Disons qu'il y a deux emplacements. Les deux sites ont leurs propres connexions Internet rapides. Comment associez-vous ces deux réseaux afin que chaque ordinateur puisse voir tous les autres ordinateurs?
Avez-vous besoin d'un contrôleur de domaine ou pouvez-vous le faire avec des groupes de travail?
La solution évidente semble être le VPN, mais le VPN peut-il être implémenté uniquement sur les routeurs? Les ordinateurs du réseau peuvent-ils être exempts de configuration?
Réponses:
le VPN peut-il être implémenté uniquement sur les routeurs? Les ordinateurs du réseau peuvent-ils être sans configuration?
Oui. En supposant des routeurs raisonnables et une configuration réseau raisonnable. Si vos sites partagent tous la même plage IP (c'est-à-dire qu'ils utilisent tous 192.168.0.0/24 et se chevauchent donc), vous devrez faire du NAT complet et les choses deviendront compliquées.
Si vous avez provisionné chaque site dans son propre sous-réseau, alors c'est simple, et vos seules considérations sont:
La solution standard consiste à utiliser un VPN entre deux routeurs, et vous ajustez le routage de sorte que tout le trafic LAN à LAN traverse le VPN.
Les domaines / groupes de travail ne sont vraiment pas liés du tout. Une information plus pertinente serait le type de routeurs des deux sites, et s'ils peuvent créer L2TP , PPTP ou un autre tunnel crypté, ou s'ils exécutent un système d'exploitation standard comme Linux où vous pouvez installer des logiciels. Il existe de nombreux routeurs qui prennent déjà en charge les connexions VPN. Même certains routeurs domestiques peuvent le faire si vous installez un firmware personnalisé. Vous pouvez créer un VPN entre vos serveurs, bien que le bon routage puisse être un peu délicat.
J'aime vraiment OpenVPN comme solution si j'ai un système qui le supportera. Il existe de nombreuses autres bonnes solutions VPN.
La solution évidente semble être le VPN, mais le VPN peut-il être implémenté uniquement sur les routeurs? Les ordinateurs du réseau peuvent-ils être exempts de configuration?
Cela dépend complètement du type de routeur dont vous disposez. Si votre routeur est un ordinateur sous Linux, alors oui. Si votre routeur est un routeur à large bande bon marché, alors peut-être que votre matériel actuel peut le faire. Si votre matériel actuel ne peut pas le faire, vous pouvez certainement acheter des routeurs qui le feront.
Les clients ne devraient vraiment pas avoir besoin de savoir quoi que ce soit sur le VPN.
Bien que les suggestions «ouvertes» soient excellentes, si vous posez cette question, je suppose que vous ne réussirez probablement pas à les mettre en œuvre.
Épargnez-vous beaucoup de problèmes et choisissez deux routeurs dotés de capacités VPN auprès d'un fournisseur comme Linksys, Netgear, D-Link ou même Sonicwall. Ils sont très faciles à installer et connecteront deux réseaux ensemble en toute sécurité.
Une fois cela fait, le fait que les ordinateurs se "voient" les uns les autres dépend beaucoup du réseau en cours d'exécution et de la façon dont ce trafic passe sur le VPN. Les groupes de travail Windows sont des systèmes de diffusion qui peuvent interférer avec le «voisinage réseau» affichant tous les systèmes. L'utilisation de fichiers "lmhosts" peut aider à la résolution des noms. Il s'agit généralement des domaines utilisés ainsi que des approbations entre domaines s'ils sont différents. En ayant un enregistrement central pour les ordinateurs (Active Directory et DNS), ils sont capables de "se trouver" sans configurer la résolution de nom sur chaque machine.
OpenBSD et IPSEC. Utilisez un serveur OpenBSD aux extrémités respectives du lien pour agir comme une passerelle IPSEC. C'est très simple à installer.
Nous avons ce scénario exact avec 4 sites à travers le Royaume-Uni.
Chaque site dispose d'un périphérique VPN draytek qui représente quelques centaines de livres sterling.
