У меня Windows Server 2008 с единственным сетевым интерфейсом, настроенным с общедоступным IP-адресом. У моего делового партнера есть собственная сеть. С моего сервера мне нужно получить доступ ко всем устройствам в его частной сети, и эти устройства должны иметь доступ к моему серверу.
У моего делового партнера есть стандартное решение для этих требований. Они настроят туннель IPSec + GRE на мой сервер. Они сказали мне, что мне понадобится дополнительный публичный IP-адрес, чтобы это работало. Если это действительно необходимо, нет проблем, я могу получить дополнительный общедоступный IP-адрес, хотя он будет назначен тому же физическому сетевому интерфейсу.
Я предполагаю, что на моем сервере у меня будут как общедоступные IP-адреса, так и частный IP-адрес из туннеля (тот же, что виден для устройств внутри частной сети).
Какие у меня есть альтернативы?
Спасибо за ваше мнение. Я смотрю этот вопрос, чтобы прояснить какие-либо проблемы или вопросы.
После нескольких недель проблем, не связанных с самим туннелем, мой администратор настроил туннель так, чтобы он заканчивался на отдельном Linux-сервере, на котором запущен Openswan. Затем расшифрованный и распакованный трафик направляется на наш Windows-сервер и обратно.
На другом конце проблем с совместимостью с роутером Cisco нет.
Таким образом, мы успешно выбрали вариант №2 без необходимости покупать физический маршрутизатор Cisco.
Вы не указали, на каком конце туннеля находится ваш партнер (если только я это не пропустил). Я потратил много времени на туннель между Windows Server 2003 г. и маршрутизатор Cisco. Предполагается, что это возможно, но мне это не удалось, и я не единственный. Вы можете прочитать о Вот и Вот.
Так что, если они используют маршрутизатор Cisco, я рекомендую вам пойти и купить его тоже, чтобы сэкономить время и избежать неприятностей. OpenVPN или Linux для Cisco могут быть вариантом? Но я использовал туннели Cisco-Cisco IPSec без проблем с перерывами в течение многих лет.
Здесь Документы Cisco на GRE / IpSec с NAT, но с маршрутизатором Cisco вы можете избежать пропускания туннеля через nat.
Реализация Cisco IPSec несовместима ни с чем, кроме Cisco. Я знаю, что IPSec является стандартом, но у Cisco есть особая реализация, которая не позволит вам подключать что-либо еще, кроме их оборудования.
Можно ли настроить этот туннель на моем Windows Server 2008? Можно ли это сделать, используя только инструменты Windows, или мне нужно дополнительное бесплатное / коммерческое программное обеспечение VPN?
Да, вам нужен Cisco VPN Client. Это бесплатно для IPSec и отлично работает. Только будьте осторожны, поскольку это сделано для настольных клиентов. Он может иметь некоторые раздражающие функции, такие как короткие таймауты.
Если это невозможно сделать на виртуальном Linux-компьютере, мне придется покупать и настраивать маршрутизатор Cisco для обработки задач IPSec + GRE?
Вы всегда можете купить Cisco Box, который поддерживает IPSec. Будьте осторожны, вам может потребоваться специальная лицензия для IPSec. На сегодняшний день это будет самый надежный и простой вариант. С другой стороны, это не бесплатное решение. Маленький Cisco ASA 5505 сделает свое дело.
Кроме того, вам не нужно иметь дополнительный общедоступный IP-адрес. Использование того же IP-адреса, который вы используете для всего остального, будет нормально.
Openswan или Libreswan в Cisco работают нормально. Я использую его как концентратор, устройство луча, Cisco - концентратор, маршрутизаторы linux и Digi - лучевые. Я использую туннели GRE внутри IPsec, отлично работает.
Со стороны Cisco несколько советов: вам НЕ нужен ACL для определения интересного трафика на концентраторе, вам нужна карта маршрутов, чтобы остановить трафик в форме туннелей через NAT, предварительные общие ключи работают нормально, места назначения определены по туннельным маршрутам GRE.