Angenommen, es gibt zwei Standorte. Beide Standorte verfügen über eigene schnelle Internetverbindungen. Wie können Sie diese beiden Netzwerke miteinander verbinden, sodass jeder Computer jeden anderen Computer sehen kann?
Benötigen Sie einen Domänencontroller oder können Sie dies mit Arbeitsgruppen tun?
Die naheliegende Lösung scheint VPN zu sein, aber kann VPN nur auf den Routern implementiert werden? Können die Computer im Netzwerk konfigurationsfrei sein?
Antworten:
Kann VPN nur auf den Routern implementiert werden? Können die Computer im Netzwerk frei konfiguriert werden?
Ja. Vorausgesetzt vernünftige Router und ein vernünftiges Netzwerklayout. Wenn Ihre Sites alle denselben IP-Bereich verwenden (dh 192.168.0.0/24 verwenden und sich daher überlappen), müssen Sie NAT vollständig ausführen, und es kommt zu Problemen.
Wenn Sie jeden Standort in einem eigenen Subnetz bereitgestellt haben, ist dies einfach und Ihre einzigen Überlegungen sind:
Die Standardlösung besteht darin, ein VPN zwischen zwei Routern zu verwenden. Sie passen das Routing so an, dass der gesamte LAN-zu-LAN-Verkehr das VPN durchquert.
Domänen / Arbeitsgruppen sind wirklich überhaupt nicht miteinander verbunden. Eine relevantere Information wäre, über welchen Routertyp beide Standorte verfügen und ob sie L2TP , PPTP oder einen anderen verschlüsselten Tunnel erstellen können oder ob sie ein Standardbetriebssystem wie Linux ausführen, auf dem Sie Software installieren können. Es gibt viele Router, die bereits VPN-Verbindungen unterstützen. Sogar einige Heimrouter können dies, wenn Sie eine benutzerdefinierte Firmware installieren. Sie können ein VPN zwischen Ihren Servern erstellen, obwohl das richtige Routing etwas schwierig sein kann.
Ich mag OpenVPN wirklich als Lösung, wenn ich ein System habe, das es unterstützt. Es gibt viele andere gute VPN-Lösungen.
Die naheliegende Lösung scheint VPN zu sein, aber kann VPN nur auf den Routern implementiert werden? Können die Computer im Netzwerk konfigurationsfrei sein?
Dies hängt völlig davon ab, welchen Routertyp Sie haben. Wenn Ihr Router ein Linux-Computer ist, dann ja. Wenn es sich bei Ihrem Router um einen kostengünstigen Breitband-Router handelt, ist dies möglicherweise mit Ihrer aktuellen Hardware möglich. Wenn Ihre derzeitige Hardware dies nicht kann, können Sie sicher Router kaufen, die dies können.
Die Clients sollten wirklich nichts über das VPN wissen müssen.
Die "offenen" Vorschläge sind zwar großartig, aber wenn Sie diese Frage stellen, ist es meiner Meinung nach unwahrscheinlich, dass Sie Erfolg haben werden, sie umzusetzen.
Sparen Sie sich viel Ärger und holen Sie sich zwei Router mit VPN-Funktionen von einem Anbieter wie Linksys, Netgear, D-Link oder sogar Sonicwall. Sie sind sehr einfach einzurichten und verbinden zwei Netzwerke sicher miteinander.
Sobald dies erledigt ist, ist es sehr abhängig vom Netzwerk und davon, wie der Datenverkehr über das VPN übertragen wird, ob sich die Computer gegenseitig "sehen". Windows Workgroups sind Broadcast-basierte Systeme, die möglicherweise die "Netzwerkumgebung" stören, in der alle Systeme angezeigt werden. Die Verwendung von "lmhosts" -Dateien kann bei der Namensauflösung hilfreich sein. Dies ist in der Regel das, wofür Domänen zusammen mit Vertrauensstellungen zwischen Domänen verwendet werden, wenn sie unterschiedlich sind. Durch eine zentrale Registrierung für Computer (Active Directory und DNS) können sie sich gegenseitig "finden", ohne die Namensauflösung auf jedem Computer konfigurieren zu müssen.
OpenBSD und IPSEC. Verwenden Sie einen OpenBSD-Server an den jeweiligen Enden des Links, um als IPSEC-Gateway zu fungieren. Es ist sehr einfach einzurichten.
Wir haben genau dieses Szenario mit 4 Standorten in Großbritannien.
Jeder Standort verfügt über ein draytek-VPN-Gerät, das einige hundert Pfund kostet.
