如何規畫兩岸VPN？

如何規畫兩岸VPN？
到iT邦幫忙

allen1975（iT邦初學者10級）發問：
公司位於大陸的據點，是透過VPN連回臺北使用郵件伺服器。而且目前郵件伺服器是置於內網，但基於安全考量，廠商建議將郵件伺服器放在DMZ。如此一來，郵件伺服器就須改成外部IP。這樣子VPN應該怎麼規畫比較好？

timlai0404（iT邦初學者9級）：
做法大概有下列三種方式：
1.分公司的郵件一律經VPN回到臺北郵件伺服器，再收送信。優點是Anti Spam及郵件記錄只在臺北總部安裝即可，並可有效管制內容，公司內部郵件也由VPN保護。

這種做法的缺點是因為VPN加密，所以網路負載較重，而且臺北單點故障會影響分公司的運作。

2.分公司的郵件伺服器直接對外（置於DMZ），對總部一律視為對外郵件。優點是不會因為任一單點故障造成全部停線，傳送的也不是VPN封包，對網路負載較輕。未來如果有新的據點加入，一律視為單點處理，作法單純。

缺點則是對外無加密封包，各點的維護人員亦需有基本郵件管理能力，Spam及郵件記錄需由各點自管，所以成本較高。若人員素質差，更易發生資料外流事件。

3.混合型。郵件伺服器的路由設二段：若為公司內部郵件走VPN，對外直接由各點自行出去（伺服器置於防火牆內，設好NAT）。

yyliu（iT邦初學者8級）：
我的公司也是將郵件伺服器架設在192.168.1.*上，還有網頁和DNS等服務在同臺主機上，並透過NAT將對應的25、53、80、110等埠，對應到外部去。

最近將兩地的網路串起VPN模式，郵件收發就使用VPN，寄信應可避免郵件明碼傳遞被攔截。存取兩地資料，要用外部IP或192.168.1.*皆可。

glennlin（iT邦初學者4級）：
因為VPN的頻寬貴，所以全靠它來收送郵件是蠻不划算的，但站在安全性的考量上，經由網際網路存取當然是有風險。所以：

1.如果需要安全又要省錢，可以請ISP對郵件服務執行頻寬限流的設定，這樣一來還能保證自家VPN的頻寬，不會讓流量全被郵件占住。

2.如果需要速度快，加上雙重備援的需求，可以考慮將郵件伺服器設定對外，但是要記得限制可連入使用的IP網段，減少被其他來源攻擊。