Наш удаленный офис переедет в новое место, где будет доступен интернет. Они будут за маршрутизатором, выполняющим NAT (у меня нет прав администратора на этом маршрутизаторе). Они будут использовать принтер совместно с другими людьми в локальной сети, но им потребуется VPN для нашей сети для электронной почты и обмена файлами.
Я думал о том, чтобы они просто запустили клиент Windows VPN и подключались через PPTP, как они это делают, когда они находятся за пределами площадки, но я читал, что несколько подключений PPTP с одного и того же адреса NAT к одному и тому же месту назначения не работают. или вообще.
Я думаю, что нужен какой-то VPN типа "сеть-сеть", поэтому существует только один туннель. Могу ли я просто установить шлюз VPN, настроить его для подключения к нашему серверу RRAS / PPTP и заставить их использовать его в качестве шлюза по умолчанию? Возможно, даже использовать локальный шлюз по умолчанию для интернет-трафика. Если да, то какой шлюз / устройство VPN рекомендуется для этого?
Или другие решения? Спасибо.
Есть ли шанс, что они смогут настроить VLAN для вашего офиса? Поскольку для них требуется только очень незначительная маршрутизация между VLAN (VLAN 1 - это сеть вашего удаленного офиса, VLAN 2 - это другой офис, с которым вы работаете совместно), конфигурация VLAN с маршрутизатором на палке будет работать хорошо (только тогда, когда вы выполняются интенсивная маршрутизация между виртуальными локальными сетями, поэтому вам нужен настоящий базовый маршрутизатор (-ы) уровня 3, выполняющий маршрутизацию).
Имея две изолированные сети VLAN с топологией маршрутизатора на палке, вы можете настроить правила брандмауэра между двумя организациями, как считаете нужным: обе могут даже запускать свои собственные DHCP-серверы, и оба могут (и должны) находиться в разных подсетях. . Имея это на месте, вы можете создать VPN-туннель типа «сеть-сеть» с самого края в качестве конечной точки и установить соответствующие правила брандмауэра, чтобы разрешить доступ к VLAN вашей организации только.
Если вы не можете этого сделать, то нет причин, по которым вы не могли бы использовать двойной NAT - просто поместите свои две удаленные машины за приличным маршрутизатором межсетевого экрана, который может выполнять IPSec / OpenVPN client-to-site VPN (pfSense на ALIX будет отлично работать *; см. netgate.com), чтобы ваша "WAN" сторона брандмауэра получала LAN IP из общей сети и, таким образом, могла маршрутизировать любые исходящие соединения (через "первый NAT") для принтеров и т. д. Интернет доступ получает двойное NAT. Только с двумя машинами производительность должна быть приемлемой, но, очевидно, сначала проверьте ее. Это изолирует / защитит ваши рабочие станции от их сети так же, как брандмауэр / маршрутизатор в обычном сценарии WAN (хотя ничего не делает для защиты их ваши рабочие станции на случай вирусной атаки, взлома и т. д.).
* С pfSense он может работать как клиент OpenVPN, что означает, что вам не нужно перенаправлять порт с граничного маршрутизатора на ваш маршрутизатор. Если вам просто необходимо придерживаться PPTP, я использовал еще один брандмауэр со встроенным PPTP-клиентом - SnapGear SG560 (http://www.snapgear.com/index.cfm?skey=1557) хотя с тех пор, как его купил MacAfee, я думаю, что он называется как-то иначе.