<p>David,</p>
<p>You're asking a bunch of unrelated questions that would take days explaining, so lets just concentrate on the firewall piece since you say it's dying.&nbsp; The answer is simple.&nbsp; Buy an expensive commercial one and be limited in functionality and tied to licenses, with the benefit of [theoretically] quick commercial support and stability.&nbsp; Or, build one from scratch that's catered to your needs and can be easily and cheaply extended in the future ... at the substantial cost of in-house knowledge.&nbsp; As another poster mentioned, look at Vyatta.&nbsp; Runs on commodity hardware, gives you VRRP capabilities for failover between devices, openvpn client/server integration, built in IDS/IPS using snort, IPV6 capable, Webgui management interface and/or CLI, has a free community edition and/or licensed with paid support.&nbsp; Best of both worlds.</p>
<p>Openvpn and AD integration?&nbsp; Possible?&nbsp; Yes.&nbsp; Easy and Free?&nbsp; No.</p>
<p>At the end of the day, what is your skillset and your ability?&nbsp; If you can get all this working in short order and easily maintain it, document it, and easily pass it on to another linux admin should you die or leave the company, then by all means build your own.&nbsp; If you've never heard of VRRP, CARP, or don't have a sound understand of routing and VPN's, then let your boss by the expensive one.&nbsp; It's not your money and doesn't set you up for failure.</p>
<p>Regards,<br />Ken</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>On Thu, 5 May 2011 13:36:26 -0400, David Hillman wrote:</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px; width:100%"><!-- html ignored --><!-- head ignored --><!-- meta ignored -->
<p>Our firewall is close to dead. &nbsp;My boss wants to buy an expensive one. &nbsp;I think it's better to build. &nbsp;We had problems extending the old firewall, plus it would give us a chance to actually have OpenVPN on the firewall box itself. &nbsp;The trouble is figuring out how to get to a working solution that's flexible and affordable. &nbsp;Should we go with a trihomed solution? &nbsp;Should OpenVPN then listen on all interfaces, or just the external one? &nbsp;How does this all fit in with our Active Directory and DNS server? &nbsp;Can OpenVPN easily deal with Active Directory? &nbsp;How should packets be routed from the VPN connection to the internal network and to the DMZ? &nbsp;Should we go with a powerful little box that has iptables on the hardware and something like Virtualbox + PHPVirtualbox for everything else? &nbsp;By the way, we were using a Secure Computing box before.</p>
<div></div>
<div>The AD box can then be virtualized and consolidated inside the one physical box. &nbsp;Our web box (virtualized) and file server box would still stay separate. &nbsp;Then, how do we tie the virtualized AD service back into the LAN? &nbsp;Through the internal network interface via virtual switch? &nbsp;What are the chances of the firewall box failing? &nbsp;Of course, we were thinking of a Mini-ITX board with Intel Atom (no fans) and RAID 1 SSD drives. &nbsp;Are there any good books dealing with issues like these? &nbsp;I can understand buying to save time, but how many headaches do you have to put up with down the road</div>
</blockquote>