Помогите с организацией vpn и связей домена

Помогите с организацией vpn и связей домена

Понятно, поищу инфу в инете, но заодно может и здесь подскажете нужные направления..

Вобщем такая задача.

Есть главный офис. В нем внутренний домен.
Есть несколько мелких офисах со своими внутренними доменами.

Необходимо объеденить их в общую сеть, дабы один sql сервак юзали, единый почтовый сервер и т.д.

1) нужно создать vpn связь между всеми ними..
2) связать домены... и вообще как лучше организовать доменную структуру.. тоже пока не знаю как лучше и как.. либо в мелких офисах делать дочерние домены, либо оставить их внутренние (разные леса получатся) и каким-то образом настроить трастовые отношения между ними..
3) решить вопрос Ip адресации между офисами.. везде одноранговые сети.. в одной например 192.168.100.0 сетка, в другом офисе 192.168.0.0.. возможно в теории наберется 254 устройства и поэтому будет необходимость нескольких подсетей, тогда видимо нужно это дело еще и маршрутизировать

vpn и маршрутизацию хочется делать видимо на основе железок, а не на винде. Железки планируется d-link, поскольку он здесь повсеместно используется.. вот..

Хочется понять принцип вообще по вопросам, ну и потом уже моменты технической реализации.

 

Re: Помогите с организацией vpn и связей домена

Проще всего обратиться в сам длинк с описанием проблемы. Они, по идее, предложат соответсвующие железяки, и заодно посоветуют как настроить.

Верить им особо не стоит, так шо когда предложат - отпишись, покритикуем.

Технически тоже всё довольно просто, в офисы что-то типа dfl-200, в центральный офис что-нить подороже, после пары тыков мышкой в менюхах этих дфлей поднимутся впн-каналы (если повезёт, конечно), ещё пара тыков в меню впн-сервера этот сервер начнёт роутить все твои подсети, после чего делаешь эти длинки дефолт роутерами на рабочих станциях - и у тебя начинают бегать пинги (если сильно повезёт, конечно). Соответсвенно нулевой, первый и третий вопросы можно считать решёнными.

Если очень круто повезёт и всё это барахло заработает - то можешь переходить ко второму пункту...

 

Re: Помогите с организацией vpn и связей домена

про dfl200 посмотрю.. пока вот на руках есть статья как сделать на основе D-Link DI-804HV, который юзается во всех точках.

http://www.ixbt.com/comm/router-dlink-di-804hv.shtml

 

Re: Помогите с организацией vpn и связей домена

Э-э-э... А нет ли возможности не ибстись с этим дерьможелезом, а найти приличного провайдера, предоставляющего MPLS и цапнуться к нему? Выйдет не в пример проще и надежнее.

 

Re: Помогите с организацией vpn и связей домена

Поддерживаю AVB, когда сделали по прямому каналу, всё стало проще и надёжней. До этого работало чрез ВПН, домен был один. Просто DC был в каждом оффисе. IPшники выдавались ручками. SQL и Почта были во внутренней сети, но на каждом серваке ручками был прописан persistent route через свой ВПН гейт в другую сеть.
Т.е. для попадания в сеть 192.168.0.0 роутинг был
route add -p 192.168.0.0 mask 255.255.255.0 gate 192.168.100.100
Для попадания в сеть 192.168.1.0 роутинг
route add -p 192.168.1.0 mask 255.255.255.0 gate 192.168.100.101
Твоя сеть 192.168.100.0/24
Это на сервере.
На местах.
Юзверям сеток 192.168.0.0 и 192.168.1.0 прописывать в качестве гейта VPN роутер. Инет пускать через другую машину. В IE просто прописывать прокси сервер. Отпадает чать проблем c аськой, троянчиками и прочей хернёй.

 

Re: Помогите с организацией vpn и связей домена

Я вот щас своим клиентам начинаю MPLS предлагать-демонстрировать, так они от самой идеи тащутся как судаки по асфальту. Никаких забот по маршрутизации, все ходит, никаких пересечек адресных пространств и тому подобных глупостях, которые встречались на некоторых старых операторских технологиях VPN.

 

Re: Помогите с организацией vpn и связей домена

Cisco PIX Family.

