我们的办公室和外部地点有一个专用的 T1 点对点,与 Cisco2600 相连。我们需要消除对 T1 电路的需求,因为它成本高昂,并且希望通过 Comcast 通过我们的主要 ISP 路由流量。
我很确定我不能使用没有 T1 的 Cisco2600。我是否可以在每个位置(Windows 2008)设置一个服务器,以便在两个位置之间建立静态 VPN 隧道?我不希望主办公室的用户必须通过 VPN 进入第二个位置,我希望所有机器都可以使用它 - 他们已经习惯了。
我很确定这也可以通过两端各有一个 mini 的 OS X Server 来实现,对吗?
答案1
我会考虑使用一些专用硬件设备来终止站点之间的 VPN 隧道。我发现,使用硬件 VPN 终止设备,一旦配置完成,通常就是“发射后不管”的操作(而不是在服务器计算机上终止 VPN)。Cisco ASA 防火墙设备在这方面做得很好,但市面上有各种各样的设备可以提供相同的功能(价格点/支持选项/功能各不相同)。
如果路由配置正确,站点到站点 VPN 的最终效果是,每个网络中的计算机将能够像您当前的点对点网络功能一样与其他网络通信。如果一切都经过适当的考虑,这应该是无缝过渡。
有一个 OpenVPN 到 OS X 的端口,并且可以使用这些机器来托管站点到站点的 VPN,但您正在查看更复杂的路由配置,而不仅仅是用终止 VPN 隧道的设备替换边缘防火墙。
根据 2600 系列路由器上安装的 IOS 版本和功能集,您可能还能够在这些设备上终止两个站点之间的 IPSEC 隧道。同样,您也需要更复杂的路由配置才能走这条路线。
答案2
我不知道康卡斯特为您提供的调制解调器/路由器是什么,但最简单的解决方案是使用“vpn 路由器”。SF 有一些相关的答案(搜索 vpn、站点到站点 vpn),它们至少会为您提供制造商名称,有时还会提供型号。
站点到站点的通信对您的用户来说是透明的。
Cisco 2600 已经过时了(即使是最新的 -xm 型号),很难以 Comcast 连接的速度处理 VPN。此外,如果您没有接受过相关培训,设置起来会很困难。
“服务器”解决方案也是可行的,但需要做更多工作来配置从服务器到服务器的隧道,然后从客户端路由到服务器(因此不是互联网网关)。在 MacOSX 和 Windows 服务器上,您应该能够使用 OpenVPN,而 Windows 也可以使用 RRAS(路由和远程访问服务)。