Como unir duas redes com segurança pela Internet?

11

Digamos que existem dois locais. Ambos os locais têm suas próprias conexões rápidas à Internet. Como você une essas duas redes para que todos os computadores possam ver todos os outros computadores?

Você precisa de um controlador de domínio ou pode fazer isso com grupos de trabalho?

A solução óbvia parece ser VPN, mas a VPN pode ser implementada somente nos roteadores? Os computadores da rede podem ser livres de configuração?

    
por Pyrolistical 29.05.2009 / 01:56

14 respostas

9

can VPN be implemented on the routers only? Can the computers on the network be configuration free?

Sim. Assumindo roteadores razoáveis e um layout de rede razoável. Se todos os seus sites estiverem compartilhando o mesmo intervalo de IPs (ou seja, todos eles estão usando 192.168.0.0/24 e, portanto, se sobrepondo), então você terá que fazer NAT completo e as coisas ficarão confusas.

Se você provisionou cada site em sua própria sub-rede, isso é simples e suas únicas considerações são:

  • minimizando o tráfego na VPN
  • segurança da VPN (por exemplo, use o tipo certo de VPN)
  • integração de sistemas na VPN (por exemplo, navegação de rede do Windows entre sub-redes)
por 29.05.2009 / 13:38
11

A solução padrão é usar uma VPN entre dois roteadores, e você ajusta o roteamento para que todos os LAN-to O tráfego da LAN atravessa a VPN.

Domínios / grupos de trabalho não estão realmente relacionados. Uma informação mais relevante seria o tipo de roteador que os dois sites têm e se eles podem criar L2TP , PPTP , ou algum outro túnel criptografado, ou se eles estiverem executando um sistema operacional padrão como o Linux, onde você pode instalar o software. Existem muitos roteadores que já suportam conexões VPN. Até mesmo alguns roteadores domésticos podem fazer isso se você instalar um firmware personalizado. Você pode criar uma VPN entre seus servidores, embora o caminho certo seja um pouco complicado.

Eu realmente gosto do OpenVPN como uma solução se eu tiver um sistema que o suporte. Existem muitas outras boas soluções VPN.

The obvious solution seems to be VPN, but can VPN be implemented on the routers only? Can the computers on the network be configuration-free?

Isso depende completamente do tipo de roteador que você possui. Se o seu roteador é um computador com Linux, então sim. Se o seu roteador é um roteador de banda larga barato, então talvez seu hardware atual possa fazer isso. Se o seu hardware atual não puder fazer isso, você certamente poderá comprar roteadores que o farão.

Os clientes realmente não precisam saber nada sobre a VPN.

    
por 29.05.2009 / 01:58
4

Embora as sugestões "abertas" sejam ótimas, se você estiver fazendo essa pergunta, meu palpite é que é improvável que você tenha sucesso implementando-as.

Economize um monte de problemas e escolha dois roteadores com recursos de VPN de um fornecedor como Linksys, Netgear, D-Link ou até mesmo Sonicwall. Eles são muito fáceis de configurar e conectam duas redes de forma segura.

Uma vez feito isso, se os computadores "vêem" uns aos outros, é muito dependente da rede que está sendo executada e como esse tráfego passa pela VPN. Os grupos de trabalho do Windows são sistemas baseados em broadcast que podem interferir na "vizinhança da rede" mostrando todos os sistemas. O uso de arquivos "lmhosts" pode ajudar na resolução de nomes. Isso é tipicamente o que os domínios são usados junto com relações de confiança entre domínios, se forem diferentes. Por ter um registro central para computadores (Active Directory e DNS), eles são capazes de "encontrar" uns aos outros sem configurar a resolução de nomes em cada máquina.

    
por 29.05.2009 / 04:55
3

OpenBSD e IPSEC. Use um servidor OpenBSD nas respectivas extremidades do link para atuar como um gateway IPSEC. É muito fácil de configurar.

    
por 29.05.2009 / 03:08
3

Temos este cenário exato com quatro sites em todo o Reino Unido.

Cada site tem um dispositivo VPN draytek com algumas centenas de libras.

Eles estão conectados uns aos outros pela VPN e funcionam como um encanto.

    
por 29.05.2009 / 10:31
2

Túneis VPN. Eu prefiro VPN baseada em hardware, isso é no nível do roteador. Há muitos por aí de muito barato a muito caro. No lado barato há Linksys, DLINK e do outro lado você tem Cisco, sonicwall e outros.

