Diciamo che ci sono due posizioni. Entrambe le sedi hanno le proprie connessioni Internet veloci. Come si uniscono queste due reti in modo tale che ogni computer possa vedere ogni altro computer?
Hai bisogno di un controller di dominio o puoi farlo con gruppi di lavoro?
La soluzione ovvia sembra essere la VPN, ma la VPN può essere implementata solo sui router? I computer in rete possono essere senza configurazione?
Risposte:
la VPN può essere implementata solo sui router? I computer in rete possono essere liberi da configurazione?
Sì. Supponendo router ragionevoli e un layout di rete ragionevole. Se i tuoi siti condividono tutti lo stesso intervallo IP (ovvero utilizzano tutti 192.168.0.0/24 e quindi si sovrappongono), dovrai eseguire il NAT completo e le cose diventeranno confuse.
Se hai eseguito il provisioning di ciascun sito nella sua sottorete, questo è semplice e le tue uniche considerazioni sono:
La soluzione standard è utilizzare una VPN tra due router e regolare il routing in modo che tutto il traffico LAN-LAN attraversi la VPN.
Domini / gruppi di lavoro in realtà non sono affatto collegati. Un po 'più rilevante di informazioni sarebbe quale tipo di router hanno entrambi i siti e se possono creare L2TP , PPTP o qualche altro tunnel crittografato o se stanno eseguendo un sistema operativo standard come Linux dove è possibile installare software. Esistono molti router che supportano già le connessioni VPN. Anche alcuni router domestici possono farlo se si installa un firmware personalizzato. Puoi creare una VPN tra i tuoi server, anche se ottenere il routing corretto potrebbe essere un po 'complicato.
Mi piace molto OpenVPN come soluzione se ho un sistema che lo supporterà. Esistono molte altre buone soluzioni VPN.
La soluzione ovvia sembra essere la VPN, ma la VPN può essere implementata solo sui router? I computer in rete possono essere senza configurazione?
Questi dipendono completamente dal tipo di router che hai. Se il tuo router è un computer con Linux, sì. Se il tuo router è un router a banda larga economico, forse l'hardware attuale può farlo. Se il tuo hardware attuale non può farlo, puoi sicuramente comprare router che lo farà.
I client non dovrebbero davvero avere bisogno di sapere nulla sulla VPN.
Mentre i suggerimenti "aperti" sono fantastici, se stai ponendo questa domanda, la mia ipotesi è che difficilmente riuscirai ad implementarli con successo.
Salva te stesso un sacco di problemi e prendi due router con funzionalità VPN da un fornitore come Linksys, Netgear, D-Link o persino Sonicwall. Sono molto facili da configurare e collegheranno due reti in modo sicuro.
Una volta fatto, il fatto che i computer si "vedano" reciprocamente dipende molto dalla rete in esecuzione e da come passa il traffico sulla VPN. I gruppi di lavoro Windows sono sistemi basati su broadcast che possono interferire con il "vicinato di rete" che mostra tutti i sistemi. L'uso di file "lmhosts" può aiutare con la risoluzione dei nomi. Questo è in genere ciò per cui vengono utilizzati i domini insieme ai trust tra domini se diversi. Avendo una registrazione centrale per computer (Active Directory e DNS), sono in grado di "trovarsi" l'un l'altro senza configurare la risoluzione dei nomi su ogni macchina.
OpenBSD e IPSEC. Utilizzare un server OpenBSD alle rispettive estremità del collegamento per fungere da gateway IPSEC. È molto facile da configurare.
Abbiamo questo scenario esatto con 4 siti in tutto il Regno Unito.
Ogni sito ha un dispositivo VPN draytek che sono poche centinaia di sterline.
Sono tutti collegati tra loro tramite VPN e funziona come un fascino.
Tunnel VPN. Preferisco VPN basate su hardware, questo è a livello di router. Ci sono molti là fuori da molto economici a molto costosi. Sul lato economico c'è Linksys, DLINK e sull'altro lato c'è Cisco, Sonicwall e altri.
I router costosi consentono più configurazioni per il routing e così via.
Ecco il trucco ... la tua VPN è efficiente solo quanto le linee che supportano i tunnel, per l'amor del cielo, per favore non provare a caricare i criteri di gruppo da un controller di dominio fino a un client a metà del mondo su una linea da 512 KB .
Prova anche a controllare il traffico di trasmissione attraverso la rete se entrambi i siti avranno sottoreti diverse.
In bocca al lupo!
Quando si configura una connessione VPN, probabilmente si desidera avere ogni posizione con la propria sottorete per limitare il dominio di trasmissione. Perché ostruire la connessione a larghezza di banda limitata con traffico estraneo?
I tuoi dispositivi router / vpn dovrebbero avere rotte verso le altre posizioni, basta impostare i server DNS locali per indirizzare le macchine dall'altra parte.
Questo tipo di configurazione è stata utilizzata per anni.
Stabilire VPN tra siti. Quindi abilitare un protocollo di routing dinamico per condividere le informazioni di rete tra i siti.
Nella mia esperienza, i router avranno una sorta di collegamento Point-to-Point virtuale tra loro, forse un tunnel GRE o L2TP. I protocolli di routing dinamico trattano questo collegamento come qualsiasi altra interfaccia.
Esistono alcuni problemi di configurazione specifici del fornitore / implementazione con la configurazione VPN: consultare la documentazione, l'organizzazione di supporto del fornitore o descrivere quali prodotti si stanno utilizzando.
Un punto chiave relativo alla progettazione della rete: è necessario trattare tutti i siti come parte di un'unica grande rete. Ad esempio, non è possibile configurare tutti i siti remoti per avere una sottorete 192.168.1.0. Piuttosto, potresti essere in grado di ottenere un tale incubo per lavorare con NAT e con una configurazione di routing molto contorta, ma è molto più facile progettare tutti i siti come parte di uno spazio di rete.
Se i router con connessione WAN su entrambi i siti lo supportano, una VPN IPSEC sembra l'opzione sensata. In alternativa, un firewall o una scatola di terminazione VPN dedicata (e possibilmente del routing statico) dovrebbero rendere trasparente ai singoli computer che stai trasportando i pacchetti attraverso un VP {N.
Ci sono molte buone soluzioni VPN là fuori, ma a volte hai bisogno di qualcosa di veloce e sporco. Puoi configurare una VPN usando PPP su SSH . Questa soluzione presenta molti inconvenienti, ma il vantaggio è che non ha bisogno di strumenti o programmi speciali, solo standard ssh e ppp. Probabilmente potrebbe funzionare anche su Windows con una piccola modifica.
Che ne dici di un KIV-21? È un incryptor di rete autonomo. Ne metti uno su ogni rete e tutto tra le due reti viene crittografato.
tuttavia
http: // gateway.viasat.com/_files/KIV_21_01.pdf
La soluzione ovvia sembra essere la VPN, ma la VPN può essere implementata solo sui router?
Dipende da quali sono i tuoi router. Molti router di fascia medio / bassa sono in grado di fungere da server / client VPN. Se il tuo router è un box Unix, non dovrebbe essere troppo difficile configurare OpenVPN su di essi.
Se i computer eseguono Windows, è possibile configurare un server WINS su ciascun sito. Ancora una volta, una scatola Unix potrebbe fare le cose usando Samba .