這個情況下需要 VPN... 最佳方案為何?

achen

有一位朋友的公司小規模的 LAN, gateway 用的是啥多餘功能都沒有的 IP 分享器, 就只是讓 LAN 下的電腦可以上 internet 而已. 網內只有  work group, 沒有 domain, 沒有 DHCP (這由 IP 分享器提供), 沒有 WINS, 沒有 DNS, 當然也沒有 windows server .

他必須從家裡連線到該網路內, 做許多不同的事情, remote desktop / VNC 的遠端控制只是治標不治本, 他需要 VPN 把家裡的電腦放到公司的 LAN 內 (更詳細的原因不敘述了~).  

在這個什麼都沒有的 LAN 下, 我告訴他, 方法有三:

(A) 把兩端的 router 都換掉, 建立固定的 site-to-site VPN Tunnel, 一勞永逸.

(B) 公司端換成有支援  VPN 撥入的 router, 家裡安裝該機器附的軟體, 撥接到 router 登入公司網路.

(C) 在公司端找台電腦安裝 VPN server, 從家裡撥接到這台 PC.  
這個方案我擺在最後, 因為老實說 "軟體 base" 的 VPN, 我沒涉獵到很多, 我只會用 Windows Server 裡面的 RRAS, 其他我有搞過的 VPN, 都是有牽涉到硬體的..... 說明白一點 --> 沒有 windows server 我就不知道該怎麼設軟體 VPN 了...


問題:

1. (A)  (B) 兩方案, 以台灣可購得的器材來說, 有無推薦的機器?  (我在美國買的到的產品, 台灣買不到. 台灣很熱的產品, 我連聽都沒聽過)

2. (C) 方案會不會其實是最簡單的方式? 也許我缺的只是一個軟體的名稱?

小酒蟲

不會連公司對外都是用浮動 IP 吧？

surprise_idea

不知這一種情況之下！ softether 是否會好使用呢？
我自已是對這一套蠻有興趣的！

http://www.softether.com/jp/

或者 vnn 呢？反正能自已架 server 是最好的！只是那一套方便一些啦！
http://www.bizvnn.cn/

[ 本文最後由 surprise_idea 於 2007-6-29 16:44 編輯 ]

achen

原文由 小酒蟲 於 2007-6-29 00:08 發表
不會連公司對外都是用浮動 IP 吧？

那應該不是大問題,  用許多免費的 DDNS 就可以解決 (如果不斷線重連, IP 應該是不會太常變動)
除非 VPN router 陽春到只接受 IP address,  不能輸入一般的 domain name

這確實是設置 VPN 或購置器材時的一個考量, 謝謝您的提醒.

Gman

原文由 achen 於 2007/6/29 16:42 發表
那應該不是大問題,  用許多免費的 DDNS 就可以解決 (如果不斷線重連, IP 應該是不會太常變動)
除非 VPN router 陽春到只接受 IP address,  不能輸入一般的 domain name
這確實是設置 VPN 或購置器材時的 ...

在個人所接觸過一些Firwall /VPN 設備中，當然，有內建DDNS功能的設備是有的
但是在對於相關網路的設定上，很少看到接受以domain name 做設定的設備
而且這些設備都不算陽春，NetScreen-500 / Fortigate 800A

如果以您的需求中，能夠用A方案當然最好，但是可能真的需要固定IP才能做
B / C 方案基本上大同小異，如果要連上線的Client 端的電腦是Windows 平台，其實不用太擔心
因為Client 大部分都支援Windows 平台

C方案的話我反而不知道Windows 的解決方案，因為工作環境大多是Linux機器，
如果有人可以管理*nix 平台的話，可以找一下 OpenVPN 這個軟體，
不過，我還是建議直接一個硬體的Router 解決，因為多一台Server 或軟體平台就多一個管理上的負擔
Router 只要設定好，基本上應該問題都不大了～

