Extensão da LAN pela Internet

1

Eu tenho o seguinte cenário. Um computador está conectado à rede privada. Eu faço NÃO ter acesso para modificar qualquer coisa nesta rede privada. Eu sou apenas fornecido com um cabo de rede.

O computador que está sendo executado na rede possui um IP 172.20.20.15 e, no computador, há um aplicativo que exige exatamente as configurações de rede para que possa conectar um banco de dados back-end em algum lugar atrás da rede privada.

Agora, a ideia é que eu gostaria de mover o computador para outro local. Eu tenho acesso à internet para ambos os locais.

Eu entendo que eu poderia colocar dois roteadores que suportam o servidor VPN, em ambos os lados (Roteador A e Roteador B).

EuencontreiumroteadorVPN WN-300ARM-VPN , mas depois de ter passado por documentação Descobri que eu poderia conectar algo como 2 redes diferentes, então parece que não combina comigo.

Para encurtar a história, você pode me sugerir que tipo / marca de equipamento eu posso comprar para que eu possa expandir a rede privada pela Internet. O principal é que eu deveria manter as mesmas configurações de IP.

Obrigado a todos pelo seu tempo, todas as sugestões são mais do que bem-vindas.

    
por Adnan 19.09.2011 / 20:08

4 respostas

5

O

OpenVPN no modo de ponte pode fazer exatamente isso. Eu usei-o extensivamente neste modo para propósitos similares. Para a rede, é indistinguível de um switch que tem duas portas em locais separados.

Não há necessidade de hardware especial. Qualquer máquina rodando Linux que tenha 2 NICs pode fazer isso. Existem também algumas distribuições de roteadores, como o Vyatta, que suportarão isso. Você pode usar algo como DD-WRT também, mas não tenho certeza sobre isso.

É assim que eu faço com o openSUSE como distro. Pode ser um pouco mais fácil com algo como o Vyatta, mas já fiz isso várias vezes e funciona perfeitamente:

Escolha uma máquina para ser um servidor. Execute as seguintes tarefas nessa máquina:

  1. Configure o easy-rsa para gerenciamento de chaves (ele é armazenado em /usr/share/openvpn/easy-rsa/2.0/ no openSUSE, mas eu faço uma cópia em / etc / openvpn em vez de usá-lo nesse local):

    • cd < localização da easy_rsa >

    • Edite o arquivo vars e defina os parâmetros KEY_ *

    • vars

    • ./ clean-all

    • ./ build-dh

    • ./ pkitool --initca

    • ./ pkitool - servidor mybridge

    • ./ pkitool mybridge-client

  2. Crie uma interface de ponte criando o arquivo / etc / sysconfig / network / ifcfg-mybridge, onde você pode substituir qualquer nome que você queira por mybridge:

    BOOTPROTO='none'
    BRIDGE='yes'
    BRIDGE_FORWARDDELAY='0'
    BRIDGE_PORTS='eth1'
    BRIDGE_STP='off'
    STARTMODE='auto'
    

2a. Estou assumindo que você terá a eth1 como a interface "interna" aqui. Você pode configurá-lo de tal forma que o servidor use apenas um único NIC, que é o que eu normalmente faria nessa situação, mas estou tentando mantê-lo um pouco simples. Se você quiser tentar isso, crie a ponte como acima, coloque eth0 em BRIDGE_PORTS e copie as informações de IP do ifcfg-eth0 para ifcfg-mybridge. Em seguida, exclua ifcfg-eth0, já que sua ponte será a interface primária