Os roteadores caros permitem mais configurações para roteamento e assim por diante.

Aqui está a captura ... sua VPN é tão eficiente quanto as linhas que suportam os túneis, pelo amor de Deus, por favor, não tente carregar a diretiva de grupo de um controlador de domínio para um cliente em todo o mundo uma linha de 512 KB.

Além disso, tente controlar o tráfego de transmissão em toda a rede se os dois sites tiverem sub-redes diferentes.

Boa sorte!

    
por 29.05.2009 / 07:28
1

Quando você configura uma conexão VPN, provavelmente deseja ter cada local com sua própria sub-rede para limitar o domínio de broadcast. Por que entupir sua conexão de largura de banda limitada com tráfego estranho?

Seus dispositivos roteador / vpn devem ter rotas para os outros locais, basta configurar os servidores DNS locais para endereçar às máquinas o lado "outro".

    
por 29.05.2009 / 07:08
1

Esse tipo de configuração é usado há anos.

Estabelecer VPNs entre sites. Em seguida, ative um protocolo de roteamento dinâmico para compartilhar informações de rede entre os sites.

Na minha experiência, os roteadores terão algum tipo de link Ponto-a-Ponto virtual entre eles, talvez um túnel GRE ou L2TP. Os protocolos de roteamento dinâmico tratam esse link como qualquer outra interface.

Existem alguns problemas específicos de configuração do fornecedor / implementação com a configuração da VPN - consulte a documentação, a organização de suporte do fornecedor ou descreva quais produtos você está usando.

Um ponto-chave relacionado ao design de rede - você precisa tratar todos os sites como parte de uma grande rede. Por exemplo, você não pode configurar todos os sites remotos para ter uma sub-rede 192.168.1.0. Em vez disso, você pode ser capaz de obter um pesadelo para trabalhar com NAT e com uma configuração de roteamento muito complicada, mas é muito mais fácil projetar todos os sites como parte de um espaço de rede.

    
por 29.05.2009 / 10:55
1

Se os roteadores de conexão WAN em ambos os sites suportarem, um VPN IPSEC soará como uma opção sensata. Como alternativa, um firewall ou caixa de terminação de VPN dedicada (e possivelmente algum roteamento estático) deve torná-lo transparente para os computadores individuais que você está carregando os pacotes em um VP {N.

    
por 29.05.2009 / 12:28
1

Existem muitas boas soluções VPN por aí, mas às vezes você precisa de algo rápido e sujo. Você pode configurar uma VPN usando o PPP sobre SSH . Esta solução tem muitas desvantagens, mas a vantagem é que ela não precisa de ferramentas ou programas especiais, apenas o padrão ssh e ppp. Provavelmente poderia funcionar no Windows também com alguns ajustes.

    
por 29.05.2009 / 14:59
0

Uma VPN, como todos os outros mencionaram, é o caminho a seguir.

Eu humildemente sugiro monowall como sendo a maneira mais rápida de configurar uma VPN ponto a ponto dedicada.

Os problemas mais comuns com VPNs são sub-redes e gateways incorretos.

    
por 29.05.2009 / 13:46
0

Que tal um KIV-21? É um increptador de rede independente. Você coloca um em cada rede e tudo entre as duas redes é criptografado.

  • Fácil de configurar
  • Muito seguro
  • Muito bom treinamento disponível

No entanto

  • Caro
  • A compra pode ser restrita

link

    
por 29.05.2009 / 14:39
0

Eu tenho usado o Untangle (uma distro linux de www.untangle.com) que tem o OpenVPN como uma opção embutida. Ele também tem muitos outros ótimos recursos. Você poderia configurar uma caixa Untangle em cada extremidade e construir um túnel entre os dois.

    
por 30.05.2009 / 06:09
0

The obvious solution seems to be VPN, but can VPN be implemented on the routers only?

Depende de quais são os seus roteadores. Muitos roteadores de faixa baixa / média são capazes de atuar como servidores / clientes VPN. Se o seu roteador é uma caixa Unix, não deve ser muito difícil configurar OpenVPN neles.

Se seus computadores estiverem executando o Windows, você poderá configurar um servidor WINS em cada site. Novamente, uma caixa Unix poderia fazer o material usando o Samba .

    
por 29.05.2009 / 10:06