小弟服務的單位也在規劃與一些合作夥伴的遠端連線機制，基本上就類似您的需求，
不過因為使用的Client 端都是Linux平台，而Netscreen 又沒有 Linux 的VPN Client 程式，所以目前小弟正在做和您的方案A相同的測試
使用的設備，公司端是用 NS-500，客戶端用的是小弟個人的Vigor 2800 ADSL Router（有硬體VPN）
因為公司只有一台設備可以做測試，所以我才拿了自己的設備來測試啦～

建議的設備，可能要分兩端，公司端要考慮到最多同時要能打多少條VPN，管理方不方便，需不需要整合性的設備，或是在擴充以及更多認證上的支援好不好

Client 端比較平價的 可以找找  Vigor（居易）出的，我個人使用是沒遇到太多問題，不過網路上評價不一
另外之前有朋友提到一台算是個人使用也超值的  PCI BRC-W108G
因為使用的是 Intel IXP425 CPU 具有 VPN硬體加速的功能，且硬體規格挺暴力，更重要是不到 3K NTD...

盡量要找具有硬體VPN的Router，本身是由硬體做VPN功能的，不是軟體 （OS或 韌體）做的，效能與穩定性會比較好。

[ 本文最後由 Gman 於 2007-6-29 18:11 編輯 ]

achen

嗯.. 剛剛逛了一下 DrayTek 網站,   這一頁 對產品支援 VPN有蠻入門的解說.

而 這一頁 的產品列表, 似乎只要 Max VPN Tunnels (in/out) 該欄下面有 16 或 32 的數字, 就表示有支援硬體 VPN?  還煩請對這品牌比較熟的人確認一下.

infax

用一台pc 來做如何？
使用像m0n0 wall之類的東西
http://www.m0n0.com

這樣可以有firewall也有dhcp也有vpn
只要一台p3以上的機器就可以跑的很順了

Gman

原文由 achen 於 2007/6/29 22:58 發表
嗯.. 剛剛逛了一下 DrayTek 網站,   這一頁  對產品支援 VPN有蠻入門的解說.

而  這一頁 的產品列表, 似乎只要 Max VPN Tunnels (in/out) 該欄下面有 16 或 32 的數字, 就表示有支援硬體 VPN?  還煩請對這品 ...

如果以你看到的比較表來說的話，沒錯，上面列的有16/32/200 個通道數字的VPN都是以硬體作加解密的型號
只要是 2800 以上型號，就都是用硬體加解密了
有Vigor 設備的問題，可以到 http://www.vigorclub.com/ 這個討論區找找看
這是一個網路上蠻有名的 Vigor 經銷商設的討論區，有點客服網站的味道

另外，有提到的 PCI 那一台，晚上在 R拍賣有看到綁一張 MIMO 的 PCMCIA 無線網卡 的方案 好像還是不到3000元

james liu

或者你可以參考SonicWall TZ170W (包含你所有的需求)，這台我沒記錯的話，大約兩萬左右(台幣)，就可以入手了，在美國說不定更便宜

Gman

原文由 james liu 於 2007/6/30 12:37 發表
或者可以參考SonicWall TZ170W (包含所有的需求)，這台我沒記錯的話，大約兩萬左右(台幣)，就可以入手了，在美國說不定更便宜

sonicwall 也是不錯的選擇，風評都不錯，不過個人是沒有接觸過啦

我本來也以為是achen在美國要用的，後來詳細又看了第一篇的問題，應該是要幫在台灣的朋友規劃的
而且又有強調是小規模 LAN Gateway的需求，所以只提了這種平價的機型（不過以IP分享器來比較已經算高價了）
否則，其實一台VPN Gateway 2萬多元，包含防火牆甚至 IPS / IDS 算是很便宜的了

achen

原文由 Gman 於 2007-6-30 02:56 發表
我本來也以為是achen在美國要用的.........

是在台灣沒錯啦

而且, 我朋友公司的網路規模真的很小, VPN session 連線數只有可能有一個, 就是他自己
我想預算在 5~8 千左右吧, 兩萬真的太高檔了.

再次謝謝每一位給建議的朋友.