VPN: что выбрать?
 

Добрый день.

Есть сайт А, подключенный через IPVPN к центральному офису HO. Сайт А имеет свой DC. Включено так: HO-IPVPN-Cisco 4506~[servers_vlan]~Cisco 3560-DC.
Есть десяток доменных Win-машин за тридевять земель (сайт B).
На сайте А имеются белый ip, Cisco 1721, 2960, 3560, только физический доступ к DC и человек немного владеющий CLI Cisco. На сайте B есть белый ip, Cisco 2960 и возможно наличие 17xx/18xx и человек средне владеющий CLI Cisco.

Необходимо из сайта А обеспечить вход в систему доменным пользователем на сайте B, используя железки или программное решение (желательно бесплатное или имеющее пробный период), бо 1) это временное решение; 2) требуется какое-то время на приобретение софта, а пользовать надо «вчера». Но купить в принципе готовы.

Вопрос, как наиболее просто, исходя из вышеуказанных данных, осуществить задуманное, какой выбрать путь?

Спасибо

Я бы предложил соединить сайт B с центральным офисом любым VPN и поднял там RODC. Хотя, если юзеров всего десяток - DC может и не нужен, достаточно просто прокинуть VPN и ввести эти компьютеры в домен (при условии, что профиля локальные и папка SYSVOL весит относительно немного).

{сайт А** Cisco 1721<--IPsec--(злой инет)--IPsec-->17xx/18xx {сайт B**

у 1721 слабый проц, если туннель будет с шифрованием, много не вытянет.

[b]system32>[/b] Увы, входные данные жёсткие, только А-В, доступ к DC [b]только[/b] физический.
Машины [b]уже доменные[/b], именно работать на них никто не будет, нужен только вход доменной учёткой (требования для установки специфичного софта Wonderware.
[b]dsp>[/b] Спасибо. Нам много и не надо (см выше) :)

3-romkka > В таком случае можно для этих машин со специфичным софтом развернуть отдельный лес. И если необходимо будет - сделать трасты между лесами, хотя судя по всему это не нужно.

0-romkka > (желательно бесплатное или имеющее пробный период),
OpenVPN?

[quote]бо 1) это временное решение;[/quote]
+1 за OpenVPN с учётом VLAN-ов =) ибо ничего нет постояннее ну и т.д.

5-lithium >6-droidman > у него есть cisco с 2-х сторон, вы ему предлагаете задействовать дополнительные девайсы.
тем самым усложнив сеть, и уменьшить отказоустойчивость.
для того что бы не ломать себе, и разного уровня знатоков CLI, мозг, постройте туннель gre. тем более что это временное решение.
что касаемо dc/ad, как сказано ранее просто добавьте в домен этих 10-х юзеров.

Спасибо большое за высказанные мнения, я постарался изучить насколько можно предложенные варианты.

Всё же меня больше привлекает OpenVPN и именно Bridging mode: в идеале действительно хотелось бы передавать транк на 2960 сайта B с парой-тройкой VLAN’ов. Это то, на что я в принципе изначально даже не рассчитывал, но это оооочень хорошая плюшка. Машины с сайта B через два-три месяца вернутся на сайт А, и по части сетевых настроек было бы идеально, чтоб после переезда ничего не пришлось на них менять. Машины сайта B представлены как рабочими станциями, так и серверами, которые желательно сразу разнести по соответствующим VLAN’ам.

Попытался наскоро набросать схематично для OpenVPN bridging mode:
[URL=http://radikal.ru/F/i062.radikal.ru/1208/46/7f83a15f3185.jpg.html][IMG]http://i062.radikal.ru/1208/46/7f83a15f3185t.jpg[/IMG][/URL]

На сайте А берём Win-машину с двумя карточками и устанавливаем OpenVPN сервер.
На сайте B берём Win-машину с двумя карточками и устанавливаем OpenVPN клиент в режиме Bridging.
Создаём туннель между машинами через интернет.
Создаём бридж eth0-виртуальный интерфейс на сервере и eth1-виртуальный интерфейс на клиенте.
Конфим на ядре (4506) порт в транк с нужными VLAN’ами, то же самое со стороны сайта B на 2960.
На 2960 сайта B конфим access-порты под нужные VLAN’ы, включаем серверы/рабочие станции.

Ничего не упустил? Работать будет? ;-)

Сопутствующие вопросы:
Обязательна ли поддержка 802.1Q на карточках OpenVPN-машин? Или достаточно любой карточки для пропускания тегированного трафика в неизменённом состоянии?
Маршрутизировать, я так понимаю, тут нечего?

Спасибо

8-romkka > для работы openVPN сервера и клиента не обязательно иметь компы с двумя сетевыми картами.

маршрутизировать придется, хотя если сеть openVPN будет в тех же адресах то наверное нет, но тогда на одной сетевой это работать не будет.

10-Перпетум Мобиле > [em]"...если сеть openVPN будет в тех же адресах..."[/em]
Извините, не понял, что имелось в виду :( Можно для особо одарённых поподробнее? :)

например сеть в одном офисе 192.168.0.х и в другом такая же 192.168.0.х то и openVPN можно сделать 192.168.0.х

но скорее всего такого у вас не будет, поэтому маршрутизировать придется.

12-Перпетум Мобиле > Что-то вы меня запутали... В моём случае я собираюсь передавать транк между двумя Cisco совершенно прозрачно через OpenVPN. По этой причине и было отдано предпочтение OpenVPN в режиме Bridging. Т.е. уж насколько я понял описание подобных схем (openvpn.net, xgu.net) теггированный трафик будет проходить через OpenVPN в неизменном виде. Что собственно мне и нужно.

А что скажете на счёт поддержки сетевыми карточками VLAN? Достаточно любых или потребуются с 802.1Q?

[em]"Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN"[/em]
Вопрос снимается :)
12-Перпетум Мобиле > По сути та же сеть сайта А 10.8.113.0/27 прозрачно пробрасывается на удалённый сайт.

15-romkka > для этого Циска должна понимать, что ей трафик надо кинуть на openVPN тунель, а не куда-то еще. И наверное все равно, как в данном случае этот тунель будет организован, бриждем или иначе. На саму Циску вы же не можете поставить openVPN, следовательно что-то маршрутизировать вам все равно придется.

Скажем так, при попытке создать бридж на openVPN на компе с одной сетевой я был послан нафик. А наличие 2-х сетевых, одна из которых бриджем с openVPN, уже подразумевает маршрутизацию.