Eu tenho um Windows Server 2008 que possui uma única interface de rede configurada com um endereço IP público. Meu parceiro de negócios tem uma rede privada. Do meu servidor, preciso acessar todos os dispositivos em sua rede privada, e esses dispositivos devem poder acessar meu servidor.
Meu parceiro de negócios tem uma solução padrão para esses requisitos. Eles irão configurar um túnel IPSec + GRE para o meu servidor. Eles me disseram que precisarei de um endereço IP público adicional para que isso funcione. Se for realmente necessário, não há problema, posso obter um endereço IP público adicional, embora ele seja atribuído à mesma interface de rede física.
Suponho que no meu servidor terei endereços IP públicos e também o endereço IP privado do túnel (o mesmo que é visível para os dispositivos dentro da rede privada).
Quais alternativas eu tenho?
Obrigado pelas suas opiniões. Estou assistindo a essa pergunta para esclarecer quaisquer problemas ou dúvidas.
Após semanas de problemas não relacionados ao próprio túnel, meu administrador configurou o túnel para terminar em uma caixa Linux separada executando o Openswan. O tráfego descriptografado e descompactado é encaminhado para a nossa caixa do Windows e vice-versa.
Não há problemas com a compatibilidade com o roteador Cisco na outra extremidade.
Portanto, fomos bem sucedidos com a opção nº 2 sem a necessidade de comprar um roteador Cisco físico.
Você não especificou qual é o final do túnel do seu parceiro (a menos que tenha perdido). Passei muito tempo em um túnel entre o Windows Server 2003 e um roteador Cisco. É suposto ser possível, mas falhei em fazê-lo e não sou o único. Você pode ler sobre aqui e aqui .
Então, se eles estão usando um roteador Cisco, recomendo que você também compre um para economizar tempo e muito agravamento. OpenVPN ou Linux para a Cisco pode ser uma opção? Mas eu tenho usado Cisco para túneis IPSec da Cisco sem problemas de interrupções por anos.
Aqui estão docs da Cisco em GRE / IpSec com NAT, mas com o roteador Cisco, você pode evitar fazer o túnel passar por nat.
A implementação do IPSec pela Cisco não é compatível com nada além da Cisco. Eu sei que o IPSec é um padrão, mas a Cisco tem uma implementação específica que impedirá que você conecte qualquer outra coisa a seus equipamentos.
É possível configurar este túnel no meu Windows Server 2008? Pode ser feito usando apenas ferramentas do Windows, ou eu preciso de um software VPN adicional / comercial?
Sim, você precisa do Cisco VPN Client. É grátis para IPSec e funciona muito bem. Apenas tenha cuidado, pois é feito para clientes desktop. Pode ter algumas funcionalidades irritantes, como tempos de espera curtos.
Se não puder ser feito em uma caixa Linux virtual, terei que comprar e configurar um roteador Cisco para lidar com as tarefas IPSec + GRE?
Você sempre pode comprar uma caixa Cisco que faz o IPSec. Tenha cuidado, você pode precisar de licença específica para fazer o IPSec. Esta será a opção mais confiável e simples de longe. Por outro lado, não é uma solução livre. Um pequeno Cisco ASA 5505 fará o truque.
Além disso, você não precisa ter um endereço IP público extra. Usando o mesmo IP que você usa para todo o resto, tudo bem.
Openswan ou Libreswan para a Cisco funcionam bem. Eu uso como hub um arranjo de spoke, o Cisco é o hub, o linux e os roteadores Digi são os spokes. Eu uso túneis GRE dentro do IPsec, funciona muito bem.
No Cisco terminamos algumas dicas: Você NÃO precisa de uma ACL para definir tráfego interessante no hub, Você precisa de um mapa de rotas para impedir que o tráfego e os túneis sejam NAT, As chaves pré-compartilhadas funcionam bem, os destinos são identificados pelas rotas do túnel GRE.