Powiedzmy, że są dwie lokalizacje. Obie lokalizacje mają własne szybkie połączenia internetowe. Jak połączyć te dwie sieci razem, aby każdy komputer widział każdy inny komputer?
Potrzebujesz kontrolera domeny, czy możesz to zrobić z grupami roboczymi?
Oczywistym rozwiązaniem wydaje się być VPN, ale czy VPN można wdrożyć tylko na routerach? Czy komputery w sieci mogą być wolne od konfiguracji?
Odpowiedzi:
czy VPN można wdrożyć tylko na routerach? Czy komputery w sieci mogą być wolne od konfiguracji?
Tak. Zakładając rozsądne routery i rozsądny układ sieci. Jeśli wszystkie witryny mają ten sam zakres adresów IP (tj. Wszystkie używają 192.168.0.0/24, a zatem nakładają się), musisz wykonać pełny NAT i wszystko się popsuć.
Jeśli zainicjowano obsługę każdej witryny we własnej podsieci, jest to proste, a jedynymi kwestiami do rozważenia są:
Standardowym rozwiązaniem jest użycie połączenia VPN między dwoma routerami, a Ty dostosujesz routing, aby cały ruch LAN-to-LAN przecinał VPN.
Domeny / grupy robocze wcale nie są ze sobą powiązane. Bardziej istotną informacją byłby typ routerów, które mają obie strony, i czy mogą one tworzyć L2TP , PPTP lub jakiś inny zaszyfrowany tunel, lub jeśli działają na standardowym systemie operacyjnym, takim jak Linux, na którym można zainstalować oprogramowanie. Istnieje wiele routerów, które już obsługują połączenia VPN. Nawet niektóre routery domowe mogą to zrobić, jeśli zainstalujesz niestandardowe oprogramowanie układowe. Możesz utworzyć VPN między swoimi serwerami, choć prawidłowe rutowanie może być nieco trudne.
Naprawdę podoba mi się OpenVPN jako rozwiązanie, jeśli mam system, który będzie go obsługiwał. Istnieje wiele innych dobrych rozwiązań VPN.
Oczywistym rozwiązaniem wydaje się być VPN, ale czy VPN można wdrożyć tylko na routerach? Czy komputery w sieci mogą być wolne od konfiguracji?
Zależy to całkowicie od rodzaju posiadanego routera. Jeśli twój router to komputer z systemem Linux, to tak. Jeśli router jest niedrogim routerem szerokopasmowym, być może obecny sprzęt może to zrobić. Jeśli twój obecny sprzęt nie może tego zrobić, na pewno możesz kupić routery, które to zrobią.
Klienci naprawdę nie powinni wiedzieć o VPN.
Chociaż „otwarte” sugestie są świetne, jeśli zadajesz to pytanie, domyślam się, że ich wdrożenie jest mało prawdopodobne.
Zaoszczędź sobie dużo kłopotów i wybierz dwa routery z funkcjami VPN od dostawcy takiego jak Linksys, Netgear, D-Link, a nawet Sonicwall. Są bardzo łatwe w konfiguracji i bezpiecznie połączą dwie sieci.
Gdy to zrobisz, to, czy komputery się „zobaczą”, jest bardzo zależne od uruchomionej sieci i tego, jak ruch ten przechodzi przez VPN. Grupy robocze Windows to systemy oparte na transmisji, które mogą zakłócać „sąsiedztwo sieciowe” pokazujące wszystkie systemy. Korzystanie z plików „lmhosts” może pomóc w rozpoznawaniu nazw. Do tego zwykle wykorzystywane są domeny wraz z zaufaniami między domenami, jeśli są one różne. Dzięki centralnej rejestracji komputerów (Active Directory i DNS), są oni w stanie „znaleźć” siebie bez konfigurowania rozpoznawania nazw na każdym komputerze.
OpenBSD i IPSEC. Użyj serwera OpenBSD na odpowiednich końcach łącza, aby działać jako brama IPSEC. Jest bardzo łatwy w konfiguracji.
Mamy dokładnie ten scenariusz z 4 lokalizacjami w Wielkiej Brytanii.
