ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Организация vpn туннеля средствами модемов, windows серверов, linux серверов или сторонних программ типа KWF.
Опробованный безопасный вариант при условии доступа к интернету, как в организации так и в филиале, и создание меджу ними vpn туннель (общей vpn сети).
1. В организации создать шлюз-сервер с 2 сетевыми картами на базе windows xp/2003 и выше, со всеми сервис паками - подключаем к 1 сетевой карте adsl-модем (выход в интернет), к 2 сет.карте подключаемся в локальную сеть на хаб (свитч) на 24 порта (или 8 + 16). На выше указанный windows xp/2003 и выше ставим KWF (Kerio Winroute Firewall). Настраиваем KWF: его сетевые интерфейсы, фильтры, антивирус и конечно vpn сервер и vpn пользователей. На сервере windows 2003 (1С 7/8) включаем роль терминального сервера, ставим на него серверный Screw Drivers для нормальной печати на терминальном сервере. На всех клиентах на windows xp и выше отключаем автоматический поиск сетевых принтеров и папок!

1.1. Регистрируем беспл. доменное имя на dyndns.org, типа net2014.dyndns.org и привязываем его на шлюзе или на модеме.

2. В филиале adsl-модем с хабом (свитчем) на 5-8 портов в локалную сеть. На терминальные клиенты Windows xp и выше устанвливают терминального клиента vpn KWF, подключаются к номеру порта на net2014.dyndns.org, указывают логин/пасс vpn пользователей и работают в 1С, в файловом хранилище как у себя дома, т.е. в головной организации.

Можно в филиале поставить такой же вышеуказанный шлюз windows xp и выше с 2 сет. картами на базе KWF между adsl-модемом и хабом (свитчем) на 5-8 портов. Разрешают VPN туннель между шлюзами. Локальные сети объединятся.

Почему KWF? Он многофункциональный, защищенный и очень надежный. При грамотной его настройке - он непробиваемый, а локальная сеть защищенная от хакерских атак и вирусов. В его логах это можно наблюдать.

Screw Drivers - избавит от кучи принтеров, подхватывемых при подключении клиентов к серверу терминалов. Но обязательно отключите автоматический поиск сетевых принтеров и папок как на сервере терминала, так и на клиентах!

Поднимайте vpn-туннель на сетевом оборудовании, вряд ли Вам нужен Kerio и дополнительная нагрузка на сервер.
Безопасность? От наиболее популярных на сегодня client-side атак, фаер все равно не спасет.
Если необходим доступ только к файловой помойке, можно подумать об использовании облачных решений (в ряде случаев может подойти и бесплатный сервис, типа Google Drive)

У меня после Google Drive был неприятный осадок. в начале хотел ограничится VPN, а после нелегкая занесла DIRECTACCESS Windows server 2012.

Современные бытовые роутеры поддерживают ВПН и маршрутизацию,
(в частности ТП-Линк1037 купленный более года назад уже поддерживает эту функциональность, бюджет копеечный)
Для головного офиса получаете статический ИП у провайдера, включаете на роутере в этом филиале ВПН и настраиваете маршруты
на 2м офисе настраиваете подключение по ВПН к головному офису, не включаете default route, руками прописываете через ВПН маршруты в нужную сеть на нем

По своему опыту могу сказать, что для того чтобы через год не свихнуться...и не перестрелять бухов к х...рам, то не нужно заморачиваться. То советую просто купить 2 vpn-роутера, 2 статики и мучить себя. У меня соединены так Алматинский и Московский офис в компании, которая у нас на аутсорсинге висит. 2 d-link-овский роутера, статика, и всё... А KWF - это перебор...есть более простые решения, потому что из-за 25 компов так тр...хаться - это бред. А использовать dyndns.org вообще не советую, лучше купить нормальный домен(300руб), и прицепить к серваку.

Но если расстояние не большое, то можно еще проще. У меня в практике был случай, когда нужно было соединить 2 офиса. Дистанция 2км, на нормальное оборудование денег не дали, поэтому нашел стареньких 2 shdsl модема и 3 км телефонного кабеля. Всё работало великолепно.

Идея ок, но толкьо елси кабель пролегает по подконтрольной вам территории
потому как иначе рано или поздно его оторвут или дураки или владельцы конструкций к которым он будет прикреплен - если его не согласовывать

кстати, можно даже и ниточку оптики кинуть и по паре DWDM - сказка

Или можно обратиться к провайдеру для организации канала.. только это будет стоит бабла! Любой провайдер окажет такую услугу но не бесплатно !

Можете попробовать NeoRouter

NeoRouter кросс-платформенная утилита для построения VPN-сетей. Она может быть установлена не только на все последние версии Windows, но так же работает во всех основных дистрибутивах Linux i386/x64, Mac OSX (Tiger - Snow Leopard), FreeBSD, Android.

NeoRouter работает по принципу сервер-клиент. Серверную часть мы устанавливаем на выделенных серверах, с удобной панелью администрирования пользователей. Пользователи VPN-сети для подключения используют VPN-клиент - NeoRouter Network Explorer. Между ПК пользователей создается P2P-соединение, что позволяет обмениваться данными быстрее, чем при наличии промежуточного звена.

NeoRouter также поддерживает прокси (HTTP, SOCKS4 и SOCKS5). Сервер может быть настроен на прием соединений практически по любым портам. Функциональность программы можно расширять с помощью дополнений, доступных на сайте разработчика.