Настройка VPN между офисами для подключения по RDP.
Приветствую всех!
Мне нужна консультация:
В основном офисе (он же главный) находится сервер (Microsoft Windows Server 2003 SE SP2), который используется для терминального доступа к программам. Есть офис, расположенный в другом городе (даже в другой стране). Поставлена задача - дать доступ удаленному офису к терминальному серверу в главном офисе. В связи с этим вопросы:
1) На сколько это безопасно?
2) В удаленном офисе используется динамический IP. Обязательно ли сделать сперва там статику?
3) Какие порты надо будет открывать между двумя офисами? (подключаться будут только по RDP)
С настройками VPN никогда дело не имел, но общее представление имею.
Если возникнут дополнительные вопросы - отвечу!
Заранее спасибо!
|
Angry Demon |
09-02-2010 13:54 1342987 |
Цитата:
Цитата stolyar
1) На сколько это безопасно?
|
Достаточно безопасно.
Цитата:
Цитата stolyar
2) В удаленном офисе используется динамический IP. Обязательно ли сделать сперва там статику?
|
Нет.
Цитата:
Цитата stolyar
3) Какие порты надо будет открывать между двумя офисами? (подключаться будут только по RDP)
|
При подключении по VPN (PPTP) используется протокол GRE и TCP-порт 1723.
З.Ы.: Всё это касается реализации VPN-сервера на базе Windows. Я сам реализовал бы это на базе стороннего продукта OpenVPN. Гибкий кроссплатформенный инструмент.
|
CyberDaemon |
09-02-2010 14:03 1343000 |
Цитата:
Цитата Angry Demon
При подключении по VPN (PPTP) используется протокол GRE и TCP-порт 1723. »
|
Еще есть L2TP IPSec VPN
Цитата:
Цитата Angry Demon
Всё это касается реализации VPN-сервера на базе Windows. Я сам реализовал бы это на базе стороннего продукта OpenVPN. Гибкий кроссплатформенный инструмент. »
|
С GRE-протоколом могут возникнуть сложности, если какой-либо провайдер на пути клиент-сервер не пропускает GRE-пакеты.
OpenVPN можно настроить на любой порт и TCP или UDP-протокол. И шифрация там, вроде, понадежнее. Но разобраться с ним несколько сложнее - это не пару раз кликнуть мышкой в окошках windows.
|
Angry Demon |
09-02-2010 14:34 1343028 |
Цитата:
Цитата CyberDaemon
OpenVPN можно настроить на любой порт и TCP или UDP-протокол. И шифрация там, вроде, понадежнее. Но разобраться с ним несколько сложнее - это не пару раз кликнуть мышкой в окошках windows.
|
Согласен, но можно найти замечательные статьи вроде
Настройка OpenVPN.
Настройка OpenVPN часть 2
Updated: По этой статье делал сам. Разобрался за 10 мин.
|
El Scorpio |
10-02-2010 08:40 1343641 |
Цитата:
Цитата stolyar
2) В удаленном офисе используется динамический IP. Обязательно ли сделать сперва там статику? »
|
Не обязательно.
Во-первых, частенько провайдер "динамически" назначает одни и те же адреса
Во-вторых,*есть специальные сервисы вроде DynDNS,*которые автоматически предоставляют внятное имя домена третьего уровня (типа Company.dyndns.org) для динамического адреса
|
Ок. Теперь вопрос следующий:
сможет ли удаленный офис параллельно использовать интернет?
Кстати, для настройки связи через OpenVPN ставить отдельный сервак надо? Или как лучше сделать?
|
Angry Demon |
10-02-2010 10:54 1343707 |
Цитата:
Цитата stolyar
сможет ли удаленный офис параллельно использовать интернет?
|
Дык, кто ж ему запретит? :)
Цитата:
Цитата stolyar
Кстати, для настройки связи через OpenVPN ставить отдельный сервак надо?
|
А откуда нам известна схема организации сети в основном и дополнительном офисах?
|
CyberDaemon |
10-02-2010 10:59 1343710 |
Цитата:
Цитата stolyar
сможет ли удаленный офис параллельно использовать интернет? »
|
В смысле, быть подключенным по RDP и использовать при этом еще и "свой" интернет?
Да, сможет.
Цитата:
Цитата stolyar
Кстати, для настройки связи через OpenVPN ставить отдельный сервак надо? Или как лучше сделать? »
|
А главный офис каким образом в интернет выходит?
|
Цитата:
Цитата Angry Demon
А откуда нам известна схема организации сети в основном и дополнительном офисах? »
|
В главном офисе:
Развернут домен. Стоит прокся (на FreeBSD), модем ADSL. Скорость соединения = 512Кбит/сек.
В удаленном офисе:
Компы в рабочей группе. Все подключаются к Роутеру, на котором стоит WAN, и выходят через него в Интернет. Скорость около 10Мбит/сек.
|
Angry Demon |
10-02-2010 13:39 1343825 |
Цитата:
Цитата stolyar
Стоит прокся (на FreeBSD)
|
Вот, на ней и можно организовать OpenVPN-сервер.