 

Re: Помогите с организацией vpn и связей домена

Конечно циску интересней ковырять, чем это долбанный длинк, но.. контора не слишком большая, денег столько не даст

MPLS.. не знаю чиго ето и как применительно к данной ситуации использовать.. по идее это одна из реализаций QoS, то бишь выставление приоритетов по портам или еще как.. как это относится к организации защищенных соединений не понятно..?

Прямой линк.. хз.. видимо подразумевается, что провайдер может через свои сети организовать прямой линк..? уж не знаю как (у меня уже голова сломалась).. и сколько это по деньгам будет..?

Я читал тут на ixbt про Di-804HV он по идее выдает при шифрации больше 2мегабит... канал в центральном офисе вроде 1мегабит.. то бишь вполне хватает выходной мощности и сужаться инет-канал не будет из-за этой железяки.. и какая разница сколько тачек лезут через эту железяку в инет например (я так понимаю она стоит первым узлом LAN-INET).. однако на форуме длинка мне сказали что она 40 юзеров не потянет.. почему кол-во пользователей влияет не очень понятно, но может и так..

Там предложили в центральный DFL-700, а в офисы DFL-200.

Stef.. а почему есть необходимость прописывать стат. рутинг по подсеткам.. по идее шлюз в ЦО один.. эта железяка.. а она уже по идее сама разберется какая подсеть в каком vpn-канале.. ы?

На данный момент не очень понятно вобще организация связи выхода в инет и между подсетями и mail-сервера и фаервола на винде (Kerio продукты).. Попробую щаз нарисовать примерно как вижу.. см. аттач

Я так понимаю еще что эта штука будет являться шлюзом в инет NAT + по необходимости слать трафик через vpn туннели..
Непонятно что и как настроить в плане ip и правил фаервола на тачке с фаерволом и мылом.. чтобы фаервол понимал что из инета пришло а что со стороны инета но с другой подсети... ничего не понимаю.. (c)

 

Re: Помогите с организацией vpn и связей домена

А шо если на основе Kerio того же впн сделать, а не на железяках.. хуже будет?

 

Re: Помогите с организацией vpn и связей домена

С Kerio есть одна проблемка: VPN Server и Firewall не могут жить на одной машине. У меня стоит на разных -- никаких проблем.

 

Re: Помогите с организацией vpn и связей домена

Начитался форума длинка.. предположительно смогу настроить эту хрень, если не с пониманием, так по крайней мере чтобы работало..

Есть такой вопросец.

будут покупаться dfl-200.. на них есть wan lan и dmz порты

В локалке есть мылсервер, с ip 192.168.3.3.. у юзеров в аутлуке pop smtp прописан этот ip.

Думаю захочется перенести мылсервер в Dmz порт, в котором будет подсеть например 192.168.4.0 и дать мыл-серверу ip 192.168.4.3.

ХОЧЕТСЯ: прописать в аутлуках pop smtp не по ip, а по имени, дабы если потом еще менять Ip они всегда уже находили мыл-сервер.

Как прописать мыл-сервер (этот комп не входит в домен) в днс домена, чтобы он был доступен по имени.. ну для теста пинг по имени должен проходить..

я вот щаз для теста сделал:

моя тачка, в домене. На моей тачке запущена vmware, в ней w2003, в котором поднят другой домен с другим именем. Моя тача и виртуальная связаны через 192.168.99.0.. создал в виртуальной таче в днс запись, имя моего компа и ip 192.168.99.254,. посылаю пинг по имени.. не идет.. видимо потому что не вхожу в этот домен виртуальной машины.. туплю.. подскажите.

По Ip пинг проходит.

 

Re: Помогите с организацией vpn и связей домена

Доменное имя? А DNS общий поднимал? Или ты на Windows Names надеешься? Если надеешься, ставь в центральной сетке WINS сервер, а в сателитах прописывай его.

 

Re: Помогите с организацией vpn и связей домена

Не то чтобы доменное имя, а скорее в днс контроллера домена.

Общий днс? видимо нет.. может быть мой пример с виртуальной тачкой недостаточно корректен.. впрочем на тачке с мылсервером в качестве днс видимо будут прописаны инетовские днс, а не локальный..

винс не хотелось бы громоздить, имхо он уже умер и ну бы его в жопу..

то бишь есть доменконтроллер, на нем днс. Есть тачка не в домене. хочется прописать ее в днс, чтобы она была доступна по имени.. можно это как-то сделать все-таки?