  1. Crie um /etc/openvpn/mybridge-server.conf (supondo que você tenha feito uma cópia do easy-rsa):

    port 1194
    proto udp
    dev mytun
    dev-type tap
    mode server
    tls-server
    
    ca /etc/openvpn/easy-rsa/keys/ca.crt
    cert /etc/openvpn/easy-rsa/keys/mybridge-server.crt
    key /etc/openvpn/easy-rsa/keys/mybridge-server.key
    dh /etc/openvpn/easy-rsa/keys/dh1024.pem
    
    keepalive 10 600
    comp-lzo
    fast-io
    user nobody
    group nogroup
    persist-key
    persist-tun
    
    script-security 2
    up mybridge-up.sh
    
    status /var/run/openvpn/mybridge-server-status
    verb 3
    
  2. Crie o arquivo mybridge-up.sh em / etc / openvpn para garantir que a interface openVPN seja adicionada à ponte quando ela for iniciada:

    #!/bin/bash
    # Called with these args:
    #   tap_dev tap_mtu link_mtu ifconfig_local_ip ifconfig_netmask [ init | restart ]
    /sbin/ip link set $1 up
    /sbin/brctl addif mybridge $1
    
  3. Assegure-se de que o openVPN inicie na inicialização e inicie / reinicie tudo:

    • chkconfig --add openvpn

    • rcnetwork restart

    • rcopenvpn start

Neste ponto, você terá uma interface de ponte chamada mybridge, contendo as interfaces eth1 e mytun. Como qualquer switch, os quadros Ethernet são passados apenas se o destino mac estiver presente no outro lado

Agora você pode configurar o lado do cliente:

  1. Crie uma interface de ponte como no servidor, criando o arquivo / etc / sysconfig / network / ifcfg-mybridge:

    BOOTPROTO='none'
    BRIDGE='yes'
    BRIDGE_FORWARDDELAY='0'
    BRIDGE_PORTS='eth1'
    BRIDGE_STP='off'
    STARTMODE='auto'
    
  2. Copie os arquivos ca.crt, mybridge-client.crt e mybridge-client.key para a máquina cliente. Vou usar o / etc / openvpn / keys / no meu exemplo

  3. Crie um /etc/openvpn/mybridge-client.conf:

    proto udp
    dev mytun
    dev-type tap
    client
    
    remote hostname_or_ip_of_server 1194
    
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/mybridge-client.crt
    key /etc/openvpn/keys/mybridge-client.key
    
    float
    resolv-retry infinite
    nobind
    comp-lzo
    fast-io
    user nobody
    group nogroup
    persist-key
    persist-tun
    
    script-security 2
    up mybridge-up.sh
    
    verb 3
    
  4. Copie ou crie o arquivo mybridge-up.sh no servidor em / etc / openvpn

  5. Assim como no servidor, certifique-se de que o openVPN inicie na inicialização e inicie / reinicie tudo:

    • chkconfig --add openvpn

    • rcnetwork restart

    • rcopenvpn start

Depois de tudo isso, qualquer máquina em ambos os lados poderá falar entre si como se estivessem no mesmo segmento físico. Você poderia até mesmo atender o DHCP de um lado, se quisesse, ou executar remotamente a configuração de dispositivos que saem da caixa com endereços IP estáticos pré-configurados.

    
por 26.09.2011 / 01:32
3

Você tem duas opções:

  • Altere o endereço IP do servidor movido. Essa é realmente a opção preferida, e não há motivo para que eu possa ver nessa topologia para não fazer isso, além de evitar fazer alterações na configuração.
  • Estenda o domínio de sub-rede / broadcast para a rede remota via L2TP.
por 19.09.2011 / 20:23
0

Você poderia usar algum tipo de NAT reverso no roteador A.

Encaminharia qualquer pedido da rede privada para o 172.20.20.15 ao IP atual do servidor (público).

Eu não tenho nenhum exemplo de configuração para mostrar, mas seria fácil de configurar em uma variedade de redes de classe empresarial. (ou seja, não soho nem grau do consumidor).

    
por 26.09.2011 / 02:00
-3

Sugiro-lhe um Cisco 800 Series Router. link

Eu não sei como você se conecta à Internet ISP Line (Ethernet, ADSL, SHDSL, ...), então eu não posso sugerir-lhe um determinado 800 Series Router

    
por 19.09.2011 / 20:43