Объединить две локальные сети в одну через интернет?
Дмитрий, Да я вроде бы знаю что такое маршрутизация (или я всё же не понял), у меня некоторые порты из wan маршрутизируются на LAN IP, но причем тут VPN? То есть мне, что нужно для всех служб что мне нужны делать маршутизацию портов и откуда и куда не понятно?
Сейчас VPN соединение есть но при попытки открыть smb://192.168.2.21 с MAC OS desktop 1
ip 192.168.1.30 пишет, что подключения нет.
Дмитрий, Я думаю такого функционала у меня в роутере нет.
Это всё что есть:
Дмитрий, Вроде бы тогда должно быть так?
Дмитрий, да, шлюзом установил адрес роутера клиента VPN, а интерфэйсы только такой выбор:
Я только не до конца понимаю, что писать в поле «IP-адрес сети или хоста«:
айпишник роутера ВПН сервера? Может сеть 192.168.2.0 ведь это сеть роутера ВПН сервера?
Любой VPN поднимаете на роутере, или внешнем сервере.
- Вы делаете разные подсети в филиалах, к VPN подключается роутер филиала, на нем прописаны маршруты.
- Вы оставляете одинаковую адресацию, к VPN подключается каждый компьютер, и получает адрес от VPN сервера.
- Вконтакте
Я сделал первый вариант. Вот с маршрутами не понятно. Мне каждый порт нужно маршрутизировать? Допустим мне нужен порт 24267.
внешний ip у меня вида 92.80.20.1 в одной сети и 90.150.200.180 в другой. В LAN уще 192.168.2.1 в одной сети и 192.168.1.1 в другой. Маршрут откуда куда прописывать?
Нет, маршрутизируются пакеты.
Маршрут это схема прохождения пакета до нужного адреса.
А порт это просто идентификатор, вот когда пакет дойдет до нужного компьютера, тот посмотрит какой там порт.
По поводу маршрутов — внешние адреса значения не имеют, чтобы сказать какие маршруты нужно знать где VPN сервер стоит, какой у него адрес.
АртемЪ, VPN на роутере у которого внешний 92.80.20.1 а внутрений 192.168.2.1
Маршрут на роутере с ВПН сервером
Подобные задачи решаются с помощью ВПН вполне тривиально.
Если в Вашем случае соединение установлено успешно и Вы с одного роутера видите другой (по внутренним впн адресам), значит дело в роутинге. Каждый роутер должен знать, какая сеть расположена за другим, иначе будет ситуация как у Вас — никто никого не видит )
Пример:
роутер1: впн адрес 10.8.0.1, сеть за ним 192.168.1.хх
роутер2: впн адрес 10.8.0.2, сеть за ним 192.168.2.хх
На первом роутере прописывается статик роут: route add 192.168.2.0 mask 255.255.255.0 gateway 10.8.0.2
На втором, аналогично, но наоборот )): route add 192.168.1.0 mask 255.255.255.0 gateway 10.8.0.1
Команды могут незначительно отличаться в зависимости от софта, скорее всего у Вас вообще будет графическая админка, а там что-то вроде «сеть», «маска», и «шлюз», в примере это соответствует первому, второму и третьему значению.
При условии, что все компьютеры в сетях имеют шлюз по умолчанию == внутреннему айпи своего роутера (х.х.1.1/х.х.2.1.), все должно заработать сразу после добавления роутов.
Локалка через интернет
У меня на блоге уже была одна статья про организацию локальной сети через интернет при помощи Hamachi, но сегодня мы поговорим про еще один сервис, используемый в подобных целях, — OpenVPN.
О чем вообще речь? О том, чтобы связать два или большее количество компьютеров, находящихся в совершенно разных местах, в единую локальную сеть. То есть физически то они будут далеко друг от друга, а виртуально — как будто в одной локальной сети. Что это дает?
