主页 / server / 问题 / 14169
Accepted
Pyrolistical
Asked: 2009-05-29 15:56:35 +0800 CST

如何通过 Internet 安全地将两个网络连接在一起?

  • 772

假设有两个位置。这两个地点都有自己的快速互联网连接。您如何将这两个网络连接在一起,以便每台计算机都可以看到其他计算机?

您是否需要域控制器,或者您可以使用工作组来执行此操作吗?

显而易见的解决方案似乎是 VPN,但 VPN 只能在路由器上实现吗?网络上的计算机可以免配置吗?

routing networking security internet

14 个回答

  1. 标准解决方案是在两个路由器之间使用VPN,然后调整路由,使所有 LAN 到 LAN 流量都通过 VPN。

    域/工作组实际上根本不相关。更相关的信息是两个站点都有什么类型的路由器,以及它们是否可以创建L2TPPPTP或其他一些加密隧道,或者它们是否运行像 Linux 这样的标准操作系统,您可以在其中安装软件。有许多路由器已经支持 VPN 连接。如果您安装自定义固件,即使是一些家用路由器也可以做到。您可以在您的服务器之间创建一个 VPN,但获得正确的路由可能有点棘手。

    如果我有一个支持它的系统,我真的很喜欢 OpenVPN 作为一种解决方案。存在许多其他好的 VPN 解决方案。

    显而易见的解决方案似乎是 VPN,但 VPN 只能在路由器上实现吗?网络上的计算机可以免配置吗?

    这些完全取决于您拥有的路由器类型。如果您的路由器是运行 Linux 的计算机,那么可以。如果您的路由器是便宜的宽带路由器,那么您当前的硬件也许可以做到这一点。如果您当前的硬件无法做到这一点,您当然可以购买可以做到的路由器。

    客户真的不需要了解有关 VPN 的任何信息。

    • 11
  2. Best Answer

    VPN只能在路由器上实现吗?网络上的计算机可以免配置吗?

    是的。假设合理的路由器和合理的网络布局。如果您的站点都共享相同的 IP 范围(即它们都使用 192.168.0.0/24 并因此重叠),那么您将不得不进行完整的 NAT,事情会变得一团糟。

    如果您在自己的子网中配置每个站点,那么这很简单,您唯一需要考虑的是:

    • 最小化通过 VPN 的流量
    • VPN 的安全性(即使用正确类型的 VPN)
    • 跨 VPN 集成系统(即跨子网 Windows 网络浏览)
    • 9

  3. 虽然“开放”的建议很棒,但如果你问这个问题,我猜你不太可能成功实施它们。

    为自己省去很多麻烦,从 Linksys、Netgear、D-Link 甚至 Sonicwall 等供应商那里购买两台具有 VPN 功能的路由器。它们很容易设置,并将两个网络安全地连接在一起。

    一旦完成,计算机是否“看到”彼此,很大程度上取决于正在运行的网络以及流量如何通过 VPN。Windows 工作组是基于广播的系统,可能会干扰显示所有系统的“网络邻居”。使用“lmhosts”文件有助于名称解析。这通常是使用域以及域之间的信任(如果它们不同)。通过对计算机(Active Directory 和 DNS)进行中央注册,它们能够“找到”彼此,而无需在每台计算机上配置名称解析。

    • 4

  4. OpenBSD 和 IPSEC。使用链接两端的 OpenBSD 服务器作为 IPSEC 网关。设置非常简单。

    • 3

  5. 我们在英国有 4 个站点有这种确切的情况。

    每个站点都有一个几百英镑的 draytek VPN 设备。

    它们都通过 VPN 相互连接,它就像一种魅力。

    • 3

  6. VPN 隧道。我更喜欢基于硬件的 VPN,这是在路由器级别。有很多从非常便宜到非常昂贵。在便宜的一侧有 Linksys、DLINK,在另一侧有 Cisco、sonicwall 等。

    昂贵的路由器允许更多的路由配置等。

    这里有一个问题...您的 VPN 仅与支持隧道的线路一样有效,看在上帝的份上,请不要尝试通过 512KB 线路将组策略从域控制器加载到世界另一端的客户端.

    如果两个站点都有不同的子网,还请尝试控制您的广播流量跨网络。

    祝你好运!

    • 2

  7. 设置 VPN 连接时,您可能希望每个位置都有自己的子网以限制广播域。为什么用无关的流量阻塞有限的带宽连接?

    您的路由器/vpn 设备应该有到其他位置的路由,只需设置本地 DNS 服务器来寻址“另一端”的机器。

    • 1

  8. 这种配置已经使用了多年。

    在站点之间建立 VPN。然后启用动态路由协议以在站点之间共享网络信息。

    根据我的经验,路由器之间会有某种虚拟的点对点链路,可能是 GRE 隧道或 L2TP。动态路由协议将此链路视为任何其他接口。

    VPN 配置存在一些供应商/实施特定的配置问题 - 请参阅文档、供应商的支持组织或描述您使用的产品。

    与网络设计相关的一个关键点 - 您需要将所有站点视为一个大型网络的一部分。例如,您不能将所有远程站点都配置为具有 192.168.1.0 子网。相反,使用 NAT 和非常复杂的路由配置,您可能会遇到这样的噩梦,但是将所有站点设计为一个网络空间的一部分要容易得多。

    • 1

  9. 如果两个站点上的 WAN 连接路由器都支持它,那么 IPSEC VPN 听起来是明智的选择。或者,防火墙或专用 VPN 终端盒(可能还有一些静态路由)应该使其对您通过 VP{N.

    • 1

  10. 那里有很多很好的 VPN 解决方案,但有时你需要一些快速而肮脏的东西。您可以使用PPP over SSH设置 VPN 。这个解决方案有很多缺点,但优点是它不需要特殊的工具或程序,只需要标准的 ssh 和 ppp。稍作调整,它也可以在 Windows 上运行。

    • 1

相关问题