Digamos que hay dos ubicaciones. Ambas ubicaciones tienen sus propias conexiones rápidas a Internet. ¿Cómo se unen estas dos redes para que cada computadora pueda ver cualquier otra computadora?
¿Necesita un controlador de dominio o puede hacerlo con grupos de trabajo?
La solución obvia parece ser VPN, pero ¿se puede implementar VPN solo en los enrutadores? ¿Pueden las computadoras en la red estar libres de configuración?
Respuestas:
¿Se puede implementar VPN solo en los enrutadores? ¿Pueden las computadoras en la red ser libres de configuración?
Si. Asumiendo enrutadores razonables y un diseño de red razonable. Si todos sus sitios comparten el mismo rango de IP (es decir, todos usan 192.168.0.0/24 y, por lo tanto, se superponen), entonces tendrá que hacer una NAT completa y las cosas se complicarán.
Si aprovisionó cada sitio en su propia subred, entonces esto es simple y sus únicas consideraciones son:
La solución estándar es usar una VPN entre dos enrutadores y ajustar el enrutamiento para que todo el tráfico de LAN a LAN cruce la VPN.
Los dominios / grupos de trabajo realmente no están relacionados en absoluto. Una información más relevante sería qué tipo de enrutadores tienen ambos sitios y si pueden crear L2TP , PPTP o algún otro túnel encriptado, o si están ejecutando un sistema operativo estándar como Linux donde puede instalar software. Hay muchos enrutadores que ya admiten conexiones VPN. Incluso algunos enrutadores domésticos pueden hacerlo si instala un firmware personalizado. Puede crear una VPN entre sus servidores, aunque hacer el enrutamiento correcto puede ser un poco complicado.
Realmente me gusta OpenVPN como solución si tengo un sistema que lo admitirá. Existen muchas otras buenas soluciones VPN.
La solución obvia parece ser VPN, pero ¿se puede implementar VPN solo en los enrutadores? ¿Pueden las computadoras en la red estar libres de configuración?
Esto depende completamente del tipo de enrutador que tenga. Si su enrutador es una computadora con Linux, entonces sí. Si su enrutador es un enrutador de banda ancha económico, entonces quizás su hardware actual pueda hacer esto. Si su hardware actual no puede hacer esto, ciertamente puede comprar enrutadores que lo harán.
Los clientes realmente no deberían necesitar saber nada sobre la VPN.
Si bien las sugerencias "abiertas" son geniales, si hace esta pregunta, supongo que es poco probable que tenga éxito al implementarlas.
Ahórrese muchos problemas y elija dos enrutadores con capacidades VPN de un proveedor como Linksys, Netgear, D-Link o incluso Sonicwall. Son muy fáciles de configurar y conectarán dos redes de forma segura.
Una vez hecho esto, si las computadoras se "ven" entre sí, depende mucho de la red que se esté ejecutando y de cómo ese tráfico pasa por la VPN. Los grupos de trabajo de Windows son sistemas basados en difusión que pueden interferir con el "entorno de red" que muestra todos los sistemas. El uso de archivos "lmhosts" puede ayudar con la resolución de nombres. Por lo general, esto es para lo que se usan los dominios junto con las confianzas entre dominios si son diferentes. Al tener un registro central para las computadoras (Active Directory y DNS), pueden "encontrarse" entre sí sin configurar la resolución de nombres en cada máquina.
OpenBSD e IPSEC. Use un servidor OpenBSD en los extremos respectivos del enlace para actuar como una puerta de enlace IPSEC. Es muy fácil de configurar.
Tenemos este escenario exacto con 4 sitios en todo el Reino Unido.
Cada sitio tiene un dispositivo draytek VPN que son unos pocos cientos de libras.
Todos están conectados entre sí por VPN y funciona de maravilla.
Túneles VPN. Prefiero VPN basada en hardware, esto es a nivel de enrutador. Hay muchos por ahí, desde muy baratos hasta muy caros. En el lado barato está Linksys, DLINK y en el otro lado tiene Cisco, sonicwall y otros.
Los enrutadores caros permiten más configuraciones para el enrutamiento, etc.
Aquí está el truco ... su VPN es tan eficiente como las líneas que soportan los túneles, por el amor de Dios, no intente cargar la política de grupo desde un controlador de dominio hasta un cliente al otro lado del mundo a través de una línea de 512 KB. .
También intente controlar su tráfico de transmisión a través de la red si ambos sitios tendrán subredes diferentes.
¡Buena suerte!
Cuando configura una conexión VPN, probablemente desee tener cada ubicación con su propia subred para limitar el dominio de difusión. ¿Por qué obstruir su conexión de ancho de banda limitado con tráfico extraño?
Sus dispositivos enrutadores / vpn deben tener rutas a las otras ubicaciones, solo configure los servidores DNS locales para que se dirijan a las máquinas del "otro" lado.
Este tipo de configuración se ha utilizado durante años.
Establecer VPN entre sitios. Luego habilite un protocolo de enrutamiento dinámico para compartir información de red entre los sitios.
En mi experiencia, los enrutadores tendrán algún tipo de enlace virtual punto a punto entre ellos, tal vez un túnel GRE o L2TP. Los protocolos de enrutamiento dinámico tratan este enlace como cualquier otra interfaz.
Existen algunos problemas de configuración específicos del proveedor / implementación con la configuración de VPN: consulte la documentación, la organización de soporte del proveedor o describa qué productos está utilizando.
Un punto clave relacionado con el diseño de la red: debe tratar todos los sitios como parte de una red grande. Por ejemplo, no puede configurar todos los sitios remotos para que tengan una subred 192.168.1.0. Por el contrario, es posible que pueda tener una pesadilla para trabajar con NAT y con una configuración de enrutamiento muy complicada, pero es mucho más fácil diseñar todos los sitios como parte de un espacio de red.
Si los enrutadores con conexión WAN en ambos sitios lo admiten, una VPN IPSEC suena como la opción más adecuada. Alternativamente, un firewall o una caja de terminación de VPN dedicada (y posiblemente algún enrutamiento estático) debería hacer que sea transparente para las computadoras individuales que está transportando los paquetes a través de un VP {N.
Hay muchas buenas soluciones VPN, pero a veces necesitas algo rápido y sucio. Puede configurar una VPN usando PPP sobre SSH . Esta solución tiene muchos inconvenientes, pero la ventaja es que no necesita herramientas o programas especiales, solo ssh y ppp estándar. Probablemente también podría funcionar en Windows con un pequeño ajuste.
¿Qué tal un KIV-21? Es un incryptor de red independiente. Pones uno en cada red, y todo entre las dos redes está encriptado.
sin embargo
http: // gateway.viasat.com/_files/KIV_21_01.pdf
La solución obvia parece ser VPN, pero ¿se puede implementar VPN solo en los enrutadores?
Depende de cuáles sean sus enrutadores. Muchos enrutadores de rango bajo / medio pueden actuar como servidores / clientes VPN. Si su enrutador es un cuadro de Unix, no debería ser demasiado difícil configurar OpenVPN en ellos.
Si sus computadoras ejecutan Windows, es posible que desee configurar un servidor WINS en cada sitio. Una vez más, una caja de Unix podría hacer las cosas usando Samba .