VPN сеть для организации
 

Добрый день!
Помогите правильно настроить сеть организации с филиалами.

Были поставлены задачи:
1. создать сеть в здании (решил)
2. организовать ограниченный доступ в интернет (решил)
3. связать в сеть удаленные офисы и компы 2 отдела (не решил)

Насколько я понимаю необходимо поднять vpn сеть, но для этого нужен vpn сервер.
Планировал поднять сервер vpn на ИКС 4.6 (еще не установлен), читал там есть такая возможность и
в сети нашел, что dir-320 подобное может (настройки смотрел, но не понял как настроить).

Как и на каком устройстве должен быть настроен сервер? (никогда с этим не сталкивался)
Нужно ли устанавливать доппрограммы на компы филиалов?
Каким образом получить статичний IP и нужен ли он?

Если можно подробное описание, так сказать по шагам.

На штатной прошивке не может.

Зачем изобретать велосипед, если в ИКС есть функция VPN-сервера?

Если выберете, например, протокол OpenVPN, то да.

Вопрос к провайдеру услуг, вам не кажется?

А как вы будете подключаться к серверу с меняющимся адресом?

Для нормальной работы такой сети крайне желательно иметь разные адреса подсетей в главном офисе и в филиалах. Т.е если у вас везде (или даже хотя бы в паре точек) внутренние сети имеют адрес 192.168.1.0/24, то нормально работать (точнее, подключиться одновременно к двум таким сетям) не сможете: адреса сетей не должны перекрываться.

Ну есть сервисы динамичесих DNS: ограниченно бесплатные Dyn (бывшая DynDns), NoIp и даже платный (600 рублей в год) российский DNS-master. Но, разумеется, при возможности надо арендовать статический IP у провайдера.

Меняйте провайдера.

Полностью согласен, думаю в настройках разберусь если буду устанавливать
Сегодня наткнулся на NeoRouter, что предпочтительней ИКС или NeoRouter?
В том-то и дело, что к провайдеру уже обращался и мне ответили, что данная услуга временно прекращена (провайдер Мегафон)
Отсюда возникает вопрос получения статического IP
Сегодня на одном домашнем испробовал noip, зарегистрировался, установил клиента, получил адрес 83.149.*.* и вот такая ситуация, при проверке со второго компа его адреса получается, что адреса одинаковые на обоих компах (оба компа выходят в сеть через роутер)
Это так и должно быть или я что-то неправильно сделал?
Этот адрес со временем не измениться?
Спасибо, учту.

Всё так.

О чём и разговор, касающийся статического (фиксированного) IP.
Изменится. И не раз. Это так называемый динамический (временный) IP.
Вы его видите на внешнем интерфейсе роутера, я правильно понял?

И хорошо что IP "белый", т.е. при обращении по нему попадаешь на ваш роутер -- а не "серый", т.е. из сети 10.x.x.x, при котором прямой доступ к сети извне был бы невозможен без особых ухищрений в виде специального внешнего сервера (типа как работает TeamViewer).

Если вам сейчас выделен "белый" IP (адрес), то при всех его изменениях он так и будет выделяться как "белый" (по крайней мере если Мегафон не затеет вдруг глобальную перестройку политики подключения к интернету), т.е. дающий возможность использовать упомянутые мной услуги динамического DNS. Я, например, дома тоже сижу на динамическом IP, однако воспользовавшись услугами динамического DNS от Microsoft могу всегда обратиться к себе в сеть извне по адресу http://mwz-ru.homeserver.com -- а также по другому имени: http://mwz.dyndns-home.com взятому забесплатно у Dyn.com (при этом для прохода в глубину сети, а не только на входной её сайт, используются настройки внутренней сети и защита от такого прохода, если он не санкционирован мной).

При изменении моего внешнего IP сам роутер сообщает об этом изменении на Dyn.com (во многих роутерах такая настройка есть), а Windows Home Server сообщает о новом адресе в службу динамического DNS Микрософта -- и через минуту-пяток вход по тому и другому доменному имени сети (и сайта) восстанавливается сам, уже с использованием нового IP.

PS

По поводу того, что у вас два компьютера выходят в интернет с единым внешним адресом.

При организации VPN вас это не будет интересовать, поскольку вы через VPN будете получать не внешний, а внутренний уникальный адрес (например, у вас дома компьютер, подключившийся к вам по VPN, определится как третий уникальный компьютер), и такой внешний компьютер будет взаимодействовать с компьютерами внутренней сети уже из неё самой (это основная причина, почему внутренние сети не должны перекрываться по адресам: иначе будут конфликты при получении внутреннего сетевого адреса).

А при организации моей сети компы в филиалах тоже должен обращаться не по ip адресу сервера, а по доменному имени, зарегистрированного в no-ip?

Если IP фиксированный -- то можно (и даже лучше) прямо по нему.

Но если динамический -- то других вариантов кроме как по доменному имени, зарегистрированному на NoIp (или аналогичных сервисах), и нету. Не считая организации своего собственного сервера, имеющего фиксированный IP и выполняющего те же функции динамического DNS (ну или несколько более сложная его организация, позволяющая прокладывать VPN в филиалы даже в тех случаях, когда филиалам выделены "серые" IP).

Спасибо, а адресацией я все понял.

И наверное последний вопрос в этой теме, стоит ли на сервер устанавливать NeoRouter?

Можете ответить, зачем, если у ИКС уже есть поддержка VPN? Кроме того, каким боком средство удалённого наблюдения и управления вам заменит VPN?

Спасибо всем за участие, думаю пора приступать к реализации
Пока больше вопросов нет.