我需要找到一个好的软件解决方案来实现 VPN,以便新的分支机构可以使用我们总部的应用程序而不会出现安全问题。
我需要它对最终用户非常可靠且几乎透明
有什么提示吗?
我们两端都有 Linux 和 Windows 桌面/服务器。
答案1
也许您的边缘路由器支持 VPN?请查看文档。如果不支持,无需更改边缘路由器,一种可能性是购买几个便宜的路由器,安装 ddwrt 或 openwrt 的 VPN 版本。然后使用 OpenVPN 或 IPSEC。我更喜欢 OpenVPN,因为它更容易设置。
您可以将路由器安装在其他防火墙后面。您需要确保防火墙允许 VPN 流量。并且,在服务器端或运行 OpenVPN 服务器的路由器上,您需要确保该端的防火墙上有一个从其他分支机构的源 IP 插入的漏洞,以便可以连接。
然后在两端放置一条到外部网络的静态路由以指向新的 VPN 路由器。
几年前我曾这样做过,效果很好。不过,你必须注意两个网络的私有 IP 范围是不同的。
此外,在分支机构网络中添加 DNS 服务器以通过私有 IP 访问总部的服务器也会很有帮助。如果您恰好有本地域控制器,那么这应该很容易。千万不要考虑将分支机构的域控制器放在 VPN 的另一端。如果您这样做,您的用户会讨厌您。以前见过这种做法……真恶心!
如果您需要更高的性能,请考虑使用带有 RouterOS 的 Mikrotik 路由器。它们也非常便宜,而且可能更快一些。虽然有些相当快的华硕路由器在 OpenWRT 下运行得很好。
由于您没有提及现有设备,因此很难知道什么是最好的。
答案2
这是一个相当广泛的问题,但我建议用运行 IPCop 的路由器替换每个站点的边缘路由器(http://www.ipcop.org)、pfSense(http://www.pfsense.org)或其他免费网关/防火墙分布。
这样,您就可以在网关上构建和管理 VPN,并且办公室间的连接对用户来说是透明的。
答案3
您没有提到客户端上 / 网关上 / 路由器上运行的是什么操作系统 - 这本来会很有帮助。
以前我曾尝试使用 IPSEC - 但即使没有 NAT,让不同供应商的产品相互通信也非常困难 - 诚然,那是很久以前的事了。
我用过开放VPN- 简单且效果好 - 而且通过隧道进行 PPP
答案4
通过隧道,您可以从远程系统访问本地系统上的应用程序。
有关隧道的更多详细信息,请查看此链接。
http://techtrunch.com/commands/ssh-port-forwarding
注意:您可以使用隧道转发任何端口。在上面的链接中,转发的端口是 22。如果您转发端口 80 [http],则可以从远程计算机访问本地 Web 应用程序。
示例:假设您想在新分支机构使用总部的 Web 应用程序。
假设Web应用程序在端口80上运行。
转发总部系统的 80 端口
ssh root@a_remote_server -R 80:XX.XX.XX.XX:8080
a_remote_server然后从新分支机构的系统登录服务器。
ssh root@a_remote_server
然后输入
localhost:8080在新分支机构的机器的浏览器中。