Я управляю сетью небольшого офиса, но у меня очень мало фактических знаний / понимания сетей.
В сети есть Wi-Fi-маршрутизатор потребительского уровня (Netgear DG834G), несколько ПК / Mac, несколько iPad, подключенных через Wi-Fi, и несколько файловых серверов (также потребительские коробки Netgear ReadyNAS)
Я установил VPN между одним ПК (WinXP) в нашей сети и удаленным VPS-сервером (AWS EC2) с openVPN; Я использую VPN-соединение, чтобы иметь IP-адрес в США (поскольку я не нахожусь в США).
Вот что я хотел бы сделать: я хотел бы иметь возможность использовать VPN с других компьютеров в сети, включая подключенные к Wi-Fi (iPad), без настройки клиента VPN на каждом компьютере.
Я думаю, мне нужно либо настроить одну машину в качестве шлюза, который будут использовать другие машины, либо, возможно, подключить другой маршрутизатор, который будет действовать как шлюз и как клиент VPN, к которому можно было бы подключиться, чтобы пройти через VPN-туннель? Или я ищу прокси?
(Я немного запутался, извините, если выше неясно).
Как проще всего этого добиться? Должны уже быть учебники, описывающие то, что я хочу делать, но я не могу найти их после многочисленных поисков в Google ...
Да, вам необходимо настроить устройство, которое будет действовать как маршрутизатор для всех подключений, проходящих через VPN. Если это устройство также является вашим шлюзом по умолчанию, клиентам не нужно применять какую-либо дополнительную конфигурацию - они будут использовать шлюз по умолчанию для всего, и шлюзу необходимо будет сообщить, какие пункты назначения маршрутизируются через VPN. В противном случае вы можете указать своим клиентским машинам маршрутизировать трафик VPN через любой компьютер, на котором работает VPN, но это станет намного сложнее для всех.
Вот что я сделал сейчас, следуя идее, найденной в ответе gravyface (часть 2).
На NAS (Netgear NV +) я настраиваю динамическую переадресацию портов с помощью команды
ssh -f -N -D ip:port user@machine
и tinyproxy. Tinyproxy как таковой не может работать с SOCKS, но может с tsocks, который обертывает соединения от tinyproxy и отправляет их через динамическую переадресацию портов.
Таким образом, tinyproxy получает запросы от машин в локальной сети и использует динамическую переадресацию портов для передачи этих запросов в Интернет.
Что касается доступа к веб-сайтам только для США:
Однако я не знаю, насколько безопасна такая установка.
Насколько я понимаю, трафик из локальной сети в прокси не зашифрован, но это не имеет значения, поскольку прокси также находится в локальной сети; трафик между прокси и конечной точкой зашифрован. Поэтому, если я не ошибаюсь, кто-то, отслеживающий нашу локальную сеть, может читать наш трафик, а кто-то за пределами нашей локальной сети (наш интернет-провайдер) не может (для машин, использующих прокси).
Недавно мы заменили наш Cisco RV082 VPN-маршрутизаторы с Netgate m1n1wall VPN-роутеры. Запустив pfSense, мы можем настроить:
Вы можете купить один Netgate m1n1wall и настройте его для создания постоянного туннеля OpenVPN с вашим AWS EC2 VPS, и вы можете настроить мобильное соединение IPsec для своих iPad и других клиентских систем.
Я вижу две проблемы, которые нужно решить; к сожалению, ни один из них не является действительно "легким", и я бы рекомендовал получить помощь от стороннего консультанта по малому бизнесу в вашем районе, поскольку вы имеете дело с доверием клиентов здесь, и потерять это, вероятно, будет очень плохо.
клиент хочет постоянно поддерживать зашифрованное соединение с вашим офисом. Это традиционно решается с помощью туннеля IPSec VPN типа «сеть-сеть», который устанавливается (обычно) между обоими межсетевыми экранами. Установив маршруты (и убедившись, что между подсетями LAN нет перекрытия), вы можете гарантировать, что трафик из вашего офиса в офис всегда будет зашифрован, если каждая сторона обращается к ресурсам друг друга через свои подсети LAN. т.е. если на их стороне есть приложение или веб-сервис (например, интрасеть), к которому вам нужно получить доступ, вы откроете http://192.168.1.5, где 192.168.1.0/24 - их подсеть LAN, а 192.168.1.5 - их веб-сервер, на котором запущена интрасеть.
Вы хотите получить доступ к веб-сайтам только для США во всем офисе. Я бы посмотрел на настройку прокси-сервера в экземпляре micro Amazon EC2 с правилами аутентификации и брандмауэра, чтобы разрешить доступ только к IP-адресу WAN вашего офиса. Кальмар можно легко настроить или даже tinyproxy, поскольку включение кеширования не принесет никакой пользы. Затем вы можете настроить FoxyProxy в FireFox с белым списком сайтов только для США, чтобы через прокси-сервер можно было получить доступ только к веб-сайтам только для США, или вы можете сделать то же самое с другим прокси-сервером, находящимся в вашей локальной сети, который будет определять, какой исходный прокси-сервер будет использовать (если есть) по запрошенному URL (домену). Я бы также поискал в Google «прокси-сервисы Hulu» или «Hulu VPN», так как может быть более стандартное решение, которое требует большей части этой догадки.