: naja, irgendwie müssen die Clients ja den Connection-Server erreichen. Und ein gehärteter Server in der DMZ ist wohl besser als wenn ein interner Server direkt aus dem Internet erreichbar ist...
viele grüße,
jörg
Hi Jörg, danke für den Link!