hikauz

Изображения Drawing1.jpg (111.9 Kb, 5 просмотров)

Привет народ,

Нужна помощь. Пожалуйста, не направляйте на другие топики или ссылки если он напрямую не касаются моей проблемы.
Как только смогу успешно завести сеть, обещаю в течение 2 недель напишу подробную статейку и скину сюда на форум.
Я прочитал 2 книги по OpenVPN (Beginning to OpenVPN and OpenVPN Cookbook) но все же есть вопросы.
У нас имеются 14 филиалов. Взяли у провайдера сеть типа 10.0.23.0/30 для каждого филиала. Первый адрес для шлюза, а второй для OpenVPN сервера. В каждом филиале по 2-4 станции и OpenVPN сервер. Скорость канала в главном офисе 1024 кб/сек, а в филиалах 256. В главном офисе имеются сервера Database, Web, Active Directory, DNS, DHCP, NTP и др. Рисунок 1. Общая структура сети.
Необходимо объединить филиалы в одну сеть, но чтобы филиалы друг-друга не видели, а только головной офис. Также шеф не хочет чтобы на каждой станции хранились ключи и сертификаты. Поэтому решил организовать Site to Site OpenVPN сеть, где о сети VPN знают только сервера OpenVPN, а для всех других шлюзом являются OpenVPN сервера.
Все клиентские станции должны аутентифицироваться в Active Directory (windows 2003) domain. Только после этого им разрешается доступ к Web server.
Знаю, что имеются 2 режима: Ethernet bridging и routing.
Вопросы:
1. Стоит ли использовать Ethernet bridging. Если да, то вся сеть будет как локальной? Если да, то как мне отсечь филиалы друг от друга?
2. Если использовать routing, то, как мне передавать удаленным станциям IP адрес от DHCP server в головном офисе?
3. Если это невозможно, то могу ли я через DHCP relay передавать запросы?
4. Какие подводные камни имеются при использовании Active Directory через OpenVPN?

Спасибо заранее.