我正在研究 VPN 如何适用于 2 个小型办公室,以便用户可以连接到每个办公室的文件服务器来创建、写入和读取文件。所有计算机都是点对点的,而不是基于域的。
我想知道这些场景的正确术语是什么,以便我可以进行研究,知道要“搜索”什么等等。
1. 办公室 A LAN 192.168.0.x,办公室 B LAN 192.168.1.x。
1A. 它们可以是不同的范围吗,或者它们必须是不同的范围?
1B. 由于没有域,也没有 DNS 服务器,我是否需要在每个办公室的每台计算机上手动设置路由,以告诉它哪个网络 IP 地址是 VPN 硬件,以便它可以有效地将不同的 IP 映射到远程 VPN?
1C. 办公室 A 如何访问办公室 B 的文件服务器 - 办公室 A 的用户在“网络邻居”中是否有指向办公室 B 服务器 IP 的链接?
1D. 如果我想使用“名称”而不是 IP 地址来链接到远程文件服务器,我是否需要在每台计算机的 hosts 文件中进行设置?
2. 文件访问和安全
2A. 办公室 A 的文件服务器是否需要具有与办公室 B 相同的用户帐户,以便来自办公室 B 的用户连接到办公室 A 的文件服务器时能够通过 ACL 保持安全性?
答案1
- VPN 可以是 IP 路由,也可以是以太网桥桥接的优点:广播数据包通过,网络 A 和 B 形成一个交换网络。在这种情况下,它应该是一个子网才能获得优势。桥接的缺点:广播数据包通过。广播流量可能很大,足以降低 VPN 的性能。
下面假设路由VPN
1A. A 和 B 必须位于不同的子网中才能进行路由。(如果无法将其设置为不同的子网,则可以使用目标和源 NAT 部分解决问题,但效果不理想)
1B. Windows 域、DNS 和路由是三个不同的东西,路由与其他两个无关。例如,要在 A 和 B 之间配置路由,计算机需要知道默认网关 IP,并且默认网关具有到其他网络的路由。如果没有 Internet 或者如果 VPN 服务器是 Internet 网关,则可以将 VPN 服务器设置为计算机的默认网关。
1C. hosts 文件是解决方案,但它需要同步所有计算机上的 hosts 文件。如果最后一台计算机是 Windows Server 或 Linux Samba 服务器,那么您可以使用 WINS 或 DNS 或两者将名称解析为 ip。另外需要注意的是 - 网络邻居在多个子网配置中工作不稳定。
添加。另外,可以在“网上邻居”中创建任意名称的链接,以通过 IP 连接服务器。
2A. 用户必须拥有服务器上的帐户才能使用 ACL 进行访问。在不同的服务器上使用相同的帐户对用户来说更方便。如果用户工作站和服务器上的用户名和密码相同,Windows 的工作方式类似于“透明”身份验证(首先尝试使用本地凭据访问服务器,如果失败则尝试访客访问,如果失败则要求用户提供凭据)。