VPN連回臺灣該如何規畫？

VPN連回臺灣該如何規畫？
到iT邦幫忙

allen1975（iT邦初學者10級）發問：

公司位於大陸的據點，是透過VPN連回臺北使用郵件伺服器。而且目前郵件伺服器是置於內網，但基於安全考量，廠商建議將郵件伺服器放在DMZ。如此一來，郵件伺服器就須改成外部IP。這樣子VPN應該怎麼規畫比較好。

timlai0404（iT邦初學者10級）：
做法大概有下列三種方式：
1. 分公司的郵件一律經VPN回到臺北郵件伺服器，再收送信。優點是Anti Spam及郵件記錄只在臺北總部安裝即可，並可有效管制內容，公司內部郵件也由VPN保護。

這種做法的缺點是因為VPN加密，網路負載較重，而且臺北單點故障會影響分公司的運作。

如果保密是重要的考量，而且分公司數不多，就可以這樣做。

2. 分公司的郵件伺服器直接對外（置於DMZ），對總部一律視為對外郵件。優點是不會因為任一單點故障造成全部停線，傳送的也不是VPN封包，對網路負載較輕。未來如果有新的據點加入，一律視為單點處理，作法單純。

缺點則是對外無加密封包，各點的維護人員亦需有基本郵件管理能力，Spam及郵件記錄需由各點自管，成本較高，若人員素質差，更易發生資料外流事件。
如果各點的信件要穩定對外收送，或是分公司數太多，就可以考慮使用這種方式。

3. 混合型。郵件伺服器的路由設二段，若為公司內部郵件走VPN，對外直接由各點自行出去（伺服器置於防火牆內，設好NAT）。

yyliu（iT邦初學者9級）：
我的公司也是將郵件伺服器架設在192.168.1.*上，還有網頁和DNS等服務都設在同臺主機上，並透過NAT將對應的25、53、80、110等埠對應到外部去。

最近將兩地的網路串起VPN模式，郵件收發就使用VPN，寄信應可避免郵件明碼傳遞被攔截。存取兩地資料，要用外部IP或192.168.1.*皆可。

至於安全性，我想再好的設計都可能有漏洞，還是盡量做好權限管控、作業系統與病毒碼更新，比較實在。

glennlin（iT邦初學者5級）：
因為VPN的頻寬貴，所以全靠它來收送郵件是蠻不划算的，但直接經由網際網路存取當然是有風險。所以：
1， 如果需要安全又要省錢，可以請ISP對郵件服務執行頻寬限流的設定，這樣一來還能保證自家VPN的頻寬，不會讓流量全被郵件占住。

2， 如果需要速度快，加上雙重備援的需求，可以考慮將郵件伺服器設定對外，但是要記得限制可連入使用的IP網段，減少被其他來源攻擊。