- Возможность делиться файлами по сети;
- Возможность запустить какую-нибудь программу типа 1с, обращающуюся с одного компьютера на другой;
- Возможность играть вместе в игры и многое другое.
Сама статья написана не мной, предложил мне ее один из постоянных участников нашего форума, NicromanseR, за что я ему очень благодарен. Сам я лишь немного подредактировал статью, чтобы она больше ложилась в стилистику этого блога.
Итак, как же сделать локалку через интернет с использованием OpenVPN? Задача не совсем простая и потребует некоторого количества манипуляций, но предлагаемая инструкция описывает их достаточно подробно.
Итак, скачиваем дистрибутив программы с официального сайта, распаковываем его и устанавливаем всё по умолчанию. Внимание! Нужно подтвердить установку драйвера сетевого адаптера TAP-Win32 Adapter V9, когда Windows это попросит.
Openvpn сервер
Один из компьютеров будет выступать в качестве Openvpn сервера, к нему будут подключаться другие компьютеры. Желательно, чтобы на нем был выделенный (постоянный) IP адрес. Начнем с его настройки.
- Запустите окно командной строки Пуск – Выполнить (или Win+R) – cmd.exe
- Cамая сложная часть настройки – генерация сертификатов и ключей. Здесь нужно быть предельно внимательным и точно следовать инструкциям. В окне консоли вводим без кавычек «cd C:\Program Files\OpenVPN\easy-rsa» где C:\Program Files\OpenVPN\ папка с установленной программой. Окно консоли не закрываем.
- Вводим опять без кавычек «init-config»
- Реедактируем файл vars.bat и устанавливаем следующие параметры: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL. Эти параметры нельзя оставлять пустыми, остальные можно оставить по умолчанию. Пример:
set KEY_COUNTRY=RU
set KEY_PROVINCE=MO
set KEY_CITY=Moskow
set KEY_ORG=GazProm
set KEY_EMAIL=root@yandex.ru
set KEY_CN=changeme
set KEY_NAME=changeme
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
port 5194
proto udp
dev tun
topology subnet
ca C:\\Program Files\\OpenVPN\\config\\keys\\ca.crt
cert C:\\Program Files\\OpenVPN\\config\\keys \\server.crt
key C:\\Program Files\\OpenVPN\\config\\keys \\server.key # This file should be kept secret
dh C:\\Program Files\\OpenVPN\\config\\keys \\dh1024.pem
server 10.218.77.0 255.255.255.0 # vpn subnet
ifconfig-pool-persist ipp.txt # Тут будут храниться ip адреса клиентов
push «route 192.168.78.0 255.255.255.0»
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 4
mute 20
client-to-client
client-config-dir C:\\Program Files\\OpenVPN\\config\\keys
Конфиг готов, осталось создать ещё 1 файлик с именем «ipp.txt» и следующим содержанием:
client1,10.218.77.10
client2,10.218.77.11
client3,10.218.77.12
Всё, от сервера OpenVPN можно пока отстать. Переходим к настройке клиентской части для создания локалки через интернет.
Openvpn клиент
Чтобы настроить Openvpn клиент, Заходим в папку по адресу C:\Program Files\OpenVPN\config и создаём там файлик «client.ovpn» со следующим содержанием:
remote my_server 5194
client
dev tun
proto udp
topology subnet
persist-key
persist-tun
ca C:\\Program Files\\OpenVPN\\config\\keys \\ca.crt
cert C:\\Program Files\\OpenVPN\\config\\keys \\client1.crt
key C:\\Program Files\\OpenVPN\\config\\keys \\client1.key
comp-lzo
verb 4
mute 20
Тут Вам надо поменять значение «my_server» на IP адрес вашего сервера. Скопируем файлы ca.crt, client1.crt, client1.key в папку C:\Program Files\OpenVPN\config\keys для пользователя «client1» и файлы ca.crt, client2.crt, client2.key для второго клиента (если у вас планируется больше двух). На этом настройка OpenVPN клиента закончена. Пробуем подключиться.