Każda strona ma urządzenie VPN draytek, które kosztuje kilkaset funtów.
Wszystkie są połączone ze sobą przez VPN i działa jak urok.
Tunele VPN. Wolę sprzętową sieć VPN, na poziomie routera. Jest ich wiele, od bardzo tanich po bardzo drogie. Po taniej stronie jest Linksys, DLINK, a po drugiej - Cisco, Sonicwall i inne.
Drogie routery pozwalają na więcej konfiguracji routingu i tak dalej.
Oto haczyk ... twoja sieć VPN jest tak wydajna jak linie obsługujące tunele, na litość boską, nie próbuj ładować zasad grupy od kontrolera domeny do klienta w połowie świata na linii 512 KB .
Spróbuj także kontrolować ruch rozgłoszeniowy w sieci, jeśli obie witryny będą miały różne podsieci.
Powodzenia!
Podczas konfigurowania połączenia VPN prawdopodobnie chcesz mieć każdą lokalizację z własną podsiecią, aby ograniczyć domenę emisji. Po co blokować ograniczone połączenie z zewnętrznym ruchem?
Router / urządzenia VPN powinny mieć trasy do innych lokalizacji, wystarczy skonfigurować lokalne serwery DNS, aby adresowały maszyny po „drugiej” stronie.
Tego rodzaju konfiguracja jest używana od lat.
Ustanów VPN między stronami. Następnie włącz dynamiczny protokół routingu, aby udostępniać informacje sieciowe między lokacjami.
Z mojego doświadczenia wynika, że routery będą miały między sobą jakieś wirtualne połączenie typu punkt-punkt, być może tunel GRE lub L2TP. Dynamiczne protokoły routingu traktują to łącze jak każdy inny interfejs.
Istnieją pewne problemy z konfiguracją VPN specyficzne dla dostawcy / implementacji - zapoznaj się z dokumentacją, organizacją wsparcia dostawcy lub opisz, jakich produktów używasz.
Jedna kluczowa kwestia związana z projektowaniem sieci - musisz traktować wszystkie witryny jako część jednej dużej sieci. Na przykład nie można skonfigurować wszystkich zdalnych witryn, aby miały podsieć 192.168.1.0. Być może uda ci się zmusić takiego koszmaru do pracy z NAT i przy bardzo skomplikowanej konfiguracji routingu, ale o wiele łatwiej jest zaprojektować wszystkie witryny jako część jednej przestrzeni sieciowej.
Jeśli routery łączące WAN w obu witrynach obsługują to, VPN IPSEC wydaje się rozsądną opcją. Alternatywnie, zapora ogniowa lub dedykowane pole terminacji VPN (i ewentualnie niektóre rutowanie statyczne) powinny sprawić, że będzie przezroczyste dla poszczególnych komputerów, że przenosisz pakiety przez VP {N.
Istnieje wiele dobrych rozwiązań VPN, ale czasami potrzebujesz czegoś szybkiego i brudnego. Możesz skonfigurować VPN za pomocą PPP przez SSH . To rozwiązanie ma wiele wad, ale zaletą jest to, że nie wymaga specjalnych narzędzi ani programów, a jedynie standardowe ssh i ppp. Prawdopodobnie mógłby działać również w systemie Windows z niewielkimi poprawkami.
Co powiesz na KIV-21? Jest to samodzielny incryptor sieciowy. Umieszczasz po jednej w każdej sieci, a wszystko między dwiema sieciami jest szyfrowane.
jednak
http: // gateway.viasat.com/_files/KIV_21_01.pdf
Oczywistym rozwiązaniem wydaje się być VPN, ale czy VPN można wdrożyć tylko na routerach?
To zależy od twoich routerów. Wiele routerów niskiego / średniego zasięgu może działać jako serwer / klient VPN. Jeśli twój router ma jakieś uniksowe urządzenie, konfiguracja OpenVPN na nim nie powinna być trudna .
Jeśli na komputerach jest zainstalowany system Windows, możesz skonfigurować serwer WINS w każdej witrynie. Ponownie, system Unix może robić rzeczy przy użyciu Samby .