我们目前将所有电子邮件存储在我们内部网络的 Dovecot IMAP 服务器上。网络上的客户端机器能够连接和访问他们的电子邮件。
现在我们希望允许某些用户能够使用 IMAP 从外部连接并查看他们的电子邮件。我们目前有一个带有专用(未使用)DMZ 端口的防火墙/路由器。在我看来,我们有两种选择:
有没有人对这两种方法的优点有任何建议/意见?
我发现很难想到在三足防火墙的 DMZ 中拥有额外的反向代理有什么读取优势,因为无论如何它几乎只是有效地进行端口转发。......或者我错过了什么?
我正在尝试使用 OpenSwan 与 FortiGate 路由器建立 IPsec 连接。FortiGate 位于两个不同的子网中,我需要访问这两个子网。在 FortiGate 中,我定义了一个阶段 1 连接和一个阶段 2 连接。这使我能够成功连接到其中一个子网。
我需要能够同时访问两个子网。公认的智慧似乎是在 OpenSwan 中创建两个单独的连接(每个子网一个),并且在建立附加连接时,它将自动尝试重用现有的第 1 阶段隧道(在为附加连接创建新的第 2 阶段隧道时)。
当我启动这两个连接时,根据日志,OpenSwan 似乎陷入了尝试依次重新协商每个连接的连续循环中(我每次只能 ping 一个子网)。我猜测这是因为 FortiGate 在尝试新连接时会断开现有连接。
我有以下问题:
我应该如何配置 FortiGate 以允许来自同一 IPsec 启动器的两个并发连接(每个子网一个连接)?这可能吗?(文档对此似乎有点含糊。)
我是否需要专门将 FortiGate 中的第 2 阶段连接关联到特定子网,如果是这样,我该如何执行此操作?
在同一端点之间建立多个 IPsec VPN 连接时是否存在任何问题/陷阱?