Làm thế nào để kết nối an toàn hai mạng với nhau qua Internet?


11

Hãy nói rằng có hai địa điểm. Cả hai địa điểm đều có kết nối Internet nhanh. Làm thế nào để bạn tham gia hai mạng này với nhau để mọi máy tính có thể nhìn thấy mọi máy tính khác?

Bạn có cần một bộ điều khiển miền, hoặc bạn có thể làm điều này với các nhóm làm việc không?

Giải pháp rõ ràng dường như là VPN, nhưng VPN chỉ có thể được thực hiện trên các bộ định tuyến? Các máy tính trên mạng có thể không có cấu hình không?

Câu trả lời:


9

VPN chỉ có thể được thực hiện trên các bộ định tuyến? Các máy tính trên mạng có thể được cấu hình miễn phí không?

Đúng. Giả sử bộ định tuyến hợp lý và bố trí mạng hợp lý. Nếu các trang web của bạn đều chia sẻ cùng một dải IP (tức là tất cả chúng đều sử dụng 192.168.0.0/24 và do đó chồng chéo) thì bạn sẽ phải thực hiện đầy đủ NAT và mọi thứ trở nên lộn xộn.

Nếu bạn đã cung cấp mỗi trang web trong mạng con riêng của mình, thì điều này thật đơn giản và những cân nhắc duy nhất của bạn là:

  • giảm thiểu lưu lượng qua VPN
  • bảo mật VPN (nghĩa là sử dụng đúng loại VPN)
  • tích hợp các hệ thống trên VPN (tức là duyệt mạng Windows chéo mạng con)

3
+1 cho NAT đầy đủ: Mọi thứ trở nên thực sự lộn xộn.
Antoine Benkemoun

11

Giải pháp tiêu chuẩn là sử dụng VPN giữa hai bộ định tuyến và bạn điều chỉnh định tuyến để tất cả lưu lượng LAN-to-LAN vượt qua VPN.

Tên miền / Nhóm làm việc thực sự không liên quan gì cả. Một chút thông tin phù hợp hơn sẽ là loại bộ định tuyến mà cả hai trang web có, và nếu chúng có thể tạo L2TP , PPTP hoặc một số đường hầm được mã hóa khác hoặc nếu chúng đang chạy một hệ điều hành tiêu chuẩn như Linux, nơi bạn có thể cài đặt phần mềm. Có nhiều bộ định tuyến đã hỗ trợ kết nối VPN. Thậm chí một số bộ định tuyến gia đình có thể làm điều đó nếu bạn cài đặt phần sụn tùy chỉnh. Bạn có thể tạo VPN giữa các máy chủ của mình, mặc dù việc định tuyến đúng có thể hơi khó khăn.

Tôi thực sự thích OpenVPN như một giải pháp nếu tôi có một hệ thống sẽ hỗ trợ nó. Nhiều giải pháp VPN tốt khác tồn tại.

Giải pháp rõ ràng dường như là VPN, nhưng VPN chỉ có thể được thực hiện trên các bộ định tuyến? Các máy tính trên mạng có thể không có cấu hình không?

Những điều này hoàn toàn phụ thuộc vào loại bộ định tuyến bạn có. Nếu bộ định tuyến của bạn là một máy tính chạy Linux thì có. Nếu bộ định tuyến của bạn là một bộ định tuyến băng thông rộng rẻ tiền, thì có lẽ phần cứng hiện tại của bạn có thể làm điều này. Nếu phần cứng hiện tại của bạn không thể làm điều này, bạn chắc chắn có thể mua bộ định tuyến.

Các khách hàng thực sự không cần biết gì về VPN.


Đây có phải là một tính năng trên bộ định tuyến, hoặc bạn cần chạy cổng riêng của mình?
Pyrolistic

2
Bạn có thể nhận các bộ định tuyến thực hiện việc này hoặc bạn có thể mua các thiết bị VPN riêng biệt thực hiện công việc.
Michael Kohne

Đồng ý. Sử dụng bộ định tuyến hoặc thiết bị VPN / thiết bị cổng IPSec. Điều này cũng được gọi là VPN trang web.
squillman

2
Er, đó là một bộ định tuyến sẽ hỗ trợ các đường hầm VPN trang web.
squillman

4

Mặc dù các đề xuất "mở" là tuyệt vời, nhưng nếu bạn hỏi câu hỏi này, tôi đoán là bạn khó có thể thực hiện thành công chúng.

