Как правильно настроить vpn между зданиями, не объединяя интернет трафик?

Question

[hitmany]

В первом здании стоит cisco catalyst 2911, в локальной сети VLAN, контролер домена и другие ресурсы.
Во втором есть свитч только cisco catalyst 2960.

У обоих зданий есть локальный IP провайдера и они могут общаться по этой локалке.
Нужно компы из второго здания сделать членами VLAN первого и перенаправлять только трафик по локалке этого VLAN. А интернет трафик не отправлять через циску. Нет возможности приобрести второй маршрутизатор, но есть возможность поставить сервер.

Как лучше организовать vpn? Например поставить openvpn сервер в первом здании, а на тачках openvpn клиент, который будет грузиться службы до подключения к AD. Сможет ли openvpn сервер выдавать ip из vlana cisco?

Answer 1

[Илья Т.]

а что такое модем?
обязательно ли вам объединять сеть в один влан или достаточно просто сделать доступными сервера из одного сегмента в другом?

Comments

[hitmany]

GPON модем. Да обязательно объединять сеть во VLAN,это нужно для работы по RDP

[Илья Т.]

для работы по RDP один влан не обязателен. совет: если дело только в этом - не заморачивайтесь одним вланом. поднимите на циске какой-нибудь vpn (pptp например) а во втором здании клиентский сервер (в его роли может выступать простой маршрутизатор типа дылинк с пптп клиентом) или со всех машин подключение поднимайте.

[hitmany]

Илья Т.: такой вариант тоже рассматривали, но в этом случае весь инет трафик будет идти через одно здание,я правильно понимаю?

[Илья Т.]

нет. при правильной настройке маршрутов. т.е. маршрут по умолчанию у вас должен смотреть в интернет, а в впн вести маршруты на сеть 172.16...

[hitmany]

Илья Т.: спасибо, попробуем

Answer 2

[Валентин]

Если нужна L3 связность, строй от одного участка до другого pptp/ipsec/gre
Если чисто та же подсеть и L2 связность, смотри в сторону l2tpv3/eoip.
Если DHCP нужен с удаленной циски, настроишь relay

Однако, обычная ONT-шка навряд ли это сможет, поставишь микротик или линуховый сервак.