我需要find一个好的软件解决scheme来实现VPN,这样一个新的分支机构就可以在我们的主要办公室使用没有安全问题的应用。
我需要它对于最终用户来说非常可靠和几乎透明
任何提示?
我们有两个Linux和Windows桌面/服务器两端。
也许你的边缘路由器支持VPN? 检查文档。 如果没有,不改变你的边缘路由器,一种可能性是购买一些便宜的路由器,安装ddwrt或openwrt的VPN构build。 然后使用OpenVPN或IPSEC。 我更喜欢OpenVPN,因为它更容易设置。
您可以将路由器安装在其他防火墙的后面。 您需要确保防火墙允许VPN通信。 而且,在运行OpenVPN服务器的服务器端或路由器上,您需要确保防火墙的末端有一个洞,从其他分支机构的源IP中戳起来,以便连接起来。
然后在两端,将一个静态路由到外部networking指向新的VPN路由器。
几年前我已经这样做了,而且效果很好。 您必须注意两个networking的私有IP范围不同。
此外,将DNS服务器添加到分支机构networking以通过其私有IP访问总部的服务器会很有帮助。 如果你碰巧有一个本地域控制器,那么这应该很容易。 甚至不要考虑将分支机构的域控制器放在VPN的另一端。 你的用户会恨你,如果你这样做。 看到之前完成了…恶作剧!
如果您需要更高的性能,考虑在RouterOS上使用Mikrotik路由器。 他们也非常便宜,可能会更快一点。 虽然有一些相当快的华硕路由器在OpenWRT下运行得非常好。
真的很难知道什么是最好的,因为你没有提到现有的设备。
这是一个相当宽泛的问题,但我会build议更换每个站点的边缘路由器与运行IPCop( http://www.ipcop.org ),pfSense( http://www.pfsense.org )或其他一些自由网关/防火墙分配 。
这样,您就可以在网关上构build和pipe理VPN,而且办公室间的连接对于用户来说是透明的。
你没有提到在网关上运行的/在路由器上运行的客户端上的操作系统 – 这会有所帮助。
以前我曾尝试过使用IPSEC,但即使没有NAT,也很难从不同厂商的产品之间进行对话 – 不可否认,这是很久以前的事了。
我用过openvpn – 这很简单,运行良好 – 还有ppp over stunnel
通过隧道,您可以从远程系统访问本地系统上的应用程序。
有关隧道的更多细节,请查看此链接。
http://techtrunch.com/commands/ssh-port-forwarding
注意:您可以使用隧道转发任何端口。 在上面的链接中,转发的端口是22.如果转发端口80 [http],则可以从远程机器访问本地Web应用程序。
示例:假设您想在新的分支机构的主办公室中使用Web应用程序。
假设Web应用程序正在端口80上运行。
转发总局系统的80端口
ssh root@a_remote_server -R 80:XX.XX.XX.XX:8080 然后从新分支机构的系统login到服务器a_remote_server 。
ssh root@a_remote_server
然后键入
localhost:8080在新分支机构的浏览器中。