Firewall "Security Connection" quando non esiste alcuna fiducia e NATing tra i due computer

Prima una piccola spiegazione della mia topologia di networking.

Ho un dominio interno e un dominio di networking di bordo. Non esiste alcuna fiducia tra i due domini (e IT non consentirà la creazione di una configuration one way trust tra il dominio interno e il bordo della networking)

  • Windows Server 2008 R2 - IIS7.5 - Autorizzazioni del sito Web
  • Cluster di failover: Microsoft Exchange Server 2010
  • Accidentalmente proibisco la connessione SSH a un server remoto ... Cosa c'è di nuovo?
  • Il telecommand della session di Remote Desktop restituisce sempre l'errore 5: Accesso negato
  • Limitare l'utente dal salvataggio sul desktop, i documenti, la mia musica, i miei video, le mie immagini, ecc. Tramite GPO
  • Scarsa velocità SMB su VPN
  • immettere qui la descrizione dell'immagine

    Quando passano attraverso il router, NAT farà il traffico verso la networking del bordo. Quindi tutto il traffico che dmzHost.edgeNetwork.local vede che non ha origine sul proprio substring apparirà avrà un IP di origine di 192.168.10.10 . È interessante notare che qualsiasi traffico che parte dalla substring 192.168.10.0/24 non sarà NATed quando si connette a un computer nella substring 10.0.0.0/8 (ho inviato un'email all'IT chiedendo perché questo è, poiché non capisco il beneficio di NAT alla networking del bordo, ma accesso aperto dalla networking Edge. Ho potuto vedere il ragionamento dietro 10.x -> 192.x = NAT e 192.x -> 10.x = Dropped connection ma il fatto che permettono la connessione attraverso mi confonde)


    Quello che voglio fare è distriggersre il firewall su qualsiasi computer autorizzato in modo da poter eseguire la gestione remota. Il metodo che ho cercato di fare era

    1. Su dmzHost, creare una voce di protezione di connessione con le seguenti impostazioni:
      1. Endpoint 1 è impostato su 192.168.10.40 tramite 192.168.10.49 (questo sarà un GPO spinto a diversi computer)
      2. Endpoint 2 è impostato su Any IP address
      3. Protocolli e porte è impostato su Any
      4. I requisiti di authentication sono impostati su Request inbound and outbound
      5. Il metodo di authentication è impostato su Advanced con il primo metodo di authentication impostato su Preshared Key
    2. Su lanPC, seguire lo stesso execpt setup:
      1. Impostare l' Endpoint 1 in Any IP address
      2. Impostare l' Endpoint 2 a 192.168.10.40 fino a 192.168.10.49

    Controllo della Main Mode e della Main Mode Quick Mode in Associazioni di sicurezza Posso vedere la connessione stabilita.

     Main Mode: Local Address Remote Address 1st Authentication Method 2nd Authentication Method Encryption Integrity Key Exchange 192.168.10.40 192.168.10.10 Preshared key No authentication AES-CBC 128 SHA-1 Diffie-Hellman Group 2 Quick Mode: Local Address Remote Address Local Port Remote Port Protocol AH Integrity ESP Integrity ESP Encryption 192.168.10.40 192.168.10.10 Any Any Any None SHA-1 None 

    Ora, quando ho impostato la regola del firewall, questo è quando si rompe.

    Ho impostato la regola del firewall per consentire tutte le porte e tutti i programmi, tuttavia Action I cambiare da Allow the connection a Allow the connection if it is secure quindi in Personalizzazione l'ho impostato per Allow the connection to use null encapsulation .

     Name Group Profile Enabled Action Override Program Local Address Remote Address Protocol Local Port Remote Port Allowed Users Allowed Computers Allow full access to any computer with PSK All No Secure (No encapsulation) No Any 192.168.10.40-192.168.10.49 Any Any Any Any Any Any 

    Quando faccio abilitare l'impostazione che perde tutte le connessioni a 192.168.10.40 che è stato NAT'ed dal router, ho dovuto connettersi ad un altro computer nella networking di bordo e remoto da lì per distriggersre la regola del firewall.

    Cosa devo fare, lanPC.example.com può eseguire amministrazione remota (senza bisogno di RDP in) su dmzHost.edgeNetwork.local ?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.