Ils sont tous connectés les uns aux autres par VPN et cela fonctionne comme un charme.
Tunnels VPN. Je préfère le VPN basé sur le matériel, c'est au niveau du routeur. Il y en a beaucoup de très bon marché à très cher. Du côté bon marché, il y a Linksys, DLINK et de l'autre côté, vous avez Cisco, Sonicwall et d'autres.
Les routeurs coûteux permettent plus de configurations pour le routage et ainsi de suite.
Voici le hic ... votre VPN n'est aussi efficace que les lignes supportant les tunnels, pour l'amour du ciel, n'essayez pas de charger la stratégie de groupe d'un contrôleur de domaine vers un client à l'autre bout du monde sur une ligne de 512 Ko .
Essayez également de contrôler votre trafic de diffusion sur le réseau si les deux sites auront des sous-réseaux différents.
Bonne chance!
Lorsque vous configurez une connexion VPN, vous souhaiterez probablement avoir chaque emplacement avec son propre sous-réseau pour limiter le domaine de diffusion. Pourquoi obstruer votre connexion à bande passante limitée avec du trafic étranger?
Vos périphériques routeur / vpn doivent avoir des routes vers les autres emplacements, il suffit de configurer les serveurs DNS locaux pour adresser les machines de l'autre côté.
Ce type de configuration est utilisé depuis des années.
Établissez des VPN entre les sites. Activez ensuite un protocole de routage dynamique pour partager les informations réseau entre les sites.
D'après mon expérience, les routeurs auront une sorte de lien virtuel point à point entre eux, peut-être un tunnel GRE ou L2TP. Les protocoles de routage dynamique traitent ce lien comme n'importe quelle autre interface.
Il y a des problèmes de configuration spécifiques au fournisseur / à l'implémentation avec la configuration VPN - consultez la documentation, l'organisation de support du fournisseur ou décrivez les produits que vous utilisez.
Un point clé concernant la conception du réseau - vous devez traiter tous les sites comme faisant partie d'un grand réseau. Par exemple, vous ne pouvez pas configurer tous les sites distants pour avoir un sous-réseau 192.168.1.0. Au contraire, vous pourriez être en mesure de faire fonctionner un tel cauchemar avec NAT et avec une configuration de routage très compliquée, mais il est tellement plus facile de concevoir tous les sites comme faisant partie d'un espace réseau.
Si les routeurs de connexion WAN sur les deux sites le prennent en charge, un VPN IPSEC semble être l'option judicieuse. Alternativement, un pare-feu ou une boîte de terminaison VPN dédiée (et éventuellement un routage statique) devrait rendre transparent pour les ordinateurs individuels que vous transportez les paquets sur un VP {N.
Il existe de nombreuses bonnes solutions VPN, mais parfois vous avez besoin de quelque chose de rapide et de sale. Vous pouvez configurer un VPN à l'aide de PPP sur SSH . Cette solution présente de nombreux inconvénients mais l'avantage est qu'elle n'a besoin d'aucun outil ou programme spécial, juste de ssh et ppp standard. Cela pourrait probablement fonctionner sur Windows aussi avec un petit ajustement.
Que diriez-vous d'un KIV-21? Il s'agit d'un chiffreur de réseau autonome. Vous en mettez un sur chaque réseau, et tout entre les deux réseaux est crypté.
pourtant
http: // gateway.viasat.com/_files/KIV_21_01.pdf
La solution évidente semble être le VPN, mais le VPN peut-il être implémenté uniquement sur les routeurs?
Cela dépend de vos routeurs. Un grand nombre de routeurs bas / milieu de gamme peuvent agir en tant que serveurs / clients VPN. Si votre routeur est une boîte Unix, il ne devrait pas être trop difficile de configurer OpenVPN sur eux.
Si vos ordinateurs exécutent Windows, vous souhaiterez peut-être configurer un serveur WINS sur chaque site. Encore une fois, une boîte Unix pourrait faire les choses en utilisant Samba .