Скажімо, є дві локації. Обидва місця мають свої швидкі інтернет-з'єднання. Як ви з'єднаєте ці дві мережі разом, щоб кожен комп'ютер міг бачити кожен інший комп'ютер?
Вам потрібен контролер домену, або ви можете це зробити з робочими групами?
Очевидним рішенням здається VPN, але чи VPN може бути реалізований лише на маршрутизаторах? Чи можуть комп'ютери в мережі бути без конфігурації?
Відповіді:
чи VPN може бути реалізований лише на маршрутизаторах? Чи можуть комп'ютери в мережі бути без конфігурації?
Так. Припускаючи розумні маршрутизатори та розумне розташування мережі. Якщо ваші веб-сайти мають спільний IP-діапазон (тобто всі вони використовують 192.168.0.0/24 і тому перекриваються), вам доведеться робити повний NAT і все стає брудно.
Якщо ви розмістили кожен сайт у своїй підмережі, то це просто, і ваші єдині міркування:
Стандартним рішенням є використання VPN між двома маршрутизаторами, і ви налаштовуєте маршрутизацію, щоб весь трафік LAN-LAN переходив через VPN.
Домени / робочі групи насправді взагалі не пов'язані. Більш релевантною інформацією буде те, який тип маршрутизаторів мають обидва сайти, і якщо вони можуть створити L2TP , PPTP або якийсь інший зашифрований тунель, або якщо вони мають стандартну ОС на зразок Linux, де можна встановити програмне забезпечення. Існує багато маршрутизаторів, які вже підтримують VPN-з'єднання. Навіть деякі домашні маршрутизатори можуть це зробити, якщо встановити власну прошивку. Ви можете створити VPN між вашими серверами, хоча отримання права маршрутизації може бути дещо складним.
Мені дуже подобається OpenVPN як рішення, якщо у мене є система, яка його підтримуватиме. Існує багато інших хороших VPN-рішень.
Очевидним рішенням здається VPN, але чи VPN може бути реалізований лише на маршрутизаторах? Чи можуть комп'ютери в мережі бути без конфігурації?
Це повністю залежить від того, який тип маршрутизатора у вас є. Якщо ваш маршрутизатор - це комп'ютер під управлінням Linux, то так. Якщо ваш маршрутизатор - це недорогий широкосмуговий маршрутизатор, можливо, ваше поточне обладнання може це зробити. Якщо ваше поточне обладнання не може цього зробити, ви, звичайно, можете придбати маршрутизатори, які будуть.
Клієнтам справді не потрібно нічого знати про VPN.
Хоча "відкриті" пропозиції чудові, якщо ви задаєте це питання, я гадаю, що ви навряд чи матимете успіх у їх здійсненні.
Збережіть собі багато проблем і підберіть два маршрутизатори з можливостями VPN від такого постачальника, як Linksys, Netgear, D-Link або навіть Sonicwall. Їх дуже просто налаштувати і надійно з'єднати дві мережі.
Коли це буде зроблено, чи комп’ютери "бачать" один одного, дуже залежить від запущеної мережі та того, як цей трафік проходить через VPN. Робочі групи Windows - це системи, засновані на широкомовному мовленні, які можуть перешкоджати "мережевому сусідству", що показує всі системи Використання файлів "lmhosts" може допомогти у вирішенні імен. Зазвичай для цього використовують домени разом із трастами між доменами, якщо вони різні. Маючи центральну реєстрацію для комп'ютерів (Active Directory та DNS), вони можуть «знайти» один одного, не налаштовуючи роздільну здатність імен на кожній машині.
OpenBSD та IPSEC. Використовуйте сервер OpenBSD на відповідних кінцях посилання, щоб діяти як шлюз IPSEC. Це дуже просто налаштувати.
У нас є точний сценарій з 4-х сайтів по всій Великобританії.
На кожному сайті є пристрій draytek VPN, який становить кілька сотень.
Всі вони з'єднані між собою VPN, і це працює як шарм.
VPN тунелі. Я віддаю перевагу апаратному VPN, це на рівні маршрутизатора. Там багато - від дуже дешевих до дуже дорогих. З дешевого боку є Linksys, DLINK, а з іншого боку - у вас Cisco, sonicwall та інші.
Дорогі маршрутизатори дозволяють отримати більше конфігурацій для маршрутизації тощо.
Ось і улов ... ваш VPN є настільки ж ефективним, як лінії, що підтримують тунелі, ради небес, будь ласка, не намагайтеся завантажувати групову політику від контролера домену до клієнта на півдорозі по всьому світу по лінії 512 КБ. .
Спробуйте також контролювати ваш трансляційний трафік по всій мережі, якщо на обох сайтах будуть різні підмережі.
Щасти!
Під час налаштування VPN-з'єднання, ймовірно, потрібно мати кожне місцеположення зі своєю підмережею, щоб обмежити широкомовний домен. Навіщо засмічувати обмежене пропускну здатність зв'язку стороннім трафіком?
Ваші маршрутизатори / vpn пристрої повинні мати маршрути до інших місць, просто встановіть локальні DNS-сервери для адреси машин на іншій стороні.
Така конфігурація використовується роками.
Встановіть VPN між сайтами. Потім увімкніть динамічний протокол маршрутизації для обміну інформацією про мережу між сайтами.
На мій досвід, маршрутизатори матимуть між собою якусь віртуальну зв'язок «точка-точка», можливо, тунель GRE або L2TP. Протоколи динамічної маршрутизації трактують це посилання, як і будь-який інший інтерфейс.
З конфігурацією VPN є певні проблеми з конфігурацією постачальника / впровадження - ознайомтеся з документацією, організацією підтримки постачальника або опишіть, які продукти ви використовуєте.
Один ключовий момент, що стосується дизайну мережі - потрібно розглядати всі сайти як частину однієї великої мережі. Наприклад, ви не можете налаштувати всі віддалені сайти на підмережу 192.168.1.0. Швидше за все, вам може вдатися до такого кошмару для роботи з NAT і з дуже складною конфігурацією маршрутизації, але так набагато простіше проектувати всі сайти, як частина одного мережевого простору.
Якщо маршрутизатори, що підключають WAN, на обох сайтах підтримують це, VPN IPSEC звучить як розумний варіант. Крім того, брандмауер або виділений VPN-термінал (і, можливо, статична маршрутизація) повинні зробити його прозорим для окремих комп'ютерів, які ви перетягуєте пакети через VP {N.
Є багато хороших VPN-рішень, але іноді потрібно щось швидке і брудне. Ви можете налаштувати VPN за допомогою PPP через SSH . Це рішення має безліч недоліків, але перевага полягає в тому, що йому не потрібні спеціальні інструменти чи програми, а лише стандартні ssh та ppp. Можливо, він може працювати і в Windows, трохи підкоригувавшись.
Як щодо KIV-21? Це автономний мережевий інкриптор. Ви кладете по одній у кожну мережу, і все між двома мережами шифрується.
Однак
http: // gateway.viasat.com/_files/KIV_21_01.pdf
Очевидним рішенням здається VPN, але чи VPN може бути реалізований лише на маршрутизаторах?
Це залежить від ваших маршрутизаторів. Багато маршрутизаторів низького / середнього діапазону здатні виступати VPN-сервером / клієнтами. Якщо ваш маршрутизатор є деяким полем Unix, налаштування OpenVPN на них не повинно бути занадто важким .
Якщо на ваших комп'ютерах працює ОС Windows, можливо, вам потрібно налаштувати сервер WINS на кожному сайті. Знову в коробці Unix можна було робити речі за допомогою Samba .