VPN de site a site usando o RRAS de uma rede não confiável?

Navegue suas respostas
1

Nosso escritório remoto estará se movendo para um novo espaço onde a internet será fornecida. Eles estarão atrás de um roteador fazendo NAT (eu não tenho direitos de administrador para este roteador). Eles estarão compartilhando uma impressora com as outras pessoas na LAN, mas precisarão de VPN em nossa rede para compartilhar e-mails e arquivos.

Eu estava pensando em tê-los executando o cliente VPN do Windows e conectando-se via PPTP como fazem quando estão fora do local, mas eu li que várias conexões PPTP do mesmo endereço NAT para o mesmo destino não t funcionar bem ou em tudo.

Estou a pensar que é necessário algum tipo de VPN site-to-site, pelo que só existe um túnel. Posso apenas colocar em um gateway de VPN, configurá-lo para se conectar ao nosso servidor RRAS / PPTP e tê-los usá-lo como seu gateway padrão? Talvez até use o gateway padrão local para o tráfego da Internet. Em caso afirmativo, qual gateway / dispositivo de VPN é recomendado para isso?

Ou outras soluções? Obrigado.

    
por DrZaiusApeLord 17.05.2010 / 18:01

1 resposta

1

Existe alguma chance de eles serem capazes de configurar uma VLAN para o seu escritório? Como eles só precisam de roteamento inter-VLAN muito pequeno (sendo a VLAN 1 a rede do seu escritório remoto, a VLAN 2 sendo o outro escritório com o qual você está compartilhando), uma configuração de VLAN de roteador no bastão funcionaria bem (somente quando você "Estamos fazendo um roteamento intenso entre as VLANs que você deseja que um roteador de núcleo de Camada 3 real faça o roteamento).

Por ter duas VLANs isoladas com uma topologia de roteador em um bastão, você pode configurar regras de firewall entre as duas organizações da maneira que achar melhor: ambas podem executar seus próprios servidores DHCP e ambas podem (e devem) ser em sub-redes separadas. Com isso, você pode criar um túnel VPN site a site a partir da própria borda como o ponto de extremidade e colocar as regras de firewall adequadas para permitir que a VLAN de sua organização o acesse.

Se você não pode fazer isso, não há razão para que você não possa fazer NAT duplo - basta colocar suas duas máquinas remotas atrás de um roteador de firewall decente que pode fazer VPNs cliente-para-site IPSec / OpenVPN (pfSense em um ALIX funcionaria muito bem *; veja netgate.com) para que seu lado "WAN" do firewall obtenha um IP de LAN da rede compartilhada, e assim possa rotear quaisquer conexões de saída (através do "primeiro NAT") para impressoras, O acesso à Internet é duplicado. Com apenas duas máquinas, o desempenho deve ser aceitável, mas obviamente, teste primeiro. Isso isolará / protegerá suas estações de trabalho de sua rede como faz um firewall / roteador em um cenário normal de WAN (embora não faça nada para proteger suas estações de trabalho em caso de um surto de vírus, adulteração, etc. ).

* Com o pfSense, ele pode funcionar como um cliente OpenVPN, o que significa que você não precisa fazer nenhum encaminhamento de porta do roteador de borda para o roteador. Se você simplesmente deve ficar com o PPTP, outro firewall que usei que possui um cliente PPTP integrado é o SnapGear SG560 ( link ) apesar de ter sido comprado pela MacAfee, eu acho que é chamado de outra coisa.

    
por 17.05.2010 / 19:41

Tags

Alterando a velocidade da CPU e o VHD dinâmico para VHD estático no Hyper-V Problema com “Transfer-Encoding: chunked” no Apache 2.2