Как объединить два офиса в одну локальную сеть

Объединение локальных сетей офисов — цели и задачи

Главная цель объединения локальных сетей офисов — обеспечить прозрачный доступ к территориально-распределенным информационным ресурсам организации. Объединение сетей офисов позволяет решить следующие, наиболее распространенные задачи:

• использовать единую номерную емкость офисной АТС;
• обеспечить авторизацию пользовтателей для доступа к ресурсам (общие папки, интранет-сайт, электронная почта и др.) независимо от их текущего месторасположения;
• обеспечивать защищенный доступ сотрудников организации к ресурсам, расположенным в разных офисах (например, обеспечить работу сотрудников с сервером 1С-предприятия, установленным в одном из офисов);
• работать на удаленном компьютере с помощью терминального доступа (удаленное управление рабочим столом);
• повысить эффективность и опреративность службы технической поддержки за счет возможности удаленного управления компьютерами, серверами и другим оборудованием, а также эффективного использования встроенных средств Windows для оказания помощи — Удаленный помошник.

Методы реализации объединения сетей офисов

Для того чтобы объединить локальные сети офисов и удаленных филиалов, применяют технологию виртуальных частных сетей — VPN (Virtual Private Network). Данная технология предназначена для криптографической защиты данных, передаваемых по компьютерным сетям. Виртуальная частная сеть представляет собой совокупность сетевых соединений между несколькими VPN-шлюзами, на которых производится шифрование сетевого трафика. VPN-шлюзы еще называют криптографическими шлюзами или крипто-шлюзами.

Существуют два метода построения единой защищенной корпоративной сети организации:

1. с использованием оборудования и соответствующего комплекса услуг интернет-провайдера;
2. с использованием собственного оборудования, расположенного в головном офисе и филиалах.

Далее рассмотрим условия применимости, достоинства и недостатки каждого из этих методов.

VPN и услуги предоставляет интернет-провайдер

Данное решение применимо, если головной офис и филиалы подключены к Интернет через одного интернет-провайдера. Если отделения компании разбросаны по городам, да еще в разных странах, вряд ли найдется провайдер, который сможет предоставить вам необходимый уровень сервиса, да еще за приемлемые деньги.

Если ваши офисы находяться в пределах одного города, узнайте у вашего интернет-провайдера, может ли он обеспечить объединение локальных сетей ваших офисов в единую сеть. Возможно это решение будет оптимальным для вас по стоимости.

Объединение сетей офисов и филиалов своими силами

Метод объединения двух сетей с применением технологии VPN в англозязычной литературе называетя «Peer-to-Peer VPN» или «site-to-site VPN». Между двумя сетями устанавливается режим «прозрачного шифрования». Для шифрования и передачи трафика в IP-сетях наиболее часто используют протокол IPSec.

Для организации VPN-соединенией (VPN-туннелей) между центральным офисом и филиалами небольших компаний рекомендуем использовать аппаратные интернет-шлюзы (firewall) со встроенной поддержкой VPN. Примером таких шлюзов могут быть ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office, и т.п. Данный класс продуктов рассчитан на применение в небольших компаниях со средней численностью персонала от 5 до 100 человек. Эти устройства просты в настройке, обладают высокой надежностью и достаточной производительностью.

В головном офисе организации часто устанавливают программные интегрированные решения по защите сети, такие как «Microsoft Internet Security and Acceleration Server 2006» (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge и другие. Для управления этими средствами защиты необходимо наличие высококвалифицированного персонала, который, как правило, или имеется в головном офисе или заимствуется у компании-аутсорсера.

Вне зависимости от применяемого оборудования, общая схема построения Peer-to-Peer VPN для безопасного объединения локальных сетей удаленных офисов в единую сеть, следующая:

Следует также заметить, что существуют специализированные аппаратные крипто-шлюзы, такие как Cisco VPN Concentrator, «Континент-К», и др. Их область применения — сети средних и крупных компаний, где необходимо обеспечить высокую производительность при шифровании сетевого трафика, а также специальные возможности. Например, обеспечить шифрование данных по ГОСТ («Континент-К»).

На что необходимо обратить внимание при выборе оборудования

Выбирая оборудование для организации виртуальной частной сети (VPN) необходимо обратить внимание на следующие свойства:

1. количество одновременно-поддерживаемых vpn-туннелей;
2. производительность;
3. возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех интернет-шлюзах);
4. поддержка управления качеством QoS (очень полезна при передаче голосового трафика между сетями);
5. совместимость с имеющимся оборудованием и применяемыми технологиями.

