Como configurar uma rede de pequena empresa com um cliente VPN e um gateway de Internet compartilhado

Navegue suas respostas
1

Eu gerencio uma rede de pequena empresa, mas tenho muito pouco conhecimento / compreensão real de rede.

A rede tem um roteador Wi-Fi de consumo (Netgear DG834G), vários PCs / Macs, alguns iPads conectados via Wi-Fi e alguns servidores de arquivos (também caixas Netgear ReadyNAS de nível de consumidor)

Configurei uma VPN entre um PC (WinXP) em nossa rede e uma caixa VPS distante (AWS EC2), com openVPN; Eu uso a conexão VPN para ter um endereço IP com base nos EUA (já que não estou nos EUA).

Aqui está o que eu gostaria de fazer: Eu gostaria de poder usar a VPN de outras máquinas na rede, incluindo as Wifi conectadas (iPads), sem configurar um cliente VPN em cada máquina.

Eu acho que eu preciso ter uma configuração de máquina como gateway que as outras máquinas usariam, ou talvez conectar outro roteador que atue tanto como um gateway quanto como um cliente VPN, para o qual se possa conectar. atravessar o túnel VPN? Ou estou procurando por um proxy?

(Estou um pouco confuso, desculpe se o acima não é claro).

Qual é a maneira mais simples de conseguir isso? Já deve haver tutoriais descrevendo o que eu quero fazer, mas parece que não consigo encontrar nenhum depois de inúmeras pesquisas no Google ...

    
por Bambax 12.07.2011 / 11:58

4 respostas

0

Eu vejo dois problemas para os quais você precisa de uma solução; infelizmente nenhum deles é realmente "fácil" e eu recomendaria obter assistência de um consultor de empresas de pequeno porte de terceiros em sua área, pois você está lidando com a confiança do cliente aqui, e perder isso provavelmente seria uma coisa muito ruim.

  • um cliente deseja manter uma conexão criptografada com o seu escritório em todos os momentos. Isso é tradicionalmente resolvido com um túnel IPSec VPN site a site estabelecido (geralmente) entre os dois firewalls. . Com a configuração de rotas (e certificando-se de que não há sobreposição entre sub-redes LAN), você pode garantir que o tráfego de e para o escritório seja sempre criptografado, desde que cada lado esteja acessando os recursos uns dos outros por meio de suas sub-redes LAN. ou seja, se há um aplicativo ou serviço da Web (como uma Intranet) que você precisaria acessar do lado deles, você acessaria o link , onde 192.168. 1.0 / 24 é sua sub-rede LAN e 192.168.1.5 é seu servidor Web executando a Intranet.

  • Você deseja acessar sites somente dos EUA em todo o escritório. Eu gostaria de configurar um proxy em uma instância do micro Amazon EC2 com regras de autenticação e firewall para permitir o acesso apenas a seu IP da WAN do escritório. O Squid pode ser facilmente configurado, ou mesmo tinyproxy , como você não se beneficiaria de ter o cache ativado. Você poderia configurar o FoxyProxy no FireFox com uma lista de permissões dos sites somente para os EUA, para que apenas os sites somente dos EUA sejam acessados através do proxy, ou você poderia fazer o mesmo com outro proxy em sua LAN que determinaria qual proxy upstream usar. use (se houver) por URL solicitado (domínio). Eu também procuraria no Google por "serviços de proxy Hulu" ou "Hulu VPN", pois pode haver uma solução mais enlatada por aí que tira um monte de adivinhação.

por 12.07.2011 / 14:37
1

Sim, você precisa configurar um dispositivo que funcionará como o roteador para todas as conexões que passam pela VPN. Se este dispositivo também for seu gateway padrão, os clientes não precisarão ter nenhuma outra configuração aplicada - eles usarão o gateway padrão para tudo, e o gateway precisará ser informado sobre quais destinos são roteados pela VPN. Caso contrário, você pode dizer às máquinas do seu cliente para rotear o tráfego da VPN através de qualquer máquina que tenha a VPN em execução, mas isso fica muito mais complicado para todos.

    
por 12.07.2011 / 13:08
0

Recentemente, substituímos nossos roteadores Cisco RV082 por Roteadores VPN Netgate m1n1wall . Ao executar o pfSense , podemos configurar:

  1. Um túnel VPN IPsec persistente entre dois sites, cada site contém um Netgate m1n1wall VPN
  2. Conexões VPN baseadas em IPsec para nossos road warriors

Você pode comprar um Netgate m1n1wall e configurá-lo para criar um perfil persistente Túnel OpenVPN com seu AWS EC2 VPS e você pode configurar uma conexão móvel IPsec para seus iPads e outros sistemas clientes.

Configuração do Netgate m1n1wall

  • Netgate m1n1wall por US $ 214 + S / H, que contém:
    • ALIX.2D13 placa de sistema com CPU AMD Geode LX800 de 500 MHz e 3 portas 10/100 Enet
    • Cartão CF de Sandisk Ultra de 2 GB pré-carregado com o pfSense
    • Caso de área de trabalho
    • fonte de alimentação de 120 VAC / DC 15V
    • pfSense - "uma distribuição personalizada de código aberto do FreeBSD feita sob medida para uso como firewall e roteador."
  • Cartão acelerador VPN1411 por US $ 72 + S / H
por 12.07.2011 / 17:26
0

Aqui está o que eu fiz por agora, seguindo uma ideia encontrada na resposta do gravyface (parte 2).

Em um NAS (Netgear NV +) eu configuro o encaminhamento dinâmico de portas usando o comando 

ssh -f -N -D ip:port user@machine

e tinyproxy. Tinyproxy, como tal, não pode funcionar com o SOCKS, mas pode com tsocks que envolve as conexões do tinyproxy e as envia através do encaminhamento dinâmico de portas.

Portanto, o tinyproxy recebe solicitações de máquinas na LAN e usa o encaminhamento dinâmico de portas para transferir essas solicitações para a Internet.

Quanto ao acesso a websites somente dos EUA:

  • serviços como "o que é meu ip" detecta o proxy mas acha que o pedido vem dos EUA (o proxy é detectado porque a versão do tinyproxy disponível no readyNAS é antiga e não permite a supressão do ' via 'cabeçalho'
  • o hulu.com funciona bem (exceto ao usar um endpoint da AWS)

Eu não sei o quão seguro é esse tipo de configuração, no entanto.

Pelo que entendi, o tráfego da LAN para o proxy não é criptografado, mas não importa, pois o proxy também está na LAN; o tráfego entre o proxy e o nó de extremidade é criptografado. Portanto, se não me engano, alguém bisbilhotando em nossa LAN pode ler nosso tráfego, mas alguém fora de nossa LAN (nosso ISP) não pode (para as máquinas que usam o proxy).

    
por 13.07.2011 / 12:46

Tags

Busy WebServer Busy bombardeio e parece não obedecer ulimit definido para isso Múltiplos IPs na interface única - força o endereço IP da origem