Zunächst einmal möchte ich sagen, dass ich sehr gerne mit Netzwerken arbeite und Computer verwalte, aber ich mache es als Hobby. Ich bin nicht wirklich ein Profi und mache das nur für meine eigenen Sachen, da ich es liebe, etwas über IT zu lernen. Übrigens, Englisch ist nicht meine Muttersprache, also erwarten Sie einige seltsame Ausdrücke auf dem Weg.

Ich verwalte also ein Büro mit ungefähr 20 Computern, die mit AD mit einem Server verbunden sind. Der Server verfügt über zwei Netzwerkkarten, eine mit dem Internet und die andere mit dem LAN verbundene Netzwerkkarte. Dieser Server ist für DHCP, AD, Dateifreigabe verantwortlich und ich habe ein Point-to-Site-VPN konfiguriert.

Mit dieser Konfiguration hat bisher alles ganz gut funktioniert. Allerdings hatten wir kürzlich ein Problem mit unserem Internetprovider, der einen Glasfaserbruch hatte und uns 2 Tage ohne Internet ließ. Also haben wir uns entschieden, einen neuen ISP mit Lastausgleich und Failover zu beauftragen. Also haben wir einen tplink er605-Router erworben, um die Arbeit zu erledigen. Das Detail ist, dass das Büro eine Zweigstelle eröffnet und es sehr interessant wäre, ein Site-to-Site-VPN zu erstellen, um denselben Server mit AD und Zugriff auf Dateien zu verwenden.

Meine Frage betrifft die beste Möglichkeit, das Netzwerk und den Server mit diesem neuen Router zu strukturieren. Da der Router über eine VPN-Funktion verfügt, könnte ich damit ein Site-to-Site-VPN mit der Nebenstelle erstellen. Point-to-Site-VPNs würden jedoch besser vom Windows-Server gehandhabt, da ich keine neuen Benutzerkonten direkt auf dem Router erstellen muss (nur mit AD-Konten).

Also, ich habe zwei Möglichkeiten:

  1. Aktuell verwendete Option: Provider 1 + Provider 2 -> Router Er605 (192.168.0.1) -> (Nic1 192.168.0.2) Server (Nic2 192.168.100.0) -> Switch -> Netzwerk Computer, Drucker etc.

  2. Provider 1 + Provider 2 -> Router Er605 (192.168.100.1) -> Switch -> Server (Nic 1 192.168.100.2). Auf diese Weise verbinden Sie den Router mit dem Switch und stellen alles auf dasselbe Subnetz ein.

Ich habe mehrere Zweifel, wie das funktionieren würde. Denn in Option 1 arbeitet der Router nur für den Lastausgleich und alle anderen Funktionen würden beim Server liegen (aber ich verliere die Möglichkeit, das Site-to-Site-VPN über den Router zu machen, da es außerhalb der Firewall des Servers liegt und in einem separaten Subnetz).

Bei Option 2 hätte ich mehr Freiheit, den Router zu konfigurieren, ohne so sehr vom Server für DHCP und andere Netzwerkfunktionen abhängig zu sein. Ich weiß jedoch nicht, ob ich auf diese Weise ein Site-to-Site-VPN auf dem Router und ein Point-to-Site-VPN auf dem Server erstellen könnte, da sich der Server jetzt nach dem Router im selben IP-Bereich befindet (und Ich möchte die VPNs von Clients behalten, die AD-Konten verwenden).

Jeder Tipp ist willkommen, ich würde nur gerne ein wenig besser verstehen, wie das Netzwerk funktionieren würde, indem ich es auf unterschiedliche Weise einstelle und wie es VPN, Server und AD beeinflussen könnte.

answer

Wie Sie sagten, Sie sind ein Hobbyist, lassen Sie mich einige ziemlich nachdrückliche Wahrheiten niederlegen, denen ich denke, dass die meisten Menschen zustimmen würden.

Ihr aktuelles Setup

Weisen Sie einem Windows Server NIEMALS ohne Grund eine öffentliche IP zu, diese könnten für einen Webhost sein oder weil es für den Fernzugriff wie bei Azure erforderlich ist. Wenn Sie dies tun MÜSSEN, müssen Sie es mit äußerster Vorsicht tun.

Wenn ein Server eine externe Verbindung benötigt, um beispielsweise eine Website zu hosten, ist dies am einfachsten, indem die erforderlichen Ports weitergeleitet werden.

Entschuldigung, wenn das nicht gut übersetzt wird, ich will nicht unhöflich sein, aber das ist ein massives Nein, nein

Wie man Dinge tut

Als Antwort auf Ihre Netzwerkverbindung sollte Ihnen das Obige eine gute Vorstellung davon geben, was das Beste ist, aber meine Empfehlung wäre:

  • Server auf privater IP hinter Firewall/Router
  • Site-to-Site-Tunnel auf den Firewalls/Routern

Das ist so ziemlich alles, Arbeit erledigt! Das VPN kann etwas schwierig einzurichten sein, aber finden und befolgen Sie eine Anleitung und es sollte Ihnen gut gehen.