Аппаратные решения

Преимущества решений, построенных на недорогих аппаратных интернет-шлюзах

• Низкая стоимость;
• Высокая надежность (нет необходимости в резервном копировании, при отключении питания ничего не выходит из строя);
• Простота администрирования;
• Малое энергопотребление;
• Занимает мало места, можно установить где угодно;
• в зависимости от выбранной платформы для построения VPN, имеется возможность для установки на vpn-шлюз дополнительных сервисов: антивирусная проверка интернет-трафика, обнаружение атак и вторжений, и др, что существенно увеличивает общий уровень защищенности сети и уменьшает общую стоимость решения по комплексной защите сети.

Недостатки

• Решение не масштабируется, увеличение производительности достигается полной заменой оборудования;
• Менее гибко в настройках;
• Интеграция с Microsoft Active Directory (или LDAP), как правило, не поддерживается.

Программные решения

Преимущества программных решений

• Гибкость;
• Масштабируемость, т.е. возможность увеличить производительность по мере необходимости;
• Тесная интеграция с Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

Недостатки

• Высокая цена;
• Сложность администрирования.

С чего начать

Прежде чем присупить к выбору оборудования и программного обеспечения (далее — ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

1. Определить топологию:
   • Meshed (полносвязные) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
   • Star (звезда) — филиалы могут организовать защищенные соединения с центральным сайтом;
   • Hub and Spoke (связь через концентратор) — филиалы могут соединяться между собой через концентратор центрального сайта;
   • Remote Access (удаленный доступ) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
   • Комбинации перечисленных выше методов (например, топология Star with Meshed Center — звезда с полносвязным центром, — в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).
2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
3. Количество пользователей в центральном офисе и в каждом филиале;
4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.

Как объединить два офиса в одну локальную сеть

Итак. Допустим что у некоторой фирмы есть несколько офисов в различных точках города (возможно даже земного шара — не суть важно) и нам нужно обеспечить максимально простой способ взаимодействия локальных сетей различных офисов между собой. Неплохим решением этой задачи будет объединение этих сетей посредством OpenVPN.

Итак. Уточним начальные условия:

Центральный офис (office-0):

Сервер под управлением Ubuntu Linux. Три сетевых интерфейса: eth0, eth1, eth2. Конфигурация следующая:

1. eth0: внешний интерфейс, имеющий реальный ip-адрес a.b.c.d.
2. eth1: первая локальная сеть: 192.168.1.1/24.
3. eth2: вторая локальная сеть: 192.168.2.1/24.

Под управлением Mandriva Linux. Два интерфейса:

1. eth0: внешний интерфейс, имеющий доступ к адресу a.b.c.d (каким либо образом).
2. eth1: локальная сеть: 192.168.3.1/24.

Сервер полностью аналогичен серверу в первом офисе, за исключением eth1: там адрес 192.168.4.1/24.

Объединять мы будем сервера в виртуальную сеть 192.168.10.0/24. Поэтому на всех серверах должен быть настроен NAT не только для «своих» сетей, но и для сети 192.168.10.0/24.

Будем считать что всё это уже сделано. Приступаем к установке и настройке OpenVPN-сервера:

apt-get install openvpn

Создаём файл конфигурации /etc/openvpn/server.conf следующего содержания:

ifconfig 192.168.10.1 255.255.255.0

push «route 192.168.10.0 255.255.255.0 192.168.10.1»

keepalive 10 120

Создаём каталог, в котором будут хранится индивидуальные настройки клиентов:

Копируем скрипты для генерации ключей и создаём ключи:

cp -vR /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/

ln -s /etc/openvpn/2.0/keys /etc/openvpn/keys

# Ключ для центрального офиса

# Ключ для первого офиса

# Ключ для второго офиса

В ходе выполнения этих команд будет задан ряд вопрос. Ответы на них вобщем-то очевидны, поэтому заострять на них внимание не будем.

Далее создаём файлы /etc/openvpn/ccd/office-1 и /etc/openvpn/ccd/office-2. Содержание первого:

ifconfig-push 192.168.10.101 255.255.255.0

# роутинг на сети центрального офиса

push «route 192.168.1.0 255.255.255.0 192.168.10.1»

push «route 192.168.2.0 255.255.255.0 192.168.10.1»

# роутинг на сеть второго офиса

push «route 192.168.4.0 255.255.255.0 192.168.10.102»

ifconfig-push 192.168.10.102 255.255.255.0

# роутинг на сети центрального офиса

push «route 192.168.1.0 255.255.255.0 192.168.10.1»

push «route 192.168.2.0 255.255.255.0 192.168.10.1»

# роутинг на сеть первого офиса

push «route 192.168.3.0 255.255.255.0 192.168.10.101»

На этом настрока сервера завершена. Перезапускаем его:

Убеждаемся что поднялся интерфейс tap0:

Переходим к настройке офисов. Рассмотрим только один. Второй будет сделан аналогично, за исключением имён сертификатов.

