web-dev-qa-db-ja.com

VPNクライアントと共有インターネットゲートウェイを使用して小規模オフィスネットワークをセットアップする方法

私は小規模オフィスネットワークを管理していますが、実際のネットワークに関する知識や理解はほとんどありません。

ネットワークには、コンシューマーグレードのwifiルーター(Netgear DG834G)、いくつかのPC/Mac、Wifi経由で接続されたいくつかのiPad、およびいくつかのファイルサーバー(コンシューマーグレードのNetgear ReadyNASボックス)があります。

ネットワーク上の1台のPC(WinXP)と離れたVPSボックス(AWS EC2)の間にopenVPNを使用してVPNをセットアップしました。私は米国ベースのIPアドレスを持つためにVPN接続を使用しています(私は米国にいないため)。

私がやりたいことは次のとおりです。各マシンにVPNクライアントを設定しなくても、Wifi接続マシン(iPad)を含むネットワーク上の他のマシンからVPNを使用できるようにしたいと思います。

他のマシンが使用するゲートウェイとして1つのマシンをセットアップするか、ゲートウェイとVPNクライアントの両方として機能する別のルーターを接続して、接続することを選択できるようにする必要があると思います。 VPNトンネル?または私はプロキシを探していますか?

(少し混乱しています。上記が不明な場合は申し訳ありません)。

それを達成するための最も簡単な方法は何ですか?私がやりたいことを説明するチュートリアルはすでにあるはずですが、Googleで何度も検索しても何も見つからないようです...

networkingvpngatewaysmall-business
1
Bambax

解決が必要な2つの問題があります。残念ながら、どれも本当に「簡単」ではありません。ここでクライアントの信頼に対処しているので、お住まいの地域のサードパーティの中小企業コンサルタントから支援を受けることをお勧めします。それを失うことはおそらく非常に悪いことです。

  • クライアントは常にオフィスとの暗号化された接続を維持したいと考えています。これは従来、確立されたサイト間IPSec VPNトンネルで解決されます(通常)両方のファイアウォール間。ルートを設定すると(そしてLANサブネット間に重複がないことを確認して)、オフィスとオフィスの間のトラフィックが常に暗号化されていることを確認できます。ただし、各サイドがLANサブネットを介して互いのリソースにアクセスしている場合に限ります。つまり、側からアクセスする必要のあるアプリケーションまたはWebサービス(イントラネットなど)がある場合は、プルアップします http://192.168.1.5 、ここで192.168.1.0/24はLANサブネットと192.168.1.5は、イントラネットを実行しているWebサーバーです。

  • オフィス全体で米国のみのWebサイトにアクセスしたい。認証とファイアウォールのルールを使用してマイクロAmazonEC2インスタンスにプロキシを設定することを検討します。オフィスのWAN IP。 Squid は簡単にセットアップできますが、 tinyproxy )へのアクセスのみを許可してください。キャッシュを有効にします。次に、FireFoxで米国のみのサイトのホワイトリストを使用してFoxyProxyを設定し、プロキシを介して米国のみのWebサイトのみにアクセスできるようにします。または、LAN上にある別のプロキシで同じことを実行して要求されたURL(ドメイン)によって(もしあれば)どのアップストリームプロキシを使用するか。この推測の多くを解決するより多くの定型ソリューションがあるかもしれないので、「Huluプロキシサービス」または「HuluVPN」も探し回るでしょう。 。

0
gravyface

はい、VPNを経由するすべての接続のルーターとして機能するデバイスをセットアップする必要があります。このデバイスがデフォルトゲートウェイでもある場合、クライアントはそれ以上の構成を適用する必要はありません。すべてにデフォルトゲートウェイを使用し、VPN経由でルーティングされる宛先をゲートウェイに通知する必要があります。それ以外の場合は、VPNが実行されている任意のマシンを介してVPNトラフィックをルーティングするようにクライアントマシンに指示できますが、それは誰にとってもはるかに複雑になります。

1
womble

Gravyfaceの回答(パート2)で見つかったアイデアに従って、今のところ私が行ったことは次のとおりです。

NAS(Netgear NV +))で、コマンドを使用して動的ポート転送を設定します

ssh -f -N -D ip:port user@machine

とtinyproxy。 Tinyproxy自体はSOCKSでは機能しませんが、tinyproxyからの接続をラップし、動的ポート転送を介して送信するtsocksでは機能します。

そのため、tinyproxyはLAN上のマシンから要求を受信し、動的ポート転送を使用してそれらの要求をインターネットに転送します。

米国のみのウェブサイトへのアクセスについて:

  • 「whatismy ip」などのサービスはプロキシを検出しますが、リクエストは米国からのものであると考えます(readyNASで利用可能なtinyproxyのバージョンは、「via」ヘッダーの抑制を許可しない古いバージョンであるため、プロキシが検出されます) )
  • hulu.comは正常に動作します(AWSエンドポイントを使用する