对某些人来说这听起来像是一项简单的任务,但对我来说却是一项非常困难的任务……
这项任务的主要要求是在不同地点的办公室设置一些东西,所以(第一个问题) 用户在办公室内时无需 VPN 即可登录域。此外,(第二个问题)当他们在路上(例如在星巴克)时如何登录域服务器,VPN 连接成功后他们要做什么才能连接到域。
据我了解,我们不能共享不同网段上的计算机的资源,(第三个问题)桥接/合并两个网络段(位于不同位置的两个办公室)的最佳解决方案是什么,以便不同位置的计算机可以互相看到。
提前感谢您的任何回复。
答案1
我有一个坏消息要告诉你:
您实际上可以共享不同网段上的计算机的资源。
显然,它的性能将取决于协议和要求。在典型的 adsl 线路上,通过 windows 网络访问网络共享会非常慢,但仍然可用。
您需要的是办公室之间的 VPN,以及在两个(或两个以上)位置的边缘路由器上添加静态路由。您可以选择标准化IPSec解决方案并使用由许多供应商或者你可以使用开放VPN在过去 6 年左右的时间里,它为我带来了很大的帮助。
举个例子——与技术/供应商无关。
全图这里。
解释:
办公室 A 中的计算机使用 r00 作为默认网关 [以及 nat 路由器、dns 机器甚至可能是 dhcp 服务器]。它们将所有无法在 10.0.0.0/24 内到达的主机的数据包发送到该机器。同样,办公室 b 中的计算机使用 r10 作为网关。
r00 有一个指向互联网服务提供商的默认网关和额外的静态路由,表明可以通过 vpn 访问网络 10.0.1.0/24 和 10.0.2.0/24。这个 vpn 可以在 r00 或单独的盒子 [此处为 r01] 上本地运行。
r01 正在使用您办公室的互联网连接 [ 省略了这部分以使图片更容易读懂 ] 来建立到 r11 的加密隧道。r01 将从隧道接收到的数据包转发到 r00,并将从 r00 接收到的数据包转发到 r11。
r10,r11 做类似的工作。
现在,您的“公路战士”——坐在星巴克并想要访问一些内部资源(Exchange 服务器?文件服务器?内联网网页?)的人。她正在使用可用的互联网连接来建立到您的 VPN 集中器的加密隧道 [可以是单独的盒子或 r01/r11 之一],并且根据公司政策,要么通过该盒子发送所有流量,要么只发送发往 10.0.0.0/24、10.0.1.0/24、10.0.2.0/24 的流量。如您所见,“公路战士”从不同的范围获取 IP 地址 - 10.0.2.0/24 - 一个分配给“拨号”用户的 IP 地址。
附言:这是一个简单的案例 - 你可以让事情变得更复杂[和更安全],但我希望这能让你了解如何实现你需要的东西。