我有 2 个网络
HOSTED: 10.0.1.0/24 (hosted server infrastructure (web-apps, databases, etc))
OFFICE: 10.0.2.0/24 (office infrastructure (file & print, databases))
每个都有一个基于 ubuntu(NAT+Proxy)的防火墙,版本为 10.0.[12].1.(10.04 LTS 服务器)。
每个防火墙都有第二个连接到互联网的接口(标准以太网接口上显示的可路由互联网的静态 IP)。
HOSTED 和 OFFICE 上的服务器基础设施均基于 VMware ESXi。
网络使用并不频繁 - 这是一家拥有 35 名员工的公司,因此我们不需要完整的企业级解决方案。
工作站尤其是 MacOSX、Windows、Linux 和 Windows VPN 客户端需要具有防傻瓜功能。
我想要做以下事情:
通过 VPN(我猜是路由而不是桥接,(?))将这两个网络连接在一起,以便 HOSTED 和 OFFICE 网络中的所有主机都可以轻松地与另一个网络(N2N VPN)上的主机通信,无论连接从哪里发起。
为移动用户提供通用 VPN 服务,以便这些用户一旦他们的 VPN 客户端登录即可访问 HOSTED 和 OFFICE 网络。(客户端 VPN)。
问题:使用免费或廉价的技术,我应该如何最好地进行设置?到目前为止,我的想法是:
- OpenVPN VMWare 映像,每个网络一个 - 看起来价格合理,令人印象深刻,但似乎是以 CLIENT-VPN 为中心,而不是以 N2N 为中心。此外,似乎 VPN 软件需要在我的防火墙主机上运行才能进行 N2N VPN。我并不热衷于用这些 OpenVPN 虚拟机替换我的防火墙。
- 手卷仅有的在现有的防火墙机器上部署 N2N VPN(如何部署?),然后在 OFFICE 网络上部署 OpenVPN VMware 映像在后面我当前的防火墙,并让它仅管理 CLIENT VPN 流量(通过 OFFICE 防火墙上的端口转发)。
- 使用 DD-WRT 或类似产品?
我对 PPTP、IPSec 和 SSL-VPN 的相对优势没有看法,尽管我认为后者可能是最好的(直觉)。我没有在网络上运行 WINS 或除 IP 之外的任何东西,所以我认为不需要桥接。我可能会在 2 个网络上设置某种裂脑 DNS 基础设施,以在 10.xxx 网络上提供名称服务。
我欢迎有关网络架构、VPN 平台选择和解决方案设计的任何建议。
谢谢
答案1
OpenVPN 绝对足够灵活,可以在一次安装中实现网络到网络以及客户端到网络的 VPN - 我们已经多次这样做,并取得了良好的效果。使用 OpenVPN 的好处在于可以选择使用动态路由协议进行冗余设置 - 而使用 IPSEC 解决方案则不容易做到这一点。
但是 OpenVPN 客户端可能并不像您的用户所要求的那样万无一失——您需要事先进行一些用户验收测试。
您是否使用 ESXi VM 或带有 DD-WRT 或 OpenWRT 的独立路由器设备取决于您的性能、管理和可用性要求 - 从技术上讲,无论哪种情况,您都可以运行 Linux 和 OpenVPN。