кароче не так уж сложно по идее имя отрезолвить изначально в какую почку днс ударить, чтоб он это делал

 

Re: Помогите с организацией vpn и связей домена

пошел пинг блин

моя тачка в домене test.ru например.. в виртуальной машине поднят домен kura.ru и в днс, руками создал днс-запись имени своей машины hint и ее ip. Пинг пошел на hint.kura.ru, хотя тачка в этот домен не входит, а входит в test.ru..

наверно на это можно и забить.. теоретически имя в Ip резолвится и ладно..

Но почему пинг сразу не пошел, то ли днс-сервер показывает созданную мной запись, но у себя базу не сразу обновил или почему?

 

Re: Помогите с организацией vpn и связей домена

Я не могу понять как именно у тебя сделано. Если ты пользуешь AD, то тебе надо создавать на удаленном сегменте свое дерево/ветвь в общем лесу/дереве. Если ты все делаешь только в рамках IPV4, то надо либо ручками прописывать DNS на машинки удаленной сети, либо раздавать им через BOOTP/DHCP. Если ты реализуешь это иным методом, то и подходить к задаче надо уже с учетом тех технологий, которые ты пользуешь.

Ну а то что у тебя DNS не резолвит сразу, то ты уверен, что ты зааплаил изменения?

 

Re: Помогите с организацией vpn и связей домена

Видимо не зааплаил, потому и не резолвил.

Схема такая

1 офис: домен kkk.ru
2 офис: домен ddd.ru

домены пока связывать не предполагается на уровне AD. У каждого домена свой локальный днс.

В 1-м офисе есть комп с мэйл-серваком. Он НЕ входит в домен.

У юзеров в аутлуке в pop и smtp-сервера прописан ip этого мэйл-сервера.

Мне хочется прописать в аутлуке у юзеров что-нить навроде mail.kkk.ru, потому как щаз мне хочется в связи с покупкой железок вынести мыл-сервак в dmz-зону и соответственно поменять ему ip.. Нужно чтобы аутлуки его искали по имени, вдруг еще в будущем понадобится ip изменить.. чтобы опять не обходить всех юзеров и не менять им настройки.

Для этого я создаю запись в днс офиса 1: mail.kkk.ru и указываю ip мыл-сервера. У юзеров в аутлуке прописываю это имя

В офисе 2, я тоже создаю днс-имя mail.ddd.ru и указываю тот же ip мыл-сервера, (они туда будут роутиться через vpn).

При все этом комп с мэйл-сервером по идее можно называться как угодна.. например 'gopa'..

Также по идее правильно создать днс-записи для mail в обратной зоне.

По идее пинг по имени и обращение к pop и smtp по имени, будет резолвится в ip и все будет ходить как надо.. Вопрос насколько это корректно и работоспособно или как правильней сделать иначе..

Ключевое слово - прописать в почтовых клиентах pop и smtp сервер не в виде ip, а в виде имени.

 

Re: Помогите с организацией vpn и связей домена

Mail == Exchange ? Иобля : ( kkk_DNS == Public ? Прописывать на ddd_workstations : Иобля);

 

Re: Помогите с организацией vpn и связей домена

не эксенчж. Один из .. под винды.
kkk_DNS.. паблик.. не понял что подразумевается.. это днс в локальном домене, все компы из локалки к нему обращаются.

Что прописывать? Днс? он прописан..

Вобщем похоже можно прописать эту внедоменную тачку в доменном днс и по идее должно работать.. несмотря на то что она не в домене, а в днс будет числиться как mail.kkk.ru. Насколько это корректно или нет возможно станет понятно, когда я больше узнаю о ДНС и о майкрософтовском в частности

На мои ламерские вопросы желания подробно отвечать особого нет. Не интересно. Понимаю

Но я ишо поспрошаю, не расслабляблябляйтесь

 

Re: Помогите с организацией vpn и связей домена

MPLS - методика форвардинга по меткам, позволяет организовывать в том числе VPN на операторских сетях для таких как ты. А насчет QoS - если бы такое ляпнул какой-нить мой сотрудник - я бы его убил об стену
Прямой линк тебе может забацать любой нормальный провайдер с морально устаревшей сеткой на IEEE 802.1q либо продвинутый наглухо провайдер с IP/MPLS/VPLS, но в любом случае это будет тебе стоить копейки. Равно как и традиционная MPLS VPN.

 

Re: Помогите с организацией vpn и связей домена

zmh, поставь Visio, нарисуй схему.