Объединение домена и рабочей группы через vpn, сети территориально удаленные
 

Добрый день! Прошу совета и помощи, т.к. мои знания и навыки по администрированию серверов весьма скромные, но тем не менее задачу мне поставили довольно сложную для меня:

Необходимо объединить домен и рабочую группу. Находяться они в разных, удаленных друг от друга зданиях в пределах одного города, и там и там инет от домолинка через ADSL2+ модемы от dlink'a поднятых в режиме роутера, внешние ipшники динамические и там и там.

Итак что имеем:

Нужно объединить офис и базу через vpn для синхронизации баз 1с 8.1 и совместного использования ключей 1с, использования сетевых принтеров и других ресурсов сети:

1. офис(доменный сервер+терминальный сервер+30 рабочих станций)с выходом в нет через adsl модем dlink 2640U
2. база(один терминальный сервер+2 машины все в одной рабочей группе)c выходом в инет через adsl модем dlink 2520U

в офисе инет раздается через доменный сервер(стоит usergate), т.е. в доменном сервере 2 сетевухи, первая смотрит в сеть через гигабитный свитч, вторая в инет через adsl модем который поднят в режиме роутера,внешний ip - динамический.

на базе инет раздается через гигабитный свитч, в терминальном сервере одна сетевуха которая смотрит в сеть через тот же гигабитный свитч. Модем поднят в режиме роутера, внешний ip - динамический.

Хотел бы во-первых, получить совет и рекомендации о способе объединения, аппаратный не предлагать т.к. удаленность базы от офиса примерно 7 км, только программыми средствами. Стоит ли использовать VPN или же возможно что-то еще лучшее(удобное или проще в настройке)????

Во-вторых, соответственно саму реализацию метода, поэтапную, если возможно с инструкциями и рекомендациями.

P.S. Поиском пользовался, найти свою ситуацию не удалось, хотя тем по поднятие VPN полно, но все не то.
P.S. IPCONFIG в следующих 2-х постах.

IPCONFIG терминального сервера на базе:

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv3
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

RAIPO - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetLink ™ Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-15-58-54-73-D6
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.33.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.33.150
DNS-серверы . . . . . . . . . . . : 84.53.200.24
84.53.199.254

IPCONFIG доменного сервера в офисе:

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv2
Основной DNS-суффикс . . . . . . : imi.melenki.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : imi.melenki.ru
melenki.ru

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-80-48-67-21-A5
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.100.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.100.150
DNS-серверы . . . . . . . . . . . : 84.53.200.24
84.53.199.254

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8121/AR8113/AR8114 PCI-E Ethern
et Controller
Физический адрес. . . . . . . . . : 90-E6-BA-82-8E-FC
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.33.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1

IPCONFIG доменного сервера в офисе:

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv2
Основной DNS-суффикс . . . . . . : imi.melenki.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : imi.melenki.ru
melenki.ru

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-80-48-67-21-A5
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.100.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.100.150
DNS-серверы . . . . . . . . . . . : 84.53.200.24
84.53.199.254

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8121/AR8113/AR8114 PCI-E Ethern
et Controller
Физический адрес. . . . . . . . . : 90-E6-BA-82-8E-FC
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.33.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1

у меня сейчас такая же ситуация. но вроде бы ничего сложного.
САМОЕ ГЛАВНОЕ это нужно на обоих подключения статические ИП.
1. мне предстоит самому этот опыт как проверю отпишусь - можно типа использовать бридж подключение для 2 адсл модемов.
2. можно выбрать 1 комп(сервер) и поднять там pptp сервер, через rras. на главном подключении сделать port forward на порт 1723(это и есть pptp) а на втором модеме прописать статический маршрут до статического внешнего ИП.

если у меня первый не прокатит вариант то можно пойти вторым.

во первых Домен и рабочую группу не желательно объеденять в одну подсеть. смысла в этом очень мало.
я бы рекомендовал тебе однозначно определиться с тем чтобы оставлять домен либо рабочую группу.
как показывает практика всякие такие объединения в 1 подсеть на пппое подключении это плохо. пппое сессии обрываются, из -за этого доменные машины не видят dc. так что советую перетйи на рабочую группу, косяков меньше будет.
usergate советую тоже убрать. используй чтонибудь типа трафик инспектора. а коли тут задача объединения в 1 подсеть. то тебе однозначно прийдётся сносить усергей. и однозначно считать статистику и оперировать на rras.(что по моему мнению удобно)

пресловутый vpn также организуется с помощью rras. так что вроде бы ничего сложного

да тема еще актуальна, единственное что, хотелось бы оставить адсл модемы в режиме роутеров, а ip внешние уже делаю. отпишись как сделаешь, очень благодарен буду. с уважением Владимир

от домена не хотелось бы отказываться, наверное тогда рабочую группу повышу до домена. только вот есть ли резон??? т.к. там 2 рабочие станции и один сервер.

мне тут на одном форуме, посоветовали хамачи, т.к. я и так юзаю logmein, то решился попробовать - в результате windows 2003 R2 перестал загружаться, пришлось откатываться на недельный давности бэкап, в результате слетели все принтеры т.к. у меня поднят сервер печати был, + начался хаос с DHCP... вот несколько дней разгребал эти косяки, хамачи в топку, или скорее всего руки у меня кривые... + сейчас разбираюсь с ошибкой с кодом 4 Kerberos... пока решение не найдено...