Цитата:
Цитата stolyar
Все подключаются к Роутеру
|
Либо каждому компу ставить OpenVPN-клиента, либо заменить роутер старенькой сашинкой на Windows/Linux, и связать удалённый офис с главным постоянным VPN-туннелем.
|
Цитата:
Цитата Angry Demon
аменить роутер старенькой сашинкой на Windows/Linux »
|
То есть подключить еще туда же машинку на которой развернуть OpenVPN, и настроить всех пользователей ходить через нее, так?
|
Angry Demon |
10-02-2010 15:57 1343954 |
Цитата:
Цитата stolyar
То есть подключить еще туда же машинку на которой развернуть OpenVPN, и настроить всех пользователей ходить через нее, так?
|
Почти. Эта машинка будет выполнять роль роутера + на ней будет поднят VPN-туннель до главного офиса, т.е., для всех компов удалённого офиса локалка главного офиса будет доступна, как будто они в единой сети. Единственное "НО": у локалок должны быть разные подсети.
|
El Scorpio |
11-02-2010 01:37 1344378 |
Angry Demon, ну VPN-туннель и роутер создать может
|
Angry Demon |
11-02-2010 07:40 1344475 |
Цитата:
Цитата El Scorpio
VPN-туннель и роутер создать может
|
Не каждый. :)
|
в удаленном офисе стоит - D-Link DIR-100. Так возможно ли настроить на нем VPN-туннель?
|
Angry Demon |
12-02-2010 09:41 1345225 |
Цитата:
Цитата stolyar
D-Link DIR-100
|
Цитата:
Поддержка VPN pass through
|
Т.е., данный маршрутизатор может только пробрасывать через себя VPN-трафик, но не организовывать VPN-туннели.
|
Цитата:
Цитата Angry Demon
данный маршрутизатор может только пробрасывать через себя VPN-трафик, »
|
Понятно. Тогда надо определиться что мне ставить:
1) менять ли Роутер?
2) есть ли возможность использовать то, что есть, с добавлением в сеть еще одного компьютера - "сервера", который выполнял бы подключение к главному офису?
В принципе в удаленном офисе всего 4 машины. Как я понял, можно:
Цитата:
Цитата Angry Demon
каждому компу ставить OpenVPN-клиента »
|
И что все-таки будет лучше (в плане подключения)? Ставить еще один комп и настраивать там OpenVPN или же на каждый клиентский компутер отдельно настраивать?
|
Angry Demon |
12-02-2010 13:52 1345417 |
Цитата:
Цитата stolyar
1) менять ли Роутер?
2) есть ли возможность использовать то, что есть, с добавлением в сеть еще одного компьютера - "сервера", который выполнял бы подключение к главному офису?
|
Если добавить комп, то необходимость в роутере просто отпадает.
Цитата:
Цитата stolyar
Ставить еще один комп и настраивать там OpenVPN или же на каждый клиентский компутер отдельно настраивать?
|
Если не нужен прозрачный симметричный доступ (туда-отсюда и сюда-оттуда), то можно поставить на каждый.
|
Цитата:
Цитата Angry Demon
можно поставить на каждый »
|
А пользователи смогут подключаться все вместе? Или прежде надо будет внести изменения в настройке OpenVPN в главном офисе, чтобы была возможность подключаться нескольким клиентам?
|
Angry Demon |
12-02-2010 15:10 1345477 |
Цитата:
Цитата stolyar
А пользователи смогут подключаться все вместе?
|
А прочитать: ;)
Цитата:
Updated: По этой статье делал сам. Разобрался за 10 мин.
|
|
Ок!
Цитата:
Цитата Angry Demon
Эта машинка будет выполнять роль роутера + на ней будет поднят VPN-туннель до главного офиса »
|
Еще уточнение:
Вот в главном офисе стоит FreeBSD, как я писал выше. А можно ли на удаленном поднять Windows машину? Или тоже надо FreeBSD? Не будет ли никаких проблем с подключениями?
|
Angry Demon |
15-02-2010 07:46 1347358 |
Цитата:
Цитата stolyar
А можно ли на удаленном поднять Windows машину?
|
Не, ну явно читать не хочешь... Какая, болт, разница? OpenVPN кроссплатформенный продукт!
|
Что-то по той статье не получается создать сертификат и ключ для сервера (пункт 1.2). Зпускаю в командной строке:
Код:
build-key-server server
но мне выводится только список команд и в конце пишет: не удается найти c\*.old
По инструкции как я понял, должно запрашивать Common Name и еще 2 других вопроса. Но у меня ничего не запрашивается, даже когда просто выполняю файл build-key-server.bat .
С установкой никаких проблем не возникло. Vars.bat отредактировал, запустил. Так же запустил потом clean-all.bat и build-ca.bat. Ошибок не было.
|
Angry Demon |
15-02-2010 11:44 1347476 |
Цитата:
Цитата stolyar
Что-то по той статье
|
По которой из 3-х? ;)
Вообще, начинать нужно с этого:
Цитата:
В Windows зайти в команднуюстроку(cmd.exe) и выполнить cd %ProgramFiles%/OpenVPN/easy-rsa выполнить командный файл init-config. При этом исходными файлами заменятся файлы конфигурации vars.bat и openssl.cnf
|
А лучше даже так:
C:
CD Progra~1\OpenVPN\easy-rsa
Далее по тексту.
|
по этой.
так и делаю. Строго по тексту, по-порядочку...
Попробовал переустановить OpenVPN, но проблему это не решило....
Ставлю на Windows XP SP3.
После повторной переустановки появилось новое подключение по локальной сети. Так и должно быть?
|
Angry Demon |
15-02-2010 17:23 1347736 |
Цитата:
Цитата stolyar
После повторной переустановки появилось новое подключение по локальной сети. Так и должно быть?
|
Ага. Это TAP-адаптер.
Цитата:
Цитата stolyar
так и делаю. Строго по тексту, по-порядочку...
|
build-key-server не будет задавать вопросов, а ругнётся на c\*.old только в том случае, если перед этим не проинициализировано PKI:
|
Все, получилось сформировать сертификаты и ключи для клиента и для сервера! =)
Я ступил.. Запускал эти батники вручную, а не через CMD...
Буду пробовать теперь подключаться...
|
Ребята, спасибо большое всем!! Все получилось!
Топик офф...
|
Время: 21:15.
© OSzone.net 2001-