Назад | Перейти на главную страницу

Реализация изолированной гостевой WLAN через IPSec VPN в Windows

Мы пытаемся создать гостевую сеть WLAN, изолированную от остальной части нашей сети. Это оказывается трудным по нескольким техническим причинам. Мой первый выбор заключался в использовании отдельной VLAN, на которой удобный порт WLAN нашего брандмауэра будет обрабатывать DHCP, DNS и необходимую нам сетевую изоляцию. К сожалению, из-за того, что наш главный офис и само наше Интернет-соединение находятся в разных местах, соединенных посредством соединения Metro Ethernet, я полностью доверяю нашему Интернет-провайдеру для транзита VLAN.

Они не будут передавать вторую VLAN между двумя нашими сайтами. И мое оборудование не поддерживает 802.1ad «Q-in-Q», что также решило бы эту проблему. Поэтому я не могу использовать метод VLAN для изоляции. По крайней мере, без денег.

Поскольку наш брандмауэр может обрабатывать VPN-соединения типа «сеть-сеть» IPSec, я надеюсь, что можно подключить сервер Server 2008R2 (стандартный), который у меня есть в офисе, к WLAN и предоставить услуги шлюза для брандмауэра. Таким образом:

К сожалению, я не знаю, возможно ли соединить их таким образом. Брандмауэр имеет довольно гибкую реализацию IPSec / L2TP (я использовал его для подключения iPad в «дикой природе»), но он не является керберизированным и не поддерживает NTLM. Представление «Правила безопасности подключения» на сервере Windows похоже приближается к тому, что, по моему мнению, необходимо сделать, но я не могу понять, как заставить его делать то, что мне нужно.

Возможно ли это вообще, или мне нужно искать альтернативное решение?

Оказывается, что Server 2008 R2 Standard НЕ поддерживает VPN типа "сеть-сеть". Microsoft поставляет эту функциональность с их и Forefront товары.

Это квалифицируется как «другие решения» для этого вопроса, эквивалентные решениям IPSec на базе Linux.

К сожалению, похоже, что Standard НЕ делает то, что мне нужно.

  1. Ну, я бы дал гостям доступ только к одному компьютеру (их gw по умолчанию), который настроен для проксирования / NAT в Интернет.
  2. Один способ туннелировать vlan через другой, если у вас где-то есть Linux: Сообщество Ubuntu - VPN через SSH