StefanWe 14 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Hallo, ich beschäftige mich zur Zeit mit dem Load Balancing von Direct Access (Windows 2012 R2) und der Veröffentlichung ins Internet. So wie ich das derzeit gelesen habe, möchte ich IP-HTTPS als Technologie nutzen. In meinen Gedanken würde sich das ganze in etwa so wiederspiegeln Externer Client greift auf einen entry Point da.company.de zu, in der DMZ steht ein Load Balancer, welcher SSL_Bridge, oder SSL_Offload macht, dieser nimmt die Verbindung über TCP/443 an und reicht sie an den internen (LAN) Load Balancer weiter. Der interne Load Balancer stellt die virtuelle IP zur Verfügung, welche im DA Wizard im Bereich "externer Loadbalancer" konfiguriert wurde. Die DA Server sind im LAN platziert und mit nur einer Netzwerkkarte/IP versehen. Das Device in der DMZ könnte auch ein NAT Device sein?! Ist das so korrekt, oder habe ich da etwas falsch verstanden? Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Schau mal bei KEMP, da gibt's zu dem Thema ein whitepaper. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. August 2016 Autor Melden Teilen Geschrieben 10. August 2016 ja, habe da auch schon einiges gefunden. Allerdings was ich dazu immer sehe, ist dass nur ein Load Balancer in der DMZ sowohl als SSL Offloader, als auch Load Balancer verwendet wird. Was ich mich dann nur frage, was ist mit der WebProbe? Soll diese dann auf die geloadbalancte IP in der DMZ zeigen? Find ich irgendwie nicht so klug. Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Die sollte intern redundant vorhanden sein. Ob per round Robin oder lb ist bei dem Ding ja nun egal. ;) letzteres technisch natürlich schöner. Warum willst du die loadbalancer in die dmz stellen? Bringt kaum Vorteile würde ich sagen. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. August 2016 Autor Melden Teilen Geschrieben 10. August 2016 Warum willst du die loadbalancer in die dmz stellen? Bringt kaum Vorteile würde ich sagen. Möchte ich ja gar nicht. Nur macht KEMP das scheinbar so. Mein Vorhaben, oder Verständnis ist, dass ich einen Load Balancer im LAN vor die beiden DA setzen. Und mit einem zweiten in der DMZ eben nur das SSL_Offloading vornehme und dieser den Traffic an den internen Load Balancer weiterleite. Nur leider finde ich nirgends ein Diagramm, was den Flow so auch bestätigt. Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Wozu offloading? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. August 2016 Autor Melden Teilen Geschrieben 10. August 2016 Wozu offloading? Ggf. Pre Authentication der Computerzertifikate. Ich könnte auch SSL_Bridge machen, was ja einem Natting gleich kommt. Oder hab ich einen Gedankenfehler ? Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Pre-auth für Zertifikate? Wozu? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. August 2016 Autor Melden Teilen Geschrieben 10. August 2016 Um in der DMZ schon nicht berechtigte Clients / Angriffe abzuwehren. Ich stell die Frage mal anders: Würdest du nur ein Natting der öffentlichten IP auf die interne Load Balancer IP machen ? Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Wie sollen denn nicht berechtigte Zertifikate sonst Zugriff bekommen? Dazu brauch ich in dem Szenario echt kein pre-auth. und ja nat kann man machen und hab ich auch im Einsatz. Ob es für dich passt, muss man sehen. Das kommt auf Vorgaben und Anforderungen an. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. August 2016 Autor Melden Teilen Geschrieben 10. August 2016 Was nutzt du als Alternative? SSL_Bridge ? Aber der von mir gedachte Weg ist schon der richtige ? Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 10. August 2016 Melden Teilen Geschrieben 10. August 2016 Was heißt schon "der richtige"? Es ist eine Möglichkeit. Ob Ichs besonders kompliziert und sicher umsetzen muss oder nicht, ergibt sich woraus? ;) Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. August 2016 Autor Melden Teilen Geschrieben 10. August 2016 Der Anforderung... :D Danke dir. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. August 2016 Melden Teilen Geschrieben 12. August 2016 Das Standardverfahren bei uns besteht aus zwei haproxys im ha-cluster. Ist es möglich den Zieldienst auch unverschlüsselt zu erreichen terminieren wir ssl am haproxy, ist das nicht möglich leiten wir nur durch. Durch die Platzierung der LBs in der DMZ ist eine halbwegs saubere steuerung des Traffics zwischen DMZ und internen Netz möglich. Man muss aber unter Umständen aufpassen: Ssl braucht Zufall. Der Loadbalancer hat nur eine begrenzte Menge an Zufall schnell zur Verfügung. Bei wirklich hochfrequentierten Diensten kann es hier eng werden. Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 12. August 2016 Melden Teilen Geschrieben 12. August 2016 Wir haben zusätzlich oft noch die Anforderung, auch bei Terminierung an/in der DMZ zu prüfen, ob eine Multifaktoroption vorhanden ist und integriert werden kann. Für DA natürlich irgendwie ziemlich unpraktisch. :) Um die Frage zu beantworten, in meinem Umfeld ist die DA Anforderung nicht so hoch, als dass ich da Loadbalancer derzeit im Einsatz hätte. Sprich da steht genau ein DA Server per SSL über die Sophos veröffentlicht. der NLS ist allerdings redundant vorhanden, denn den merkt man im Zweifel schmerzhaft im internen Umfeld, wenn er mal weg ist. :) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.