Digamos que existem dois locais. Ambos os locais têm suas próprias conexões rápidas com a Internet. Como você une essas duas redes para que todos os computadores possam ver todos os outros computadores?
Você precisa de um controlador de domínio ou pode fazer isso com grupos de trabalho?
A solução óbvia parece ser a VPN, mas a VPN pode ser implementada apenas nos roteadores? Os computadores na rede podem estar livres de configuração?
Respostas:
a VPN pode ser implementada apenas nos roteadores? Os computadores da rede podem estar livres de configuração?
Sim. Assumindo roteadores razoáveis e um layout de rede razoável. Se todos os seus sites estiverem compartilhando o mesmo intervalo de IPs (ou seja, todos estiverem usando 192.168.0.0/24 e, portanto, sobrepostos), será necessário executar o NAT completo e as coisas ficarão confusas.
Se você provisionou cada site em sua própria sub-rede, isso é simples e suas únicas considerações são:
A solução padrão é usar uma VPN entre dois roteadores e você ajusta o roteamento para que todo o tráfego LAN para LAN atravesse a VPN.
Domínios / grupos de trabalho não estão realmente relacionados. Uma informação mais relevante seria que tipo de roteadores os dois sites têm e se podem criar L2TP , PPTP ou algum outro túnel criptografado ou se estão executando um sistema operacional padrão como o Linux, onde é possível instalar o software. Existem muitos roteadores que já suportam conexões VPN. Até alguns roteadores domésticos podem fazer isso se você instalar um firmware personalizado. Você pode criar uma VPN entre seus servidores, embora seja um pouco complicado obter o roteamento correto.
Eu realmente gosto do OpenVPN como uma solução se eu tiver um sistema que o suporte. Existem muitas outras boas soluções de VPN.
A solução óbvia parece ser a VPN, mas a VPN pode ser implementada apenas nos roteadores? Os computadores na rede podem estar livres de configuração?
Isso depende completamente do tipo de roteador que você possui. Se o seu roteador for um computador executando Linux, então sim. Se o seu roteador for um roteador de banda larga barato, talvez o seu hardware atual possa fazer isso. Se o seu hardware atual não puder fazer isso, você certamente poderá comprar roteadores que o farão.
Os clientes realmente não precisam saber nada sobre a VPN.
Embora as sugestões "abertas" sejam ótimas, se você está fazendo essa pergunta, meu palpite é que é improvável que você tenha sucesso ao implementá-las.
Economize bastante tempo e compre dois roteadores com recursos de VPN de um fornecedor como Linksys, Netgear, D-Link ou até Sonicwall. Eles são muito fáceis de configurar e conectam duas redes com segurança.
Uma vez feito isso, se os computadores "se veem", depende muito da rede que está sendo executada e de como esse tráfego passa pela VPN. Os grupos de trabalho do Windows são sistemas baseados em difusão que podem interferir na "vizinhança da rede" mostrando todos os sistemas. O uso de arquivos "lmhosts" pode ajudar na resolução de nomes. Normalmente, esses domínios são usados juntamente com relações de confiança entre domínios, se forem diferentes. Por terem um registro central para computadores (Active Directory e DNS), eles podem "encontrar" um ao outro sem configurar a resolução de nomes em cada máquina.
OpenBSD e IPSEC. Use um servidor OpenBSD nas respectivas extremidades do link para atuar como um gateway IPSEC. É muito fácil de configurar.
Temos esse cenário exato com quatro sites em todo o Reino Unido.
Cada site possui um dispositivo VPN draytek que é algumas centenas de libras.
Todos eles estão conectados um ao outro por VPN e funciona como um encanto.
Túneis VPN. Eu prefiro VPN baseada em hardware, isso é no nível do roteador. Existem muitos por aí de muito barato a muito caro. No lado barato, há Linksys, DLINK e, do outro lado, você tem Cisco, sonicwall e outros.
Os roteadores caros permitem mais configurações para roteamento e assim por diante.
Aqui está o problema ... sua VPN é tão eficiente quanto as linhas que suportam os túneis, pelo amor de Deus, não tente carregar a política de grupo de um controlador de domínio para um cliente do outro lado do mundo em uma linha de 512 KB .
Tente também controlar o tráfego de transmissão na rede se os dois sites tiverem sub-redes diferentes.
Boa sorte!
Quando você configura uma conexão VPN, provavelmente deseja ter cada local com sua própria sub-rede para limitar o domínio de broadcast. Por que entupir sua conexão de largura de banda limitada com tráfego estranho?
Seus dispositivos roteador / vpn devem ter rotas para outros locais, basta configurar os servidores DNS locais para endereçar as máquinas do outro lado.
Esse tipo de configuração é usado há anos.
Estabeleça VPNs entre sites. Em seguida, ative um protocolo de roteamento dinâmico para compartilhar informações de rede entre os sites.
Na minha experiência, os roteadores terão algum tipo de link ponto a ponto virtual entre eles, talvez um túnel GRE ou L2TP. Os protocolos de roteamento dinâmico tratam esse link como qualquer outra interface.
Existem alguns problemas de configuração específicos do fornecedor / implementação na configuração da VPN - consulte a documentação, a organização de suporte do fornecedor ou descreva quais produtos você está usando.
Um ponto importante relacionado ao design da rede - você precisa tratar todos os sites como parte de uma grande rede. Por exemplo, você não pode configurar todos os sites remotos para terem uma sub-rede 192.168.1.0. Em vez disso, você pode conseguir que esse pesadelo funcione com o NAT e com uma configuração de roteamento muito complicada, mas é muito mais fácil projetar todos os sites como parte de um espaço de rede.
Se os roteadores que conectam a WAN nos dois sites o suportarem, uma VPN IPSEC soa como a opção sensata. Como alternativa, um firewall ou uma caixa de terminação VPN dedicada (e possivelmente algum roteamento estático) deve torná-lo transparente para os computadores individuais em que você está transportando os pacotes em um VP {N.
Existem muitas boas soluções de VPN por aí, mas às vezes você precisa de algo rápido e sujo. Você pode configurar uma VPN usando PPP sobre SSH . Essa solução tem muitas desvantagens, mas a vantagem é que ela não precisa de ferramentas ou programas especiais, apenas do padrão ssh e ppp. Provavelmente também poderia funcionar no Windows com alguns ajustes.
Que tal um KIV-21? É um incrementador de rede independente. Você coloca um em cada rede e tudo entre as duas redes é criptografado.
Contudo
http: // gateway.viasat.com/_files/KIV_21_01.pdf
A solução óbvia parece ser a VPN, mas a VPN pode ser implementada apenas nos roteadores?
Depende do que são seus roteadores. Muitos roteadores de alcance baixo / médio são capazes de atuar como clientes / servidores VPN. Se o seu roteador é uma caixa Unix, não deve ser muito difícil configurar o OpenVPN neles.
Se seus computadores estiverem executando o Windows, convém configurar um servidor WINS em cada site. Novamente, uma caixa Unix pode fazer as coisas usando o Samba .