Sie sind alle per VPN miteinander verbunden und es funktioniert wie ein Zauber.
VPN-Tunnel. Ich bevorzuge hardwarebasiertes VPN, dies ist auf Router-Ebene. Es gibt viele von sehr billig bis sehr teuer. Auf der billigen Seite gibt es Linksys, DLINK und auf der anderen Seite Cisco, Sonicwall und andere.
Die teuren Router ermöglichen mehr Konfigurationen für das Routing und so weiter.
Hier ist der Haken: Ihr VPN ist nur so effizient wie die Leitungen, die die Tunnel unterstützen. Um Himmels willen, versuchen Sie bitte nicht, Gruppenrichtlinien über eine 512-KB-Leitung von einem Domänencontroller auf einen Client auf der ganzen Welt zu laden .
Versuchen Sie auch, den Broadcast-Verkehr über das Netzwerk zu steuern, wenn beide Standorte unterschiedliche Subnetze haben.
Viel Glück!
Wenn Sie eine VPN-Verbindung einrichten, möchten Sie wahrscheinlich, dass jeder Standort ein eigenes Subnetz hat, um die Broadcast-Domäne einzuschränken. Warum sollten Sie Ihre Verbindung mit begrenzter Bandbreite durch externen Datenverkehr überlasten?
Ihre Router / VPN-Geräte sollten Routen zu den anderen Standorten haben. Richten Sie einfach die lokalen DNS-Server ein, um die Computer auf der "anderen" Seite anzusprechen.
Diese Art der Konfiguration wird seit Jahren verwendet.
Richten Sie VPNs zwischen Standorten ein. Aktivieren Sie dann ein dynamisches Routing-Protokoll, um Netzwerkinformationen zwischen den Standorten auszutauschen.
Nach meiner Erfahrung werden die Router über eine Art virtuelle Punkt-zu-Punkt-Verbindung verfügen, z. B. über einen GRE-Tunnel oder L2TP. Die dynamischen Routing-Protokolle behandeln diese Verbindung wie jede andere Schnittstelle.
Es gibt einige herstellerspezifische / implementierungsspezifische Konfigurationsprobleme bei der VPN-Konfiguration - konsultieren Sie die Dokumentation, die Supportorganisation des Herstellers oder beschreiben Sie, welche Produkte Sie verwenden.
Ein wichtiger Punkt beim Netzwerkdesign: Sie müssen alle Standorte als Teil eines großen Netzwerks behandeln. Beispielsweise können Sie nicht alle Remote-Standorte so konfigurieren, dass sie ein 192.168.1.0-Subnetz haben. Möglicherweise können Sie einen solchen Albtraum mit NAT und einer sehr komplizierten Routingkonfiguration zum Laufen bringen, aber es ist viel einfacher, alle Standorte als Teil eines Netzwerkbereichs zu entwerfen.
Wenn die WAN-Verbindungsrouter an beiden Standorten dies unterstützen, ist ein IPSEC-VPN die vernünftige Option. Alternativ sollte eine Firewall oder eine dedizierte VPN-Terminierungsbox (und möglicherweise ein statisches Routing) für die einzelnen Computer transparent machen, dass Sie die Pakete über einen VP {N transportieren.
Es gibt viele gute VPN-Lösungen, aber manchmal braucht man etwas schnelles und schmutziges. Sie können ein VPN mit PPP über SSH einrichten . Diese Lösung hat viele Nachteile, aber der Vorteil ist, dass keine speziellen Tools oder Programme benötigt werden, nur Standard-ssh und -ppp. Es könnte wahrscheinlich auch unter Windows funktionieren, wenn Sie ein wenig nachbessern.
Wie wäre es mit einem KIV-21? Es ist ein eigenständiger Netzwerk-Inkryptor. Sie fügen in jedes Netzwerk eines ein, und alles zwischen den beiden Netzwerken wird verschlüsselt.
jedoch
http: // gateway.viasat.com/_files/KIV_21_01.pdf
Die naheliegende Lösung scheint VPN zu sein, aber kann VPN nur auf den Routern implementiert werden?
Es hängt davon ab, was Ihre Router sind. Viele Low- / Mid-Range-Router können als VPN-Server / -Clients fungieren. Wenn Ihr Router eine Unix-Box ist, sollte es nicht zu schwierig sein, OpenVPN auf ihnen zu konfigurieren .
Wenn auf Ihren Computern Windows ausgeführt wird, möchten Sie möglicherweise einen WINS- Server an jedem Standort konfigurieren . Wieder könnte eine Unix-Box das Zeug mit Samba erledigen .