Как соеденить все филиалы с головным офисом в единую сеть?

Question

[Norustem Norustem]

Здравствуйте. Есть несколько филиалов по разным городам республики. Нужно соединить в единую сеть по vpn. В данный момент поднят vpn сервер на базе windows server 2008r2. RRAS. Клиенты к vpn серверу подключаются, но к локальной к сети они не могут зайти и сетевом окружении vpn клиенты не отображаются. Пожалуйста подскажите несколько вариантов для решения данной проблемы. Задача состоит в том чтобы все компы организации были в одной сети. Заранее спасибо

Answer 1

[athacker]

Сетевое окружение -- это зло. Выключите и забудьте про него. Все файловые ресурсы должны быть чётко прибиты к серверам большими гвоздями, и у юзеров должны быть доступны либо через ярлык на рабочем столе, либо через замапленный диск, и только с серверов -- никаких связей между рабочими станциями.

Что касается VPN -- чо-та палевно на винде его как-то делать. Виндовые сервера вообще наружу лучше не выставлять. Соберите туннели на юниксах или на железных маршрутизаторах, типа микротика.

В один домен L2 сети лучше не добавлять -- это небезопасно и сложно управлять. Лучше каждый филиал в свою подсеть, и на центральном маршрутизаторе рулить, кому куда можно.

Comments

[DastiX]

Поддерживаю. Туннели между железными микротиками, каждый филиал - своя подсеть, маршруты и общий доступ к серверам.

Answer 2

[Azazel PW]

В одной? :)
Или все таки чтобы у всех был доступ ко всем компьютерам?
Если в одной, к примеру 192.168.0.0/24, то так не получится.
Если хотите чтобы доступ был ко всем компьютерам, в разных сетях
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
И так далее. То это возможно.

1. Делаем главный сервер и остальные клиентами цепляются к нему.
2. Разруливаем маршрутизацию по филиалам, с сервера 192.168.0.0/16.
3. ....
4. ПРОФИТ.

За вас никто не сделает, так что просто начните с подключения одного филиала.
А дальше второй и третий . . .

Comments

[ldv]

для одной сети можно использовать какой-нибудь L2 VPN

[Norustem Norustem]

Получается ip адреса для vpn клиентов должны быть другой подсети это касается каждого филиала? И еще если выполню, как настроить маршрутизацию между ними? Средствами Windows Server?

[Azazel PW]

Рустам Ногаев: Нет не получается.
Получается, что есть 2 сети.
И вы на каждую сеть делаете туннель. Объединяете сети и маршрутизируете их между собой.

А что обязательно это делать средствами Windows? как вариант OpenVPN на Windows.
у вас маршрутизатор есть? Делайте такие вещи на нем.
На крайняк купите Микротик, у него огромный функционал.

[Azazel PW]

ldv: Он хочет несколько филиалов объединить с возможностью маштабирования. Проще и дешевле разобраться с технологией, и прокачать свой скилл специалиста.

Вариантов то куча
Да можно и один VLAN загнать, если провайдер один и тот же. Но тогда он ограничит кол-во подключаемых устройств в своей сети до 254.

[Norustem Norustem]

Azazel PW: Я читал про OpenVpn, на клиентской стороне требуется дополнительные настройки. Приоритет все сделать через Windows возможностей. Не подскажете ли куда копать?

[ldv]

Azazel PW: можно и без провайдера, OpenVPN через tap интерфейс, например

[Azazel PW]

Рустам Ногаев: так смотрите. вам не конечного клиента нужно рассматривать. А 2 роутера. Для объединения сетей.
Я понимаю что вам хотелось бы сделать такую структуру на Windows, но в дальнейшем вы себя поставите в тупик.
Смотрите на решение не поверхностно, а с заявкой на будущее.

Как должна выглядеть архитектура сети большого/среднего холдинга с множеством филиалов.
Главный офис 2-4 Внешних интернет канала, с автопереключением или балансировкой каналов интернета, в случае если авария у провайдера.

Филиал(любой)
2 Внешних интернет канала, с автопереключением или балансировкой каналов интернета, в случае если авария у провайдера.
Тут же идет балансировочный VPN скрипт, который определяет на каком из провайдеров лучше связь с главным офисом.

Вот что будет по вашей схеме. Жизнено :)
К примеру вас поднят VPN канал, с главным офисом.
А у провайдера канала в главном офисе, ложится канал. Вы потом будете бегать переключать, вписывать IP копировать настройки. Слышать от пользователей что у них есть проблемы. Вероятно от этого может даже ваша премия зависеть(как мотиватор) =)
В итоге вы в мыле бегаете. Особенно если у вас 20 таких филиалов.
Шеф кричит что компания теряет деньги и клиентов. Вы теряете авторитет в его глазах.

А если у вас есть скрипт который делает балансировку каналов и ВПНов, то вы сидите на Тостере, пишите всякую фигню как я. И даже если у вас отвалился Провайдер, вам пофигу. Вы узнаете об этом только из системы мониторинга. Заббикс, Нагиос не важно. Потом звоните провайдеру, и тут можно поиздеватся над технарем, разыгрывая комедию
"Не было не единого разрыва"
Но при этом вам пользователи не докучают, у них все работает.
Шефу пофиг что вы фигней страдаете, потому что все работает.