Создаём файл конфигурации /etc/openvpn/client.conf:

# адрес сервера в центрально офисе

remote a.b.c.d 1194

Далее нам нужно поместить файлы office-1.* и ca.crt из каталога /etc/openvpn/keys сервера в каталог /etc/openvpn/keys клиента.

После этого запускаем сервис:

chkconfig openvpn on

service openvpn start

Убеждаемся что поднялся интерфейс:

После настройки обоих офисов можно убедиться в работе сети попробовав пинговать из одного офиса какой-нибудь компьютер, расположенный в другом офисе.

На этом всё. Более подробную информацию можно найти в документации по openvpn.

В начало → Соединение нескольких офисов в одну сеть с помощью OpenVPN

Как объединить два офиса через интернет в единую локальную сеть?

Есть такая задумка: объединить 2 офиса в разных частях города с разными провайдерами в единую локальную сеть.
А т.к. я не специалист в этом вопросе («ты в комьютерах разбираешься, вот и разберись»), то попытался найти толковое руководство в интернете, но не нашёл. Поэтому прошу помощи здесь — напишите, как это делается или дайте ссылку на уже описанное руководство, пожалуйста.

Как-то так:

LAN 1 — центральный офис. Интернет от провайдера заведён по PPPTP в роутер TP-LINK WR743ND, от провайдера получен статический IP. К роутеру клиенты цепляются по Wi-Fi (по большей части).
Если я правильно понимаю, для выполнения задачи требуется поднять VPN. Так ли это? Можно ли это сделать на данном роутере?

• Вопрос задан более трёх лет назад
• 12992 просмотра

Как объединить два офиса с разными провайдерами в одну локальную сеть по кабелю?

Имеем:
Два офиса физически находящиеся недалеко друг от друга и соединенные в одну локальную сеть по оптике.
В первом офисе приходит интернет на микротик, который питает инетом оба офиса.
Делаем:
Подключаем второй офис к другому провайдеру. Питаем второй офис соответственно от второго провайдера, а первый офис от первого провайдера.
Задача:
Необходимо объединить два офиса в одну локальную сеть чтоб при отсутствии да любом провайдере инета, не терялась связь по локальной сети между офисами.

• Вопрос задан более двух лет назад
• 805 просмотров

4 комментария

Простой 4 комментария

Дыкъ в чём затруднение-то? Оптическая линия никуда не исчезла при подключении второго провайдера, я полагаю? Тогда всё элементарно, сети двух офисов остались соединены (физический уровень модели OSI).

Адресация в офисах какая? (Были все в одной сети и на Микротике в бридже?
Или были в разных сетях и на Микротике маршрутизация?)

Тот пустой (не подписанный) прямоугольник во втором офисе — это какой-то маршрутизатор? Или это медиаконвертер?
Второй провайдер воткнётся в какое оборудование во втором офисе?

toyota_gercena @toyota_gercena Автор вопроса

Видимо я не складно описал вопрос. Попробую по точнее описать.
Сейчас на два офиса имеется рабочая локальная сеть. Микротик (RB3011UIAS-RM), находясь в офисе №1, раздает адреса на оба офиса, ну и соответственно инет.
Офисы соединены оптикой (прикладываю фото принимающего оборудования в офисе №2).
Задача в том, что необходимо сделать так, чтоб второй офис был запитан инетом от другого провайдера и не зависел от первого офиса, но при этом чтоб локалка между офисами осталась.
Смоделируем ситуацию, которая по факту временами происходит: в первом офисе вырубается электричество, из-за чего второй офис лишается инета. Или же похожая ситуация: в первом офисе от провайдера нет сигнала и оба офиса остаются без инета. Поэтому и хотим сделать отдельный инет (провайдера) во второй офис.

К слову говоря, имеется в запасе Микротик RB2011UIAS-2HND-IN, который ранее стоял в офисе №1. Подумывал его заюзать во втором офисе. Правда он временами любит глючить, поэтому его и заменили на RB3011UIAS.

Должен наверно еще дополнительно обозначить (чтоб не складывалась обо мне не верная картинка) что я не спец в этих делах, тем более в микротиках )). Чтоб настроить микротик, привлекаю человечка со стороны.

Saboteur @saboteur_kiev Куратор тега Компьютерные сети

ну если ты сисадмин, то осиль базовые понятия как работает ip протокол, а именно — что такое IP адрес, что такое маска подсети и что такое default gateway
Как только поймешь как это работаешь, сразу поймешь что нужно сделать