Linux

Как безопасно соединить две сети через интернет?

Допустим, есть два офиса. Оба места имеют свои собственные быстрые подключения к интернету. Как объединить эти две сети так, чтобы каждый компьютер мог видеть другой компьютер?

Нужен ли контроллер домена, или необходимо сделать это с помощью рабочих групп?

Очевидным решением кажется VPN, но можно ли реализовать VPN только на маршрутизаторах? Могут ли компьютеры в сети не иметь соответствующей конфигурации?

Ответ 1

При условии наличия корректно настроенных маршрутизаторов и разумного расположения сети. Если все ваши сайты используют один и тот же IP диапазон (т. е. все они используют 192.168.0.0/24, и поэтому перекрываются), то вам придется делать полный NAT и все станет только запутанней.

Если вы выделили каждый сайт в отдельную подсеть, тогда все просто, и единственными соображениями являются:

  1. Минимизация трафика через VPN.

  2. Безопасность VPN (т. е. использование правильного типа VPN).

  3. Интеграция систем через VPN (например, межподсетевой просмотр сети).

Ответ 2

Стандартным решением является использование VPN между двумя маршрутизаторами, и вы настраиваете маршрутизацию так, чтобы весь трафик между локальными сетями проходил через VPN. Домены/рабочие группы на самом деле совсем не связаны. Более важной информацией будет то, какой тип маршрутизаторов установлен на обоих сайтах и могут ли они создавать L2TP, PPTP или другие зашифрованные туннели или на них установлена стандартная ОС, например Linux, на которую можно установить программное обеспечение. Существует множество маршрутизаторов, которые уже поддерживают VPN-соединения. Даже некоторые домашние маршрутизаторы могут это делать, если вы установите пользовательскую прошивку. Вы можете создать VPN между вашими серверами, хотя правильная маршрутизация может быть немного сложной. Мне очень нравится OpenVPN в качестве решения, если у меня есть система, которая его поддерживает. Существует множество других хороших VPN-решений.

Очевидным решением кажется VPN, но можно ли реализовать VPN только на маршрутизаторах? Могут ли компьютеры в сети быть без соответствующей  конфигурации?

Это полностью зависит от того, какой у вас тип маршрутизатора. Если ваш маршрутизатор это компьютер под управлением Linux, то да. Если ваш маршрутизатор это недорогой широкополосный маршрутизатор, то, возможно, ваше текущее оборудование может это сделать. Если ваше текущее оборудование не может этого сделать, вы, конечно, можете купить маршрутизаторы, которые это сделают.

Клиентам не нужно ничего знать о VPN.

Ответ 3

Хотя «открытые» предложения это здорово, если вы задаете этот вопрос, я полагаю, что вы вряд ли добьетесь успеха в их реализации.

Избавьте себя от многих проблем и приобретите два маршрутизатора с возможностью VPN от таких производителей, как Linksys, Netgear, D-Link или даже Sonicwall. Их очень легко настроить, и они надежно соединят две сети.

После этого будут ли компьютеры «видеть» друг друга во многом зависит от используемой сети и того, как трафик проходит через VPN. Windows Workgroups это широковещательные системы, которые могут мешать «сетевому соседству», показывая все доступные системы. Использование файлов «lmhosts» может помочь в разрешении имен. Обычно для этого используются домены, а также доверительные отношения между доменами, если они разные. Благодаря центральной регистрации компьютеров (Active Directory и DNS) они могут «находить» друг друга без настройки разрешения имен на каждой машине.

Ответ 4

VPN-туннели. Я предпочитаю VPN на основе аппаратного обеспечения, на уровне маршрутизатора. Существует множество маршрутизаторов, от очень дешевых до очень дорогих. На дешевой стороне находятся Linksys, DLINK, а на другой стороне Cisco, sonicwall и другие.

Дорогие маршрутизаторы позволяют больше конфигураций для маршрутизации и так далее.

Вот в чем загвоздка... ваша VPN эффективна лишь настолько, насколько эффективны линии, поддерживающие туннели. Единственное не пытайтесь загрузить групповую политику с контроллера домена на клиента, находящегося на другом конце света, по линии 512 КБ.

Также старайтесь контролировать широковещательный трафик по всей сети, если оба сайта будут иметь разные подсети.

Ответ 5

Такая конфигурация используется уже много лет. Создайте VPN между сайтами. Затем включите протокол динамической маршрутизации для обмена сетевой информацией между сайтами. По моему опыту, маршрутизаторы будут иметь некий виртуальный канал Point-to-Point между собой, возможно, туннель GRE или L2TP. Протоколы динамической маршрутизации обращаются с этим соединением как с любым другим интерфейсом. Существуют некоторые специфические для конкретного производителя/реализации вопросы настройки конфигурации VPN обратитесь к документации, организации поддержки производителя или опишите, какие продукты вы используете. Один ключевой момент, связанный с проектированием сети, – вам нужно рассматривать все сайты как часть одной большой сети. Например, вы не можете настроить все удаленные сайты на подсеть 192.168.1.0. Скорее, вы сможете заставить такой «кошмар» работать с помощью NAT и очень запутанной конфигурации маршрутизации, но гораздо проще спроектировать все сайты как часть одного сетевого пространства.

Схожие статьи

Linux

Как часто следует перезагружать серверы Linux?

Linux

Как написать обработчик сигнала для перехвата SIGSEGV

Linux

Что такое «POSIX»?

Linux

Файловая система с распределенным хранилищем. Есть ли готовый к использованию продукт?

×