N2N VPN + Client VPN - 推薦的技術和網路架構?
我有 2 個網路
HOSTED: 10.0.1.0/24 (hosted server infrastructure (web-apps, databases, etc)) OFFICE: 10.0.2.0/24 (office infrastructure (file & print, databases))每個在 10.0.0 都有一個基於 ubuntu (NAT+Proxy) 的防火牆。
$$ 12 $$.1。(10.04 LTS 伺服器)。 每個防火牆都有第二個 Internet 介面(標準乙太網介面上的 Internet 可路由靜態 IP)。
HOSTED 和 OFFICE 上的伺服器基礎架構均基於 VMware ESXi。
網路並沒有被大量使用——它是一家 35 人的公司,所以我們在這裡不需要完整的企業級解決方案。
工作站是 MacOSX、Windows、Linux 和 Windows VPN 客戶端,尤其需要防白痴。
我想做以下事情:
- 通過 VPN 將這兩個網路連接在一起(我猜是路由而不是橋接(?)),這樣 HOSTED 和 OFFICE 網路中的所有主機都可以輕鬆地與另一個網路(N2N VPN)上的主機通信,而不管連接是從哪裡發起的從。
- 向移動使用者提供通用 VPN 服務,以便這些使用者在其 VPN 客戶端登錄後可以訪問 HOSTED 和 OFFICE 網路。(CLIENT-VPN)。
問題:使用免費或便宜的技術,我應該如何最好地設置它?到目前為止,我的想法是:
- OpenVPN VMWare 映像,每個網路上都有一個 - 這看起來價格實惠且令人印象深刻,但似乎是以 CLIENT-VPN 為中心,而不是以 N2N 為中心。此外,看起來 VPN 軟體需要在我的防火牆主機上執行才能進行 N2N VPN。我不想用這些 OpenVPN 虛擬機替換我的防火牆。
- 在我現有的防火牆機器上僅手動滾動N2N VPN(如何?),然後在我目前防火牆後面的 OFFICE 網路上部署 OpenVPN VMware 映像,並讓它僅管理 CLIENT VPN 流量(通過 OFFICE 防火牆上的埠轉發)。
- 使用 DD-WRT 或類似的?
我對 PPTP、IPSec、SSL-VPN 的相對優勢沒有看法,儘管我認為後者可能是最好的(直覺)。我不在網路上執行 WINS 或除 IP 以外的任何東西,所以我認為不需要橋接。我可能會在 2 個網路上設置某種裂腦 DNS 基礎設施,以在 10.xxx 網路上提供名稱服務。
我歡迎任何關於網路架構、VPN 平台選擇和解決方案設計的建議。
謝謝
OpenVPN 對於網路到網路以及客戶端到網路的 VPN 來說絕對是足夠通用的,在一次安裝中 - 我們已經在許多場合完成了它並取得了良好的效果。使用 OpenVPN 的美妙之處在於可以選擇使用動態路由協議對其進行冗餘設置——這在 IPSEC 解決方案中並不容易做到。
但是 OpenVPN 客戶端可能並不像您的使用者所要求的那樣萬無一失——您需要事先進行一些使用者驗收測試。
無論您使用 ESXi VM 還是使用 DD-WRT 或 OpenWRT 的單獨路由器設備,都取決於您的性能、管理和可用性要求——從技術上講,無論哪種情況,您都將執行 Linux 和 OpenVPN。