Hãy tự cứu mình thật nhiều rắc rối và chọn hai bộ định tuyến có khả năng VPN từ một nhà cung cấp như Linksys, Netgear, D-Link hoặc thậm chí Sonicwall. Chúng rất dễ cài đặt và sẽ kết nối hai mạng với nhau một cách an toàn.

Khi đã xong, các máy tính có "nhìn thấy" nhau hay không, phụ thuộc rất nhiều vào mạng được chạy và cách lưu lượng truy cập qua VPN. Nhóm làm việc Windows là các hệ thống dựa trên phát sóng có thể can thiệp vào "vùng lân cận mạng" hiển thị tất cả các hệ thống. Sử dụng tệp "lmhosts" có thể giúp phân giải tên. Đây thường là những tên miền được sử dụng cùng với sự tin tưởng giữa các tên miền nếu chúng khác nhau. Bằng cách đăng ký trung tâm cho máy tính (Active Directory và DNS), họ có thể "tìm" nhau mà không cần định cấu hình độ phân giải tên trên mỗi máy.


1
Tôi ghét các nhóm làm việc, vì vậy tôi chỉ sử dụng các ips cố định và sử dụng nó
Pyrolistic

3

OpenBSD và IPSEC. Sử dụng máy chủ OpenBSD ở đầu tương ứng của liên kết để hoạt động như một cổng IPSEC. Nó rất dễ dàng để thiết lập.


IPSEC rất tuyệt (và dường như dễ cài đặt trong OpenBSD) nếu cả hai đầu đều sử dụng IP công cộng. Nếu tường lửa nội bộ (hoặc bộ định tuyến) của bạn bị NAT, thì nhiều khả năng bạn sẽ có được giải pháp tốt hơn bằng cách sử dụng một cái gì đó như OpenVPN (cũng hoạt động tốt trong OpenBSD.)
samt

3

Chúng tôi có kịch bản chính xác này với 4 trang web trên khắp Vương quốc Anh.

Mỗi trang web có một thiết bị VPN draytek có vài trăm quid.

Tất cả chúng được kết nối với nhau bằng VPN và nó hoạt động như một bùa mê.


1
+1 cho Draytek - công cụ của họ hoạt động rất tốt. Tôi không biết nó là giao thức gì nhưng cấu hình khá đau.
pjc50

2

Đường hầm VPN. Tôi thích VPN dựa trên phần cứng, đây là ở cấp độ bộ định tuyến. Có rất nhiều ngoài kia từ rất rẻ đến rất đắt. Về phía giá rẻ có Linksys, DLINK và mặt khác bạn có Cisco, sonicwall và những người khác.

Các bộ định tuyến đắt tiền cho phép nhiều cấu hình hơn để định tuyến và như vậy.

Đây là một nhược điểm ... VPN của bạn chỉ hiệu quả như các dòng hỗ trợ các đường hầm, vì trời, xin đừng thử tải chính sách nhóm từ bộ điều khiển miền xuống một nửa máy khách trên toàn thế giới qua một đường 512KB .

Ngoài ra, hãy cố gắng kiểm soát lưu lượng phát sóng của bạn trên mạng nếu cả hai trang web sẽ có các mạng con khác nhau.

Chúc may mắn!


1

Khi bạn thiết lập kết nối VPN, có lẽ bạn muốn có mỗi vị trí có mạng con riêng để giới hạn miền quảng bá. Tại sao làm tắc nghẽn kết nối băng thông hạn chế của bạn với lưu lượng truy cập không liên quan?

Các thiết bị định tuyến / vpn của bạn nên có các tuyến đến các vị trí khác, chỉ cần thiết lập các máy chủ DNS cục bộ để giải quyết các máy "bên kia".


