web-dev-qa-db-fra.com

Comment participer de manière sécurisée deux réseaux ensemble sur Internet?

Disons qu'il y a deux endroits. Les deux emplacements ont leurs propres connexions Internet rapides. Comment rejoignez-vous ces deux réseaux ensemble de manière à ce que chaque ordinateur puisse voir tous les autres ordinateurs?

Avez-vous besoin d'un contrôleur de domaine ou pouvez-vous faire cela avec des groupes de travail?

La solution évidente semble être VPN, mais la VPN peut-elle être mise en œuvre sur les routeurs uniquement? Les ordinateurs sur le réseau peuvent-ils être sans configuration?

11
Pyrolistical

vPN peut-il être mis en œuvre sur les routeurs seulement? Les ordinateurs sur le réseau peuvent-ils être libres de configuration?

Oui. En supposant des routeurs raisonnables et une mise en page de réseau raisonnable. Si vos sites partagent tous la même gamme IP (c'est-à-dire qu'ils utilisent tous 192.168.0.0.0/24 et se chevauchent donc), vous devrez faire pleinement NAT et les choses deviennent désordonnées.

Si vous approvisionnez chaque site dans son propre sous-réseau, c'est simple, et vos seules considérations sont les suivantes:

  • minimiser le trafic sur le VPN
  • sécurité du VPN (c'est-à-dire Utilisez le bon type de VPN)
  • intégration des systèmes sur le VPN (I.e. Cross-Subnet Windows Network Navigation)
9
tumbleweed

La solution standard consiste à utiliser une utilisation A [~ # ~ # ~] [~ # ~] entre deux routeurs et vous ajustez le routage afin que tout le trafic LAN-TO-LAN traverse le VPN.

Les domaines/groupes de travail ne sont vraiment pas liés du tout. Un bit d'information plus pertinent constituerait le type de routeurs que les deux sites ont, et s'ils peuvent créer L2TP , [~ # ~ # ~ # ~] , ou Un autre tunnel crypté, ou s'ils exécutent un système d'exploitation standard comme Linux où vous pouvez installer des logiciels. Il existe de nombreux routeurs qui prennent déjà en charge les connexions VPN. Même certains routeurs de maison peuvent le faire si vous installez un micrologiciel personnalisé. Vous pouvez créer un VPN entre vos serveurs, bien que le droit de routage peut être un peu délicat.

J'aime vraiment OpenVPN comme solution si j'ai un système qui le soutiendra. De nombreuses autres solutions VPN existent.

La solution évidente semble être VPN, mais la VPN peut-elle être mise en œuvre sur les routeurs uniquement? Les ordinateurs sur le réseau peuvent-ils être sans configuration?

Celles-ci dépendent complètement du type de routeur que vous avez. Si votre routeur est un ordinateur exécutant Linux, alors oui. Si votre routeur est un routeur haut débit peu coûteux, votre matériel actuel peut peut-être le faire. Si votre matériel actuel ne peut pas faire cela, vous pouvez certainement acheter des routeurs qui le feront.

Les clients ne devraient vraiment pas avoir besoin de savoir quoi que ce soit sur le VPN.

11
Zoredache

Alors que les suggestions "ouvertes" sont excellentes, si vous posez cette question, je suppose que vous devez que vous soyez peu probable que vous ayez du succès à les mettre en œuvre.

Économisez-vous beaucoup de problèmes et récupérez deux routeurs avec des capacités VPN d'un fournisseur comme Linksys, Netgear, D-Link, voire Sonicwall. Ils sont très faciles à installer et connectent deux réseaux ensemble de manière sécurisée.

Une fois que cela est fait, si les ordinateurs "se voit" mutuellement sont très dépendants du réseau étant exécuté et comment ce trafic passe sur le VPN. Windows Workgroups sont des systèmes basés sur la diffusion qui peuvent interférer avec le "quartier de réseau" montrant tous les systèmes. L'utilisation de fichiers "lmhosts" peut vous aider à résoudre le nom. Il s'agit généralement de quels domaines sont utilisés pour les fiducies entre les domaines si elles sont différentes. En ayant une inscription centrale pour les ordinateurs (Active Directory et DNS), ils sont capables de "se trouver" mutuellement sans configurer la résolution de nom sur chaque machine.

4
Kevin Kuphal

Nous avons ce scénario exact avec 4 sites à travers le Royaume-Uni.

Chaque site dispose d'un périphérique VPN DrayTek qui sont quelques centaines de DID.

Ils sont tous connectés les uns aux autres par VPN et cela fonctionne comme un charme.

3
Martin

Openbsd et ipsec. Utilisez un serveur OPENBSD aux extrémités correspondantes du lien pour servir de passerelle IPsec. Il est très facile à configurer.