1. ты можешь "поднять" рабочую группу до домена, но тогда при обрублении ПППОЕ Сессии компы будет терять подключение к dc, а это черевато тем что слетает авторизация. что бы залезть на другие компы тебе прийдётся перезагрузится, что бы напечатать на принтер тоже надо перезгружаться. не вижу смысла в домене в данном случае.
ну вот решать тебе.
2. хамачи да прикольная штука, есть там такие фичи что майкрософт у себя не реализовал и поидее хамачи просто настраивается. а то что всё послетало) надо было наверное на тестовом компе попробовать потом лезть на главный сервак.
а с темой объединения 2 подсети через адсл в одну ещё разбираюсь... 1 роутер у меня нормальный zyxel настраивается хорошо. а на втором подключении у меня стоит zte 831 он не поддерживает ППТП, вот поменяю модем и буду пробовать.

Как успехи к ого?

Я правильно понимаю, что задача состоит в том, чтобы обеспечить однонаправленный доступ из офиса А в офис Б?

да ты правильно понимаешь.


пока не очень, разбираюсь с хамачи...

В таком случае задача весьма тривиальна. В том офисе, с которым требуется соединение, поднимаем RRAS-сервер (напр., на DC), на него пробрасываем с роутера (модема) порт 1723.
Статические IP не обязательны, для таких случаев, как, впрочем, и для всех остальных, есть DynDNS; если в модеме нет его аппаратной поддержки, то устанавливаем DynDNS client на машину с UserGate. После этого соединение по VPN из офиса А с офисом Б будет производиться по DynDNS-имени.
Рекомендую схему, описанную в теме DNS/DHCP - [решено] Неустойчивая работа DNS forwarder. Смысл в том, чтобы устанавливать одно VPN-соединение, которым будут пользоваться все клиенты офиса А.
Также рекомендую пересмотреть схему раздачи Интернета в офисе А (на базе) - не следует включать модем напрямую в свитч, нужно выделить одну машину, поднять на ней хотя бы ICS и раздавать через нее.
Никакого Хамачи и отказа от домена не в пользу рабочей группы не требуется.

сделал наподобие как описал raistlin.
но он не учёл некоторые моменты. с динднс ничего не выйдет - во первых потому что надо будет создавать кеширующий днс сервер на модеме а это как я понимаю на адсль модеме невозможно. т.е. в момент получения адресов и прочей фигни при пппое нужно чтобы (служба днс сервер) крутилась на этом дейвайсе(хотя может какая нить циска поддерживает, но не обычный адсль модем) поднимающем пппое возможно только если это сам сервак при этом модем будет стоять бриджем. во вторых динднс нужен в основном для прилепливания "постоянной прописки днс имени к ип если у вас динамика". по сути все коннекты приписываются ИПешниками и на этот днс просто положить. нужен только 1 статический в центральном офисе куда будут коннектиться товарисчи из подсети Б. если этот ипешник будет динамическим то и при поднятии впн-а прийдётся выяснять айпишник новый. это гемор.

второй момент это сама поддержка ППТП. у меня был в распоряжении модем d-link 2500u. по идее он поддерживает пптп при прошивке версии 1.50 но как показывает практика он устанавливает либо пппое либо пптп. хотя поидее пптп должен ложить сверху. так что по сути я коннекчусь по впн с машин в сети Б машин. прописал батники с расдаялом в автозагрузку и при стартапе у них средствами майкрософта поднимается впн-подключение на rrasе приклеил пользовательским учёткам ипешники и по сути они в одной и тойже подсети А, с момента включения. и пппое подключение подсети Б раздаёт инет.

прошу заметить что я это реализовал потому как во второй подсети у меня 2 компьютера. если компьютеров больше, то такие множественные подключения уже не к добру и нерациональны. так что в этом случае надо уже искать оборудование поддерживающее секьюрные подключения и уж лучше искать сразу с поддержкой ip-sec. как вариант циски.

Вот именно чтобы ничего не надо было выяснять, и предназначен DynDNS. При смене IP модем / роутер (при наличии аппаратной поддержки) либо программный DynDNS-клиент обновляет данные на DynDNS-сервере. Настройте DynDNS однажды - и забудьте про IP-адреса навсегда. Вы будете подключаться к VPN используя не IP-адрес офиса Б, а что-нибудь вроде korvin-office-b.dyndns.org. А "кеширующий DNS-сервер" на модеме или еще где здесь вообще не при чем.

Поддержка PPTP модемом при моей схеме не нужна. Выделите отдельную машину в удаленном офисе, которая будет и раздавать Интернет через NAT, и являться VPN-шлюзом. Т. е. подключаться к главному офису по VPN будет именно и только она, а для остальных машин будет являться шлюзом по умолчанию. Вероятно, обычного ICS здесь уже недостаточно, нужен программный роутер типа KWF. А множественные подключения по VPN - это действительно нерационально.

Спустя годы) смотрю на эту тему и могу сказать что dynDNS как не был адекватным решением ещё тогда, а теперь и подавно. Во первых он не бесплатен, за расценками прошу на dyndns.org вродебы 30$, очень мутная услуга. Во вторых уже получив опыт работы с ним могу сказать, что глючит жутко. ;-)