Подскажите имеется несколько сетей в головном офисе(192.168.0.0, 192.168.1.0,192.168.2.0 итд).
Со стороны главного офиса есть OpenVPN сервер, к которому подключатся люди личных и домашних ноутбуках.
Теперь появилась некоторая сеть магазинов порядка 80 штук, где из оборудования установлены Asus RT n56u, несколько ноутбуков, порядка 5 IP-камер.
Цель объединить их в одну сеть,применение политик безопасности в том числе AppLocker, мониторить камеры через Zabbix, а так же мониторить онлайн статус каждого магазина, ну и там по мелочи счетчики Windows.
В целом задача не составляет труда, прошиваем роутер Asus RT-N56U прошивкой от Padavan, после чего появляется возможность настроить его в качестве OpenVPN клиента. Все удаленная сеть может ходить в головную и обратно.
Но что делать с DNS? Любой запрос FQDN не IP адреса, роутер отправляет уже на внешние DNS сервера. Можно настроить чтобы DNS запросы шли через OpenVPN, получали ответ о том что внутренний сервер то направлялись на него если внешний то уходит запрос обратно в сеть филиала, до ноутбука и снова в интернет. Тогда DNS ответы получаются со слишком большой задержкой. Как быть? понятно что проще поставить DNS в каждый офис и не заморачиваться, но нет никак! Оборудование регулярно переезжает и нужна работа по такой схеме. Какие буду предложения?
Дописывайте основной суффикс днс ко всем именам (server.mycompany.com) а для mycompany.com создайте NS запись с вашим IP внутреннего DNS
FQDN запрос vasya.mycompany.com будет резволить ваш внутренний сервер а например mail.ru - внешний
сделаете разбиение по филиалам server.filial-1.mycompany.com server.filial-2.mycompany.com server.filial-n.mycompany.com
Это - направление в котором можно решить вопрос, если я верно уловил Вашу проблему
Да верно уловили решение. Только это можно сделать разве что на клиенте непосредственно на ноутбуке верно? Средствами роутера разве можно сделать и запись NS и дописывать DNS суффикс?
Мой ответ был краток, раз направление верное, разъясню подробней (хотя все еще с некоторыми упрощениями) :
Регистрируете доменное имя (не важно какое, где и как, например lalala.ru) и у регистратора добавляете NS записи с вашим IP вашего DNS сервера. для простоты 192.168.0.3
теперь любой ноутбук, компьютер подключенный к интернету и имеющий с настроеным DNS на тот же гугл 8.8.8.8 при запросе camera101.lalala.ru получит ответ, что заэту зону отвечает ваш 192.168.0.3 и отправит запрос ему (тут уже в дело должна включатся ваша маршрутизация, впн итд, чтобы произошел ответ вашего днс сервера ) и получит ответ (напримр 192.168.50.101)
Нельзя так! Магазины переезжают регулярно, после чего это все уже никто не сможет подключить! нужна следующая схема работы переехали, шнур интернета продавец воткнул в роутер, подключился через Wi-Fi и дальше в работу!
А DNS сервер есть и не один, суть в том чтобы не гонять через VPN тонны запросов которые не нужны!
Евгений Денисов: тогда используйте совет Daemon23RUS, на внутренние сервисы поставьте firewall и рубите весь чужой трафик.
По поводу безопасности вы уж слишком заморачиваетесь, у вас же не управление ядерным реактором, обычный SSL, firewall и антивирусы вас спасут.
Простой
Средний
Простой
