| 0
- 01.08.2012 - 16:13
|
Добрый день. Есть сайт А, подключенный через IPVPN к центральному офису HO. Сайт А имеет свой DC. Включено так: HO-IPVPN-Cisco 4506~[servers_vlan]~Cisco 3560-DC. Есть десяток доменных Win-машин за тридевять земель (сайт B). На сайте А имеются белый ip, Cisco 1721, 2960, 3560, только физический доступ к DC и человек немного владеющий CLI Cisco. На сайте B есть белый ip, Cisco 2960 и возможно наличие 17xx/18xx и человек средне владеющий CLI Cisco. Необходимо из сайта А обеспечить вход в систему доменным пользователем на сайте B, используя железки или программное решение (желательно бесплатное или имеющее пробный период), бо 1) это временное решение; 2) требуется какое-то время на приобретение софта, а пользовать надо «вчера». Но купить в принципе готовы. Вопрос, как наиболее просто, исходя из вышеуказанных данных, осуществить задуманное, какой выбрать путь? Спасибо     | | |
| 1
- 01.08.2012 - 16:28
| Я бы предложил соединить сайт B с центральным офисом любым VPN и поднял там RODC. Хотя, если юзеров всего десяток - DC может и не нужен, достаточно просто прокинуть VPN и ввести эти компьютеры в домен (при условии, что профиля локальные и папка SYSVOL весит относительно немного). | | |
| 2
- 01.08.2012 - 19:16
|
{сайт А** Cisco 1721<--IPsec--(злой инет)--IPsec-->17xx/18xx {сайт B** у 1721 слабый проц, если туннель будет с шифрованием, много не вытянет. | | |
| 3
- 02.08.2012 - 08:03
| system32> Увы, входные данные жёсткие, только А-В, доступ к DC только физический. Машины уже доменные, именно работать на них никто не будет, нужен только вход доменной учёткой (требования для установки специфичного софта Wonderware. dsp> Спасибо. Нам много и не надо (см выше) :) | | |
| 4
- 02.08.2012 - 09:57
| 3-romkka > В таком случае можно для этих машин со специфичным софтом развернуть отдельный лес. И если необходимо будет - сделать трасты между лесами, хотя судя по всему это не нужно. | | |
| Модератор 5
- 02.08.2012 - 10:52
|
0-romkka > (желательно бесплатное или имеющее пробный период), OpenVPN? | | |
| 6
- 02.08.2012 - 15:43
| Цитата:
| | |
| 7
- 02.08.2012 - 22:43
|
5-lithium >6-droidman > у него есть cisco с 2-х сторон, вы ему предлагаете задействовать дополнительные девайсы. тем самым усложнив сеть, и уменьшить отказоустойчивость. для того что бы не ломать себе, и разного уровня знатоков CLI, мозг, постройте туннель gre. тем более что это временное решение. что касаемо dc/ad, как сказано ранее просто добавьте в домен этих 10-х юзеров. | | |
| 8
- 09.08.2012 - 10:36
|
Спасибо большое за высказанные мнения, я постарался изучить насколько можно предложенные варианты. Всё же меня больше привлекает OpenVPN и именно Bridging mode: в идеале действительно хотелось бы передавать транк на 2960 сайта B с парой-тройкой VLAN’ов. Это то, на что я в принципе изначально даже не рассчитывал, но это оооочень хорошая плюшка. Машины с сайта B через два-три месяца вернутся на сайт А, и по части сетевых настроек было бы идеально, чтоб после переезда ничего не пришлось на них менять. Машины сайта B представлены как рабочими станциями, так и серверами, которые желательно сразу разнести по соответствующим VLAN’ам. Попытался наскоро набросать схематично для OpenVPN bridging mode:  На сайте А берём Win-машину с двумя карточками и устанавливаем OpenVPN сервер. На сайте B берём Win-машину с двумя карточками и устанавливаем OpenVPN клиент в режиме Bridging. Создаём туннель между машинами через интернет. Создаём бридж eth0-виртуальный интерфейс на сервере и eth1-виртуальный интерфейс на клиенте. Конфим на ядре (4506) порт в транк с нужными VLAN’ами, то же самое со стороны сайта B на 2960. На 2960 сайта B конфим access-порты под нужные VLAN’ы, включаем серверы/рабочие станции. Ничего не упустил? Работать будет? ;-) Сопутствующие вопросы: Обязательна ли поддержка 802.1Q на карточках OpenVPN-машин? Или достаточно любой карточки для пропускания тегированного трафика в неизменённом состоянии? Маршрутизировать, я так понимаю, тут нечего? Спасибо | | |
| 9
- 09.08.2012 - 13:21
| 8-romkka > для работы openVPN сервера и клиента не обязательно иметь компы с двумя сетевыми картами. | | |
| 10
- 09.08.2012 - 13:22
| маршрутизировать придется, хотя если сеть openVPN будет в тех же адресах то наверное нет, но тогда на одной сетевой это работать не будет. | | |
| 11
- 09.08.2012 - 15:47
|
10-Перпетум Мобиле > "...если сеть openVPN будет в тех же адресах..." Извините, не понял, что имелось в виду :( Можно для особо одарённых поподробнее? :) | | |
| 12
- 09.08.2012 - 15:52
|
например сеть в одном офисе 192.168.0.х и в другом такая же 192.168.0.х то и openVPN можно сделать 192.168.0.х но скорее всего такого у вас не будет, поэтому маршрутизировать придется. | | |
| 13
- 09.08.2012 - 16:06
| 12-Перпетум Мобиле > Что-то вы меня запутали... В моём случае я собираюсь передавать транк между двумя Cisco совершенно прозрачно через OpenVPN. По этой причине и было отдано предпочтение OpenVPN в режиме Bridging. Т.е. уж насколько я понял описание подобных схем (openvpn.net, xgu.net) теггированный трафик будет проходить через OpenVPN в неизменном виде. Что собственно мне и нужно. | | |
| 14
- 10.08.2012 - 08:41
| А что скажете на счёт поддержки сетевыми карточками VLAN? Достаточно любых или потребуются с 802.1Q? | | |
| 15
- 10.08.2012 - 15:15
| "Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN" Вопрос снимается :) 12-Перпетум Мобиле > По сути та же сеть сайта А 10.8.113.0/27 прозрачно пробрасывается на удалённый сайт. | | |
| 16
- 10.08.2012 - 16:10
| 15-romkka > для этого Циска должна понимать, что ей трафик надо кинуть на openVPN тунель, а не куда-то еще. И наверное все равно, как в данном случае этот тунель будет организован, бриждем или иначе. На саму Циску вы же не можете поставить openVPN, следовательно что-то маршрутизировать вам все равно придется. | | |
| 17
- 10.08.2012 - 16:14
| Скажем так, при попытке создать бридж на openVPN на компе с одной сетевой я был послан нафик. А наличие 2-х сетевых, одна из которых бриджем с openVPN, уже подразумевает маршрутизацию. | |
Интернет-форум Краснодарского края и Краснодара |
