我有一个Windows Server 2008,有一个单一的networking接口configuration公共IP地址。 我的商业伙伴有一个私人networking。 从我的服务器,我需要访问他的私人networking上的所有设备,这些设备必须能够访问我的服务器。
我的业务合作伙伴有这些要求的标准解决scheme。 他们将build立一个IPSec + GRE隧道到我的服务器。 他们告诉我,我需要一个额外的公共IP地址才能工作。 如果真的有必要的话,没有问题,我可以得到一个额外的公共IP地址,虽然它将被分配到同一个物理networking接口。
我假设在我的服务器上,我将同时拥有公共IP地址和隧道的私有IP地址(与私有networking中的设备相同)。
我有什么替代方法?
感谢您的意见。 我正在看这个问题,以澄清任何问题或问题。
你没有指定你的伴侣的隧道尽头(除非我错过了)。 我花了很多时间在Windows Server 2003和Cisco路由器之间的隧道上。 这应该是可能的,但我没有做到这一点,而不是唯一的一个。 你可以在这里和这里阅读。
所以,如果他们使用的是Cisco路由器,我build议你出去买一个,以节省自己的时间和大量的恶化。 OpenVPN或Linux到思科可能是一个select? 但是我多年来一直使用思科到思科IPSec隧道,没有中断问题。
这里是思科文档在GRE / IPSec与NAT,但与思科路由器,你可以避免使隧道通过NAT。
经过数周的与隧道本身无关的问题后,我的pipe理员将隧道configuration到运行Openswan的单独的Linux机器上。 解密和解压缩的stream量然后路由到我们的Windows框然后返回。
与另一端的Cisco路由器的兼容性没有问题。
所以我们成功地使用了选项#2,而不需要购买物理Cisco路由器。
思科的IPSec实施与思科的其他任何产品都不兼容。 我知道IPSec是一个标准,但思科有一个具体的实现,将不会连接任何其他,然后他们的equipements。
有没有可能在我的Windows Server 2008上configuration这个隧道? 可以只使用Windows工具完成,还是需要额外的免费/商业VPN软件?
是的,您需要Cisco VPN客户端。 它是免费的IPSec和工作得很好。 只是要小心,因为它是为桌面客户端。 它可能有一些恼人的function,如短暂超时。
如果不能在虚拟的linux系统上完成,我将不得不购买并设置Cisco路由器来处理IPSec + GRE任务吗?
你总是可以购买一个IPSec的思科盒子。 小心你可能需要特定的许可来执行IPSec。 这将是迄今为止最可靠和最简单的select。 另一方面,这不是一个免费的解决scheme。 一个小的思科ASA 5505将做的伎俩。
另外,您不需要额外的公共IP地址。 使用相同的IP您使用的一切将罚款。
Openswan或Libreswan到思科正常工作。 我用它作为辐条安排的枢纽,思科是枢纽,linux和Digi路由器是辐条。 我使用IPsec内部的GRE隧道,效果很好。
在思科结束一些技巧:你不需要一个ACL来定义在集线器上的有趣的stream量,你需要一个路由图,以阻止隧道forms的stream量NAT'd,预共享密钥工作正常,目的地确定由GRE隧道路线。