Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Шифрование канала?

Автор: dismis
Дата сообщения: 16.01.2007 16:11
Возник вопрос.
Есть офис в ней сеть(домен w2k3), часть компьютеров переносится в другой офис, контроллеры домена и основные сервера остаются в старом офисе. Провайдер делает гарантированный канал (точка-точка) между 2 этими офисами. Но возник вопрос с шифрованием этого канала. Какие варианты могут быть?
Автор: Cheery
Дата сообщения: 16.01.2007 16:12
dismis
VPN: вся информация в этой теме
Автор: dismis
Дата сообщения: 16.01.2007 16:43
VPN это хорошо, но не хочется вносить изменения на компьютерах в удаленном офисе(а при VPN соединяемые сетки должны быть в разных подсетях ) и разворачиванием дополнительных служб. Поэтому создается выделенный канал между офисами.
А если поднять IPSec?
Автор: G14
Дата сообщения: 16.01.2007 17:40
dismis

Цитата:
А если поднять IPSec?

Если нет устаревших клиентов (типа Win98\NT4) - вполне реально. Но это даст заметное увеличение нагрузки на ВСЕ компьютеры, а особенно контроллеры домена и сетевые серверы. К тому же возникнет нюанс с наличием сетевых служб, изначально не рассчитаных на работу с IPSec...
Вообще-то не рекомендуется вводить полное шифрование всего трафика в домене. IPSec согласование в принципе не может проводиться для бродкаст и мультикаст трафика. К тому же если использовать IPSec с kerberos, то придется делать исключения (не шифровать собственно Kerberos траф). Так же скорее всего придется отказаться от шифрования DNS-трафика.... Плюс, вполне возможно, что в сети есть приложения. которые не будут работать с IPSec вообще...
Так что перед таким шагом я бы крепко подумал и выработал подробный план внедрения...
По вышеприведенным причинам я считаю, что внедрение пары VPN-серверов для site-to-site VPN (причем на выбор: серверы на Windows, *nix или аппаратное решение) и выделение подсети новому офису будет гораздо более оправданным решением. К тому же, на мой взгляд, схема "одна подсеть на два разных удаленных офиса" не есть хорошо в принципе...Бродкасты и все такое...
Автор: Cheery
Дата сообщения: 16.01.2007 17:55
dismis
Шифрование канала
Автор: dismis
Дата сообщения: 16.01.2007 17:58
вилы,
Просто поставили перед фактом, необходимо развернуть через 10 дней. Изменение архитектуры неприемлимо. Устаревших клиентов нет, работают в основном с 1с, почтой и sql сервером.

"внедрение пары VPN-серверов для site-to-site VPN"
"одна подсеть на два разных удаленных офиса" не есть хорошо в принципе"
Это понятно, но 2 подсети и один домен - это же невозможно. Надо создать подсеть, поднять там домен, соединить по vpn, создать доверителные отношения между доменами, прописать роутинг - так как другой офис должен выходить в интернет через основной офис.
Автор: The Bug
Дата сообщения: 16.01.2007 18:34

Цитата:
Это понятно, но 2 подсети и один домен - это же невозможно.

Это откуда такая информация???
Очень даже возможно!
Автор: G14
Дата сообщения: 16.01.2007 19:32
dismis

Цитата:
но 2 подсети и один домен - это же невозможно. Надо создать подсеть, поднять там домен, соединить по vpn, создать доверителные отношения между доменами


как же у меня тогда работает домен с десятками подсетей? может это полтергейст?


Цитата:
Просто поставили перед фактом, необходимо развернуть через 10 дней.

2 машины с OpenVPN (или ISA или что-то еще по вкусу) разворачиваются за 3-4 часа. Отделение подсети: 1 минута(+еще 15 на настройку DHCP). Роутинг на 2 подсети+Интернет: еще 15 минут.

Батенька, при таких знаниях об AD-доменах ОЧЕНЬ не советую трогать IPSec....
Автор: dismis
Дата сообщения: 17.01.2007 10:26
Ступил. Тогда можно немножко RTFM
есть исходные данные:
офис (домен, интернет), он разделается на 2 офиса, в новом офисе будет только выделенный канал до старго офиса, в интернет будет выходить через старые офис.
Решение:
старый офис(сетка 192.168.0.x), в новом офисе создаю сетку (192.168.1.x)
ставлю компьютеры с OpenVPN в одну сетку и другую, соединяю их. Прописываю на обоих маршруты.

Страницы: 1

Предыдущая тема: Не пингуется соседний комп, пока не пинганут мой


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.