Примечание (Сандер): Если вы все правильно настроите, то после запуска службы на сервере и сеансов на клиентах, ваши компьютеры окажутся в одной локальной сети. Технически это будет выглядеть как будто в сетевых настройках у вас появился новый сетевой адаптер, который функционирует как локалка через интернет. И еще. OpenVPN — это бесплатный продукт с открытым кодом, так что вы работаете не через черный ящик, не завязаны на чужие сервера, в общем, при помощи этой технологии вы получаете настоящую защиту от внешнего мира. Кроме того, OpenVPN прекрасно работает под Линуксом, так что вы даже сможете связать друг с другом в одну компьютеры с совершенно разными операционными системами.
Как безопасно соединить две сети через интернет?
Допустим, есть два офиса. Оба места имеют свои собственные быстрые подключения к и нтернету. Как объединить эти две сети так, чтобы каждый компьютер мог видеть другой компьютер?
Нужен ли контроллер домена, или необходимо сделать это с помощью рабочих групп?
Очевидным решением кажется VPN, но можно ли реализовать VPN только на маршрутизаторах? Могут ли компьютеры в сети не иметь соответствующей конфигурации?
Ответ 1
-
Минимизация трафика через VPN .
-
Безопасность VPN (т. е . использование правильного типа VPN) .
-
Интеграция систем через VPN (например, межподсетевой просмотр сети).
Ответ 2
Стандартным решением является использование VPN между двумя маршрутизаторами, и вы настраиваете маршрутизацию так, чтобы весь трафик между локальными сетями проходил через VPN. Домены/рабочие группы на самом деле совсем не связаны. Более важной информацией будет то, какой тип маршрутизаторов установлен на обоих сайта х и могут ли они создавать L2TP, PPTP или другие зашифрованные туннел и и ли на них установлена стандартная ОС, например Linux, на которую можно установить программное обеспечение. Существует множество маршрутизаторов, которые уже поддерживают VPN-соединения. Даже некоторые домашние маршрутизаторы могут это делать, если вы установите пользовательскую прошивку. Вы можете создать VPN между вашими серверами, хотя правильная маршрутизация может быть немного сложной. Мне очень нравится OpenVPN в качестве решения, если у меня есть система, которая его поддерживает. Существует множество других хороших VPN-решений.
Очевидным решением кажется VPN, но можно ли реализовать VPN только на маршрутизаторах? Могут ли компьютеры в сети быть без соответствующей конфигурации?
Это полностью зависит от того, какой у вас тип маршрутизатора. Если ваш маршрутизатор – это компьютер под управлением Linux, то да. Если ваш маршрутизатор – это недорогой широкополосный маршрутизатор, то, возможно, ваше текущее оборудование может это сделать. Если ваше текущее оборудование не может этого сделать, вы, конечно, можете купить маршрутизаторы, которые это сделают.
Клиентам не нужно ничего знать о VPN.
Ответ 3
Хотя «открытые» предложения – это здорово, если вы задаете этот вопрос, я полагаю, что вы вряд ли добьетесь успеха в их реализации.
Избавьте себя от многих проблем и приобретите два маршрутизатора с возможностью VPN от таких производителей, как Linksys, Netgear, D-Link или даже Sonicwall. Их очень легко настроить, и они надежно соединят две сети.
После этог о б удут ли компьютеры «видеть» друг друга – во многом зависит от используемой сети и того, как трафик проходит через VPN. Windows Workgroups – это широковещательные системы, которые могут мешать «сетевому соседству», показывая все доступные системы. Использование файлов «lmhosts» может помочь в разрешении имен. Обычно для этого используются домены, а также доверительные отношения между доменами, если они разные. Благодаря центральной регистрации компьютеров (Active Directory и DNS ) о ни могут «находить» друг друга без настройки разрешения имен на каждой машине.
