VPN "сайт-сайт" с использованием RRAS из ненадежной сети?

Question

VPN "сайт-сайт" с использованием RRAS из ненадежной сети?

Наш удаленный офис переедет в новое пространство, где будет предоставлен интернет. Они будут за маршрутизатором, выполняющим NAT (у меня нет прав администратора на этот маршрутизатор). Они будут делиться принтером с другими людьми в локальной сети, но им потребуется VPN к нашей сети для обмена электронной почтой и файлами.

Я думал просто о том, чтобы они запускали Windows VPN-клиент и подключались через PPTP, как они делают, когда они находятся за пределами площадки, но я читал, что несколько соединений PPTP с одного адреса NAT на один и тот же пункт назначения не работают или вообще.

Я думаю, что нужен какой-то тип VPN-соединения, поэтому существует только один туннель. Могу ли я просто подключить VPN-шлюз, настроить его для подключения к нашему серверу RRAS/PPTP и использовать его в качестве шлюза по умолчанию? Возможно, даже использовать локальный шлюз по умолчанию для интернет-трафика. Если да, какой VPN-шлюз / устройство рекомендуется для этого?

Или другие решения? Благодарю.

1

site-to-site-vpn

Источник

DrZaiusApeLord 17 май '10 в 16:01

1 ответ

Решение

Другие вопросы по тегам site-to-site-vpn

gravyface 17 май '10 в 17:41 2010-05-17 17:41 · Accepted Answer · 2010-05-17 17:41

Есть ли шанс, что они смогут настроить VLAN для вашего офиса? Поскольку им требуется только очень незначительная маршрутизация между VLAN (VLAN 1 - это сеть вашего удаленного офиса, а VLAN 2 - это другой офис, с которым вы делитесь), конфигурация VLAN "роутер-на-флешке" будет работать хорошо (это только когда вы Вы интенсивно маршрутизируете между виртуальными локальными сетями, которые бы вы хотели, чтобы реальные маршрутизаторы ядра 3 уровня выполняли маршрутизацию).

Имея две изолированные VLAN с топологией "маршрутизатор на палочке", вы можете настроить правила межсетевого экрана между двумя организациями, как вам удобно: обе могут даже запускать свои собственные DHCP-серверы, и обе могут (и должны) находиться в отдельных подсетях., Имея это в виду, вы можете создать VPN-туннель между сайтами от самого края в качестве конечной точки и установить надлежащие правила брандмауэра, чтобы разрешить доступ к нему только для VLAN вашей организации.

Если вы не можете этого сделать, нет никаких причин, по которым вы не могли бы использовать двойной NAT - просто поместите свои две удаленные машины за приличный маршрутизатор брандмауэра, который может выполнять VPN-подключения IPSec/OpenVPN "клиент-сайт" (pfSense в ALIX). будет отлично работать * (см.NETgate.com), так что ваша сторона "WAN" брандмауэра получает IP-адрес локальной сети из общей сети и, таким образом, может маршрутизировать любые исходящие соединения (через "первый NAT") для принтеров и т. д. Интернет доступ становится двойным NAT. Только с двумя машинами производительность должна быть приемлемой, но, очевидно, сначала проверьте ее. Это изолирует / защитит ваши рабочие станции от их сети точно так же, как это делает брандмауэр / маршрутизатор в обычном сценарии глобальной сети (хотя ничего не делает для защиты их рабочих станций от ваших в случае вирусной эпидемии, взлома и т. Д.).

* С pfSense он может функционировать как клиент OpenVPN, что означает, что вам не нужно выполнять переадресацию портов с граничного маршрутизатора на ваш маршрутизатор. Если вам просто нужно придерживаться PPTP, другой брандмауэр, который я использовал со встроенным PPTP-клиентом, - это SnapGear SG560 ( http://www.snapgear.com/index.cfm?skey=1557), хотя он и был куплен MacAfee, я думаю, это называется чем-то другим.