3
pdxpatzer

Tunnels VPN. Je préfère VPN basé sur le matériel, c'est au niveau du routeur. Il y a beaucoup de temps là-bas de très bon marché à très cher. Du côté bon marché, Linksys, Dlink et de l'autre côté, vous avez Cisco, SonicWall et d'autres.

Les routeurs coûteux permettent davantage de configurations de routage et ainsi de suite.

Voici la prise ... Votre VPN n'est que aussi efficace que les lignes prenant en charge les tunnels, pour l'amour des cieux, n'essayez pas de charger la stratégie de groupe à partir d'un contrôleur de domaine jusqu'à un client à mi-chemin du monde sur une ligne de 512 Ko. .

Essayez également de contrôler votre réseau Accross de trafic de diffusion si les deux sites auront différents sous-réseaux.

Bonne chance!

2
Saif Khan

Ce type de configuration a été utilisé depuis des années.

Établir des VPN entre les sites. Activez ensuite un protocole de routage dynamique pour partager des informations réseau entre les sites.

Dans mon expérience, les routeurs auront une sorte de lien virtuel point à point entre eux, peut-être un tunnel GRE ou L2TP. Les protocoles de routage dynamiques traitent ce lien comme n'importe quelle autre interface.

Il existe des problèmes de configuration spécifiques au fournisseur/implémentation avec la configuration VPN - consultez la documentation, l'organisation de support du fournisseur ou décrivez les produits que vous utilisez.

Un point clé relatif à la conception du réseau - Vous devez traiter tous les sites dans le cadre d'un grand réseau. Par exemple, vous ne pouvez pas configurer tous les sites distants pour avoir un sous-réseau 192.168.1.0. Au lieu de cela, vous pourrez peut-être obtenir un tel cauchemar pour travailler avec NAT et avec une configuration de routage très compliquée, mais il est tellement plus facile de concevoir tous les sites comme faisant partie d'un espace réseau. .

1
pcapademic

Si les routeurs de connexion WAN sur les deux sites le supportent, un VPN IPsec ressemble à l'option sensible. Alternativement, une boîte de cérémonie de pare-feu ou de VPN dédié (et éventuellement un routage statique) devrait le rendre transparent pour les ordinateurs individuels que vous transportez les paquets sur un vp {n.

1
Vatine

Il y a beaucoup de bonnes solutions VPN là-bas, mais parfois, vous avez besoin de quelque chose de rapide et de sale. Vous pouvez configurer un VPN en utilisant PPP sur SSH . Cette solution a de nombreux inconvénients, mais l'avantage est qu'il n'a besoin d'outils ni de programmes spéciaux, juste standard SSH et PPP. Cela pourrait probablement fonctionner sur Windows avec un peu de peaufine.

Lorsque vous configurez une connexion VPN, vous souhaitez probablement avoir chaque emplacement avec son propre sous-réseau pour limiter le domaine de diffusion. Pourquoi obstruer votre connexion à bande passante limitée avec un trafic étranger?

Vos périphériques de routeur/VPN doivent avoir des itinéraires vers les autres emplacements, ce qui permet simplement de configurer les serveurs DNS locaux pour adresser aux machines le "autre" côté.

1
David Yu

J'utilise Dotangle (une distribution Linux de www.untangle.com) qui a openvpn comme option intégrée. Il a aussi beaucoup d'autres caractéristiques. Vous configurez une boîte à démêler sur chaque extrémité et construisez un tunnel entre les deux.

0
Corey

La solution évidente semble être VPN, mais la VPN peut-elle être mise en œuvre sur les routeurs uniquement?

Cela dépend de ce que sont vos routeurs. Beaucoup de routeurs à faible gamme sont capables d'agir en tant que serveur/client VPN. Si votre routeur est une boîte Unix, il ne doit pas être trop difficile de configurer OpenVPN sur eux.

Si vos ordinateurs exécutent Windows, vous pouvez configurer un [~ # ~ ~] WINS [~ # ~] serveur sur chaque site. Encore une fois, une boîte Unix pourrait faire la matière à l'aide de samba .

0
Benoit

Un VPN, comme tout le monde a mentionné, c'est la voie à suivre.

Je suggère humblement MONOWALL comme étant le moyen le plus rapide de configurer un point dédié à Point VPN.

Les questions les plus courantes avec les VPN sont des sous-réseaux et des passerelles incorrectes.

0
Matthew

Que diriez-vous d'un KIV-21? C'est un inconpréteur réseau autonome. Vous en mettez un sur chaque réseau et tout entre les deux réseaux est crypté.

  • Facile à configurer
  • Très sûr
  • Très bonne formation disponible

Toutefois

  • Cher
  • L'achat peut être restreint

http: // gateway.viasat.com/_files/kiv_21_01.pdf

0
Chris Mc