Ответ 4
VPN-туннели. Я предпочитаю VPN на основе аппаратного обеспечения, на уровне маршрутизатора. Существует множество маршрутизаторов, от очень дешевых до очень дорогих. На дешевой стороне находятся Linksys, DLINK, а на другой стороне – Cisco, sonicwall и другие.
Дорогие маршрутизаторы позволяют больше конфигураций для маршрутизации и так далее.
Вот в чем загвоздка. ваша VPN эффективна лишь настолько, насколько эффективны линии, поддерживающие туннели. Единственное – не пытайтесь загрузить групповую политику с контроллера домена на клиента, находящегося на другом конце света, по линии 512 КБ.
Также старайтесь контролировать широковещательный трафик по всей сети, если оба сайта будут иметь разные подсети.
Ответ 5
Такая конфигурация используется уже много лет. Создайте VPN между сайтами. Затем включите протокол динамической маршрутизации для обмена сетевой информацией между сайтами. По моему опыту, маршрутизаторы будут иметь некий виртуальный канал Point-to-Point между собой, возможно, туннель GRE или L2TP. Протоколы динамической маршрутизации обращаются с этим соединением как с любым другим интерфейсом. Существуют некоторые специфические для конкретного производителя/реализации вопросы настройки конфигурации VPN – обратитесь к документации, организации поддержки производителя или опишите, какие продукты вы используете. Один ключевой момент, связанный с проектированием сети , – вам нужно рассматривать все сайты как часть одной большой сети. Например, вы не можете настроить все удаленные сайты на подсеть 192.168.1.0. Скорее, вы сможете заставить такой «кошмар» работать с помощью NAT и очень запутанной конфигурации маршрутизации, но гораздо проще спроектировать все сайты как часть одного сетевого пространства.
Мы будем очень благодарны
если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.
Объединение двух локальных сетей через VDS
Несколько офисов можно объединить в одну сеть – это позволяет обеспечить расширенный доступ к информационным ресурсам одной организации. Целью такого слияния обычно служит использование единой офисной АТС, обеспечение доступа к ресурсам компании из различных локаций, удаленный доступ к другим ПК и многое другое.
О том, как все это можно организовать через VDS, мы поговорим в сегодняшней статье.
Как происходит объединение сетей
Первое, что может прийти в голову перед связкой двух мест, – это приобрести персональную линию между двумя точками. Ранее такой способ мог пройти, но сейчас есть более выгодные решения.
Например, использование виртуальной частной сети, которая именуется VPN. Это набор технологий, которые позволяют провести несколько сетевых соединений. В зависимости от используемого протокола, VPN разрешает организовать объединение различных типов сетей. С помощью VPN осуществляется соединение нескольких сетей в офисах и прочих учреждениях.
Далее мы рассмотрим, как выполнить такую связь на VDS-сервере с использованием PPTP.
Объединяем локальные сети через VDS и PPTP
Мы выяснили, что при слиянии сетей в силу вступает технология VPN, но что же такое PPTP? Это один из первых протоколов, который использовался в VPN еще на ОС Windows 95. Он работает во многих организациях и по сей день. PPTP наиболее простой в настройке и быстрый протокол.
Нельзя не упомянуть и его минусы: PPTP уязвим. Его стандартные методы аутентификации небезопасны, в связи с чем часто взламываются злоумышленниками. Альтернативой этому протоколу могут выступать L2TP, IPSec или OpenVPN – они хорошо защищены и используются многими разработчиками. Однако в данной статье мы не будем на них останавливаться, а рассмотрим лишь подключение через PPTP.
Настройка и подключение PPTP
Для примера мы будем использовать VDS на хостинге Timeweb.
Подключение к консоли реализуем через программу PuTTY, которая предназначена для удаленного доступа к серверу. С помощью нее можно удобно копировать и вставлять команды в консоль. Давайте посмотрим, как с ней работать.
Переходим по ссылке и загружаем на рабочий стол PuTTY. Далее запускаем программу и в разделе «Session» вводим IP-адрес хостинга, указываем порт 22 и выбираем SSH-соединение. Последним действием кликаем по кнопке «Open».