1

Loại cấu hình này đã được sử dụng trong nhiều năm.

Thiết lập VPN giữa các trang web. Sau đó kích hoạt giao thức định tuyến động để chia sẻ thông tin mạng giữa các trang.

Theo kinh nghiệm của tôi, các bộ định tuyến sẽ có một số loại liên kết Điểm-Điểm ảo giữa chúng, có thể là một đường hầm GRE hoặc L2TP. Các giao thức định tuyến động xử lý liên kết này giống như bất kỳ giao diện nào khác.

Có một số vấn đề về cấu hình cụ thể của nhà cung cấp / triển khai với cấu hình VPN - tham khảo tài liệu, tổ chức hỗ trợ của nhà cung cấp hoặc mô tả những sản phẩm bạn đang sử dụng.

Một điểm quan trọng liên quan đến thiết kế mạng - bạn cần coi tất cả các trang web là một phần của một mạng lớn. Ví dụ: bạn không thể định cấu hình tất cả các trang web từ xa để có mạng con 192.168.1.0. Thay vào đó, bạn có thể có được cơn ác mộng như vậy khi làm việc với NAT và với cấu hình định tuyến rất phức tạp, nhưng việc thiết kế tất cả các trang web là một phần của một không gian mạng sẽ dễ dàng hơn nhiều.


1

Nếu các bộ định tuyến kết nối mạng WAN trên cả hai trang web đều hỗ trợ nó, IPSEC VPN có vẻ như là tùy chọn hợp lý. Ngoài ra, một tường lửa hoặc hộp chấm dứt VPN chuyên dụng (và có thể là một số định tuyến tĩnh) sẽ làm cho nó trong suốt đối với các máy tính cá nhân mà bạn đang di chuyển các gói qua VP {N.


1

Có rất nhiều giải pháp VPN tốt, nhưng đôi khi bạn cần một cái gì đó nhanh chóng và bẩn thỉu. Bạn có thể thiết lập VPN bằng cách sử dụng PPP qua SSH . Giải pháp này có rất nhiều nhược điểm nhưng ưu điểm là nó không cần các công cụ hay chương trình đặc biệt, chỉ cần ssh và ppp tiêu chuẩn. Nó có thể cũng hoạt động trên Windows với một chút tinh chỉnh.


0

VPN, như mọi người khác đã đề cập là con đường để đi.

Tôi khiêm tốn đề nghị monowall là cách nhanh nhất để thiết lập một điểm chuyên dụng để trỏ VPN.

Các vấn đề phổ biến nhất với VPN là mạng con và cổng không chính xác.


0

Làm thế nào về một KIV-21? Nó là một công cụ mã hóa mạng độc lập. Bạn đặt một cái trên mỗi mạng và mọi thứ giữa hai mạng đều được mã hóa.

  • Dễ dàng cài đặt
  • Rất an toàn
  • Đào tạo rất tốt có sẵn

Tuy nhiên

  • Đắt
  • Mua hàng có thể bị hạn chế

http: // gateway.viasat.com/_files/KIV_21_01.pdf


0

Tôi đã sử dụng Untangle (một bản phân phối linux từ www.untangle.com) có OpenVPN dưới dạng tùy chọn tích hợp. Nó cũng có nhiều tính năng tuyệt vời khác. Bạn sẽ thiết lập một hộp Untangle ở ​​mỗi đầu và xây dựng một đường hầm giữa hai.


0

Giải pháp rõ ràng dường như là VPN, nhưng VPN chỉ có thể được thực hiện trên các bộ định tuyến?

Nó phụ thuộc vào các bộ định tuyến của bạn là gì. Rất nhiều bộ định tuyến tầm thấp / trung bình có thể hoạt động như máy chủ / máy khách VPN. Nếu bộ định tuyến của bạn là một số hộp Unix thì không nên quá khó để định cấu hình OpenVPN trên chúng.

Nếu máy tính của bạn đang chạy Windows, bạn có thể muốn định cấu hình máy chủ WINS trên mỗi trang web. Một lần nữa, một hộp Unix có thể thực hiện công cụ bằng Samba .

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.