[Azazel PW]

ldv: а разве не TUN ?
TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.

[ldv]

Azazel PW: ну так про мост и речь, объединение всех филиалов в один широковещательный домен

[Azazel PW]

ldv: странно, потому как у меня такая же система как я описывал здесь и у меня TUN интерфейсы.
Главный офис.
tun0 Link encap:UNSPEC HWaddr
inet addr:10.1.1.1 P-t-P:10.1.1.2 Mask:255.255.255.255
Филиал
tun0 Link encap:UNSPEC HWaddr
inet addr:10.1.1.10 P-t-P:10.1.1.9 Mask:255.255.255.255
и маршрутизация до главного офиса из филиала
192.168.100.0 10.1.1.9 255.255.255.0 UG 0 0 0 tun0

[ldv]

Azazel PW:
Вы писали: "Если в одной, к примеру 192.168.0.0/24, то так не получится."
Получится через OpenVPN tap. Просто уточнение.

[athacker]

Рустам Ногаев: на клиентской стороне В ЛЮБОМ СЛУЧАЕ потребуется делать дополнительные настройки. Вы пытаетесь каждую рабочую станцию в каждом филиале зацепить по отдельному VPN-соединению в единую сеть? Так не делается. Вам нужно объединять СЕТИ. Центрального офиса, и сети филиалов. А для этого на каждой стороне должен стоять предмет, который будет выполнять функции построения туннеля между сетями. И этот предмет нужно будет настраивать С ОБОИХ сторон.

[athacker]

Azazel PW: если решать задачу отказоустойчивости VPN-каналов, то тут уже нужны не скрипты, а динамическая маршрутизация :-)

[Norustem Norustem]

Azazel PW: сильно сказали))) честно признаюсь я новичок в построении в vpn каналов, общий смысл понял. Но в деле все по другому, в каждом шаге какой нюанс с подвохом появляются. У нас в данный момент 3 филиала, и в каждом филиале 3-4 компьютера (ps шеф хочет чтобы ихние компьютеры отображались у нас в сетевом окружении, вот связи с этим начал данную тему). Теперь после всех комментов даже не знаю что делать.

[ldv]

Рустам Ногаев: у вас номера локальных сеетй различаются с сетью главного офиса?

[Norustem Norustem]

ldv: к сожалению все сети филиалов настраивались под подсеть adsl роутера, все 192.168.1.ххх, три филиала три роутера и все под одинаковой подсетью включая головной офис

[svd71]

@Norustem
Это не имеет значения. ВПН создаст новое устройство со своим адресным пространством, аналогичное новой сетевой карте. В этой ситуации важно, чтоб пакеты отправлялись нужным адресатам. То есть правильно прописать роуты. Иначе вы рискуете либо весь трафик переправлять по ВПН, либо в другое адресное пространство и получать ошибку.

А вот ля ВПН (в отличии от адреса выделенного провайдером) вы може указать уже сеть класса "Б", но все равно это не избавит от обязанности грамотно прописывать маршруты.

[Norustem Norustem]

svd71: вот насчет адресной системы для vpn клиентов я указываю статический адрес в свойствах аккаунта (аккаунт доменный), а вот vpn где указывается в RRAS?

[Azazel PW]

athacker: мне больше нравятся скрипты с математическими расчетами. В скриптах я уверен так как каждую строку сам писал и считал как мне нужно :)

[athacker]

Azazel PW: Вы же не думаете, что интернет-провайдеры дурачки, когда делают резервирование линков с помощью динамической маршрутизации, а не на скриптах? :-) Скрипт будет отрабатывать дольше, чем динамическая маршутизация. Переключение маршрутов в каком-нибудь BGP займёт считанные секунды, а скрипт будет запускаться раз в несколько минут. Ну это как минимум, не касаясь других профитов динамической маршрутизации.

[Azazel PW]

athacker: Красивое слово BGP, вы считали сколько оно будет стоить для простой рядовой компании? Не провайдера.
Безусловно Автономка это круто, это вещь.
Но, нужно под это дело купить оборудование, пройти регистрацию. В тот момент когда я считал это. Получилось порядка 60-80 тыс единоразовый платеж.
И еще абонентская плата провайдеру, сразу становится выше на 5.000 рублей. :)
То есть сразу на 60 тыс, в год.
А если сумму за первый год перевести в оборудование для серверной
То за 120-140 тыс. Можно купить средней мощности сервер.

[athacker]

Azazel PW: Коллега, почитайте по BGP. Хотя бы статью из серии "Сети для самых маленьких". BGP бывает двух видов -- IBGP и EBGP. IBGP, как следует из названия, (Internal BGP) используется для маршрутизации ВНУТРИ AS. Внутри своей сети через все VPN-туннели вы можете использовать любой номер AS. Также существуют так называемые "серые AS", их назначение такое же, как и серых IP -- для использования внутри локальной сети.

Регистрация AS не нужна для этой задачи, от слова "ВООБЩЕ".

Кроме того, BGP -- не единственный протокол динамической маршрутизации. Есть ещё OSPF, например, и тоже вполне пригоден для использования в локальной сети.

[Azazel PW]

athacker: ок, прочту спасибо.

Answer 3

[Александр Корюкин]

EoIP на Mikrotik?