В результате перед нами отобразится консольное окно – в нем пока что требуется только авторизоваться. Вводим логин и пароль от своего VDS и следуем далее.
Теперь все последующие команды, которые нам нужно использовать для объединения сетей, можно скопировать и вставить в консоль простым кликом правой кнопки мыши.
Можно переходить к установке протокола. Первым делом ставим PPTP на сервер, для этого вводим:
Эта и последующие команды актуальны для дистрибутивов Ubuntu.
В результате установки не должно возникнуть никаких ошибочных строчек. Если такое произойдет, то стоит использовать команду снова – после этого ошибки чаще всего исчезают.
Далее открываем файл для редактирования:
При открытии файла перед нами отобразится новое окно. В нем мы будем выполнять последующее редактирование строк.
Указываем диапазон выдаваемых IP-адресов, для этого изменяем строчки localip (IP-адрес вашего сервера) и remoteip (адреса клиентов). Для примера я использую значения:
После этого сохраняем внесенные изменения с помощью комбинации клавиш «CTRL+O» и выходим из файла «CTRL+X». Следующим шагом открываем chap-secrets и добавляем в него клиентов. Пример:
Первая буква – это наши сети, password – придуманный пароль, содержащий не более 63 символов, IP – адреса клиентов.
Сохраняем изменения и перезагружаемся:
Далее переходим в nano /etc/sysctl.conf и добавляем:
Завершаем действия строчкой:
На этом настройка завершена. Далее мы поговорим о подключении Микротика.
Установка MikroTik
Следующая инструкция будет приведена на примере последней версии роутера MikroTik, поэтому вы можете спокойно скачивать самую свежую прошивку.
Запускаем программу Микротик и переходим в Interface -> + PPTP Client. В разделе «General» указываем имя и переходим в окно «Dial Out».
Далее в строчке «Connect To» прописываем адрес для соединения, указываем имя и пароль, в завершение кликаем по кнопке «Apply».
После этого произойдет подключение по адресу 17.255.0.1, который мы указали ранее.
Аналогичным образом подключаем MikroTik к другой сети, он будет соединяться с 17.255.0.15 и другими IP.
Iptables
С Микротиком мы разобрались, но подключиться к нему по VPN мы пока не можем.
Прописываем строчки кода:
Перезапускаем сервер, чтобы изменения вступили в силу:
Сохраняем установленные выше настройки, чтобы они не сбросились при следующем запуске (актуально для Ubuntu, на других дистрибутивах пути могут отличаться):
Внесем их в автозагрузку:
Теперь подключение должно работать корректно. При необходимости можно перезагрузить сервер с помощью команды reboot.
Следующим этапом нам нужно настроить mtu, для этого открываем nano /etc/ppp/pptpd-options и прописываем:
Также указываем маршруты для пользователей:
Чтобы они не исчезли после повторного запуска, открываем файл nano /etc/ppp/ip-up и прописываем в него следующее:
Осталось перезагрузить сервер, после чего при повторном подключении под определенного пользователя будет автоматически добавляться новый маршрут.
MikroTik Routes
Последним этапом нам нужно сделать так, чтобы две сети были видимы друг для друга.
Переходим в раздел IP -> Routes. В отобразившемся окне кликаем по кнопке в виде плюса и добавляем то, что будет идти на выбранный IP.
Для адресанта A:
- Dst. Adress: 172.128.0.0/32
- Gateway: используем point-to-point
- Distance: 30
Для адресанта B:
- Dst. Adress: 17.0.0.0/32
- Gateway: используем point-to-point
- Distance: 30
После этого будет осуществлено объединение двух сетей. Рекомендуем провести тестирование скорости соединения, чтобы убедиться в том, что все настройки были проведены корректно.
На этом статья заканчивается. Надеюсь, что у вас не осталось никаких вопросов. Спасибо за внимание!