Для кого-то это кажется легкой задачей, но для меня это такая сложная задача ...
Основное требование для этой задачи - установить что-то в офисах, расположенных в разных местах, поэтому (1-й вопрос) пользователи могут войти в домен без VPN, когда они находятся в одном из офисов. Кроме того, (2-й вопрос) как они могут войти на сервер домена, когда они в дороге, как в старбаке, что им нужно сделать, чтобы подключиться к домену после успешного подключения VPN.
также я понимаю, что мы не можем совместно использовать ресурсы с компьютеров в разных сегментах сети, (3-й вопрос) как лучше всего соединить / объединить два сегмента сети (два офиса в разных местах), чтобы компьютеры из разных мест могли видеть друг друга.
Заранее благодарим вас за любой ответ.
у меня для тебя плохие новости:
фактически вы можете совместно использовать ресурсы с компьютеров в разных сегментах сети.
очевидно, что его производительность будет зависеть от протоколов и требований. доступ к общим сетевым ресурсам через сеть Windows будет довольно медленным на стандартной линии ADSL, но все же можно будет использовать.
вам нужен vpn между офисами и статические маршруты, добавленные на граничных маршрутизаторах в обоих [или более чем 2] местах. вы можете пойти на стандартизованный ipsec решение и использовать оборудование / программное обеспечение, предоставленное многие продавцы или вы можете использовать openvpn который отлично работает для меня последние 6 лет или около того.
так что пример - агностик технологии / поставщика.
полное изображение Вот.
объяснение:
компьютеры в офисе A используют r00 в качестве шлюза по умолчанию [и маршрутизатор nat, и машину dns и, возможно, даже сервер dhcp]. они отправляют все пакеты на хосты, которых они не могут достичь в пределах 10.0.0.0/24 на эту машину. аналогично компьютеры в офисе b используют r10 в качестве шлюза.
r00 имеет шлюз по умолчанию, указывающий на поставщика интернет-услуг, и дополнительный статический маршрут, сообщающий, что сети 10.0.1.0/24 и 10.0.2.0/24 могут быть доступны через vpn. этот vpn может работать локально на r00 или на отдельном компьютере [здесь r01].
r01 использует ваше интернет-соединение в офисе [эта часть была опущена в отчаянной попытке сделать изображение немного читаемым], чтобы установить зашифрованный туннель к r11. r01 пересылает полученный из туннеля пакет на r00 и полученный от r00 на r11.
r10, r11 выполняют аналогичную работу.
теперь ваш «воин дороги» - человек, сидящий в Starbucks и желающий получить доступ к некоторым внутренним ресурсам [сервер обмена? файловый сервер? Интернет-страница в интранете?]. она использует доступное интернет-соединение для установления зашифрованного туннеля к вашему концентратору vpn [может быть отдельный ящик или один из r01 / r11] и в зависимости от политики компании либо отправляет весь трафик через этот ящик, либо только трафик, предназначенный для 10.0.0.0/24, 10.0.1.0/24, 10.0.2.0/24. Как вы видите, «воин дороги» получает IP-адрес из другого диапазона - 10.0.2.0/24 - один, выделенный для пользователей «дозвона».
пс. это простой случай - вы можете сделать вещи более сложными [и более безопасными], но я надеюсь, что это дает вам представление о том, как все может выглядеть для достижения того, что вам нужно.