Je viens de mettre en place quelque chose de assez similaire il y a environ une heure. Windows Server 2008 R2 est une solution totalement viable pour ce que vous faites.

Je suis d'accord avec les commentaires précédents sur l'utilisation d'ISA pour le pare-feu. Le pare-feu Windows pourrait fonctionner mais il est assez basique et ne dispose pas d'IDS ou de filtrage. ISA est la solution à privilégier si vous le pouvez, sinon le pare-feu Windows est correct comme une étape intermédiaire.

Pour votre VPN, non, les DNS et le DHCP n'ont pas besoin d'être sur le même serveur que RRAS. Les DNS peuvent être n'importe où et le DHCP doit simplement être dans le sous-réseau interne.

Pour vos adresses IP internes, elles peuvent provenir du serveur pare-feu/routeur, donc la ligne en haut à gauche de votre schéma est en réalité une ligne à l'intérieur de la ligne verte. Utilisez le VPN pour vous connecter au serveur pare-feu/routeur/VPN qui attribuera une adresse IP interne.

Pour le serveur de base de données, donnez-lui simplement une adresse IP interne et il ne sera accessible que depuis l'intérieur.

Sur la carte réseau interne du serveur routeur, attribuez une adresse IP x.x.x.1 (par exemple 10.0.0.1) et utilisez-la comme passerelle pour votre carte réseau interne sur le serveur Web et pour votre serveur de base de données. Cela vous donnera le réseau interne et le routage.

De plus, si vous installez le serveur de passerelle RD, vous pourrez vous connecter en RDP à votre ordinateur interne depuis l'extérieur du réseau également.

Si vous êtes déterminé à utiliser un serveur Server2008 comme pare-feu, alors vous voudrez peut-être envisager d'utiliser ISA.

Pour être honnête, pourquoi ne pas opter pour un routeur d'entreprise de petite à moyenne gamme de Linksys. J'utilise le RV042 dans cette configuration exacte. J'ai une adresse IP qui est redirigée vers le serveur Web (en utilisant NAT) sur 80 et 443 et le routeur est également un serveur VPN en utilisant simplement le client VPN Windows. Cela coûte environ 200 $, puis votre serveur est en fait physiquement déconnecté d'Internet, ce qui signifie que si quelque chose arrive à être accidentellement désactivé dans le pare-feu logiciel du serveur, il ne sera pas exposé sur Internet.

Nous utilisons Kerio Winroute Firewall sur nos serveurs Windows. Il ne fait pas du tout de proxy inverse mais pour tout le reste, il est assez bien pris en charge avec des fonctionnalités. Nous l'utilisons depuis 8/9 ans à travers les différentes versions et actuellement c'est très bon. C'est aussi moins cher que ISA et beaucoup plus facile à configurer.

En ce qui concerne le proxy inverse, nous n'en avons pas encore besoin mais nous serions intéressés de savoir ce que vous faites à la fin si vous en avez besoin. Jusqu'à présent, nous avons contourné cela car nous disposons d'un bloc d'adresses IP que nous attribuons à différents serveurs internes.

N'hésitez pas à me le faire savoir si vous avez besoin d'aide pour le configurer.