Мне нужно найти хорошее программное решение для реализации VPN, чтобы новый филиал мог без проблем использовать приложения в нашем главном офисе.
Мне нужно, чтобы он был очень надежным и почти прозрачным для конечного пользователя
Есть подсказки?
У нас есть рабочий стол / сервер Linux и Windows на обоих концах.
Может быть, ваш пограничный маршрутизатор поддерживает VPN? проверьте документы. В противном случае, не меняя граничный маршрутизатор, можно купить пару недорогих маршрутизаторов и установить сборку VPN из ddwrt или openwrt. Затем используйте OpenVPN или IPSEC. Я предпочитаю OpenVPN, так как его проще настроить.
Вы можете установить маршрутизаторы за другими межсетевыми экранами. Вам необходимо убедиться, что брандмауэр разрешает трафик VPN. И на стороне сервера или маршрутизатора, на котором работает сервер OpenVPN, вам необходимо убедиться, что брандмауэр на этом конце имеет дыру в исходном IP-адресе вашего другого филиала, чтобы он мог подключиться.
Затем на обоих концах установите статический маршрут к внешней сети, чтобы указать на новый маршрутизатор VPN.
Я сделал это пару лет назад, и это отлично сработало. Однако вы должны следить за тем, чтобы диапазоны частных IP-адресов обеих сетей различались.
Кроме того, было бы полезно добавить DNS-сервер в сеть филиала, чтобы подключаться к серверам в головном офисе по их частному IP-адресу. Если у вас есть локальный контроллер домена, это должно быть легко. Даже не думайте о том, чтобы поставить контроллер домена для филиала на другой стороне VPN. Ваши пользователи будут ненавидеть вас, если вы это сделаете. Видел это раньше ... фу!
Если вам нужна более высокая производительность, подумайте об использовании маршрутизаторов Mikrotik с RouterOS. Они также очень недорогие и могут быть немного быстрее. Хотя есть несколько довольно быстрых роутеров asus, которые действительно хорошо работают под OpenWRT.
Трудно понять, что лучше всего, потому что вы ничего не сказали о существующем оборудовании.
Это довольно широкий вопрос, но я бы предложил заменить граничные маршрутизаторы на каждом сайте чем-нибудь, на котором работает IPCop ( http://www.ipcop.org ), pfSense ( http://www.pfsense.org ) или другой бесплатный распределение шлюза / межсетевого экрана.
Таким образом, вы можете создавать и управлять VPN на шлюзах, а межофисное соединение будет прозрачным для пользователей.
Вы не упоминаете, какие ОС установлены на клиентах / доступны на шлюзах / работают на маршрутизаторах - это было бы полезно.
Раньше я пробовал использовать IPSEC - но даже без NAT оказалось сложно заставить продукты разных производителей взаимодействовать друг с другом - правда, это было давно.
Я использовал openvpn - это просто и хорошо работает - а также ppp через stunnel
С помощью туннелирования вы можете получить доступ к приложениям в вашей локальной системе из удаленной системы.
Для получения дополнительных сведений о туннелировании перейдите по этой ссылке.
http://techtrunch.com/commands/ssh-port-forwarding
Примечание. Вы можете пересылать любые ПОРТЫ с туннелированием. В приведенной выше ссылке порт, на который выполняется переадресация, - 22. Если вы перенаправляете порт 80 [http], вы можете получить доступ к локальному веб-приложению с удаленного компьютера.
Пример: Предположим, вы хотите использовать веб-приложение в главном офисе из нового филиала.
Предполагая, что веб-приложение работает на порту 80.
Перенаправить порт 80 системы главного офиса
ssh root@a_remote_server -R 80:XX.XX.XX.XX:8080
Затем войдите на сервер a_remote_server из системы в вашем новом филиале.
ssh root@a_remote_server
Затем введите
localhost:8080 в браузере машины в новом филиале.