我们的远程办公室将转移到提供互联网的新空间。 他们会在做NAT的路由器后面(我没有这个路由器的pipe理权限)。 他们将与局域网上的其他人共享一台打印机,但是需要在我们的networking上使用VPN进行电子邮件和文件共享。
我只是想让他们运行windows的VPN客户端,并通过PPTP连接,就像他们离开现场时一样,但我已经读过,从同一个NAT地址到同一个目的地的多个PPTP连接不能正常工作或者根本没有。
我正在考虑某种站点到站点的VPN,因此只有一个隧道。 我可以放入一个VPN网关,将其设置为连接到我们的RRAS / PPTP服务器,并让他们使用它作为他们的默认网关? 也许甚至使用本地默认网关进行互联网stream量。 如果是这样的话,推荐使用什么VPN网关/设备?
还是其他解决scheme 谢谢。
他们有没有机会为你的办公室设置VLAN? 由于它们只需要非常小的VLAN间路由(VLAN 1是远程办公室的networking,VLAN 2是您与之共享的另一个办公室),路由器即插即用的VLANconfiguration将工作得很好(只有当您因为你需要一个真正的第三层核心路由器进行路由,所以在VLAN之间进行大量路由。
通过使用两个独立的VLAN和路由器拓扑结构,您可以在两个组织之间设置防火墙规则,但您认为合适:它们甚至可以运行自己的DHCP服务器,并且都可以(也应该)位于不同的子网。 有了这个function,您就可以从边缘本身创build一个站点到站点的VPN隧道作为端点,并且放入合适的防火墙规则,只允许组织的VLAN访问它。
如果你不能做到这一点,没有理由你不能做双重NAT – 只要把你的两台远程机器放在一个可以做IPSec / OpenVPN客户端到站点VPN的体面的防火墙路由器后面(在ALIX上的pfSense将工作得很好*;见netgate.com),以便您的防火墙的“广域网”端从共享networking获得一个局域网IP,因此可以路由任何连接出站(通过“第一个NAT”)打印机等互联网访问获得双重NAT。 只有两台机器的性能应该是可以接受的,但显然是先testing一下。 这将隔离/保护您的工作站免受networking攻击,就像防火墙/路由器在正常的广域网情况下一样(尽pipe在病毒爆发,篡改等情况下不会保护您的工作站免受其影响)。
*使用pfSense,它可以作为OpenVPN客户端,这意味着您不必从边缘路由器到您的路由器做任何端口转发。 如果你只是坚持使用PPTP,另一个我用过的内置PPTP客户端的防火墙是SnapGear SG560( http://www.snapgear.com/index.cfm?skey=1557 )麦克菲,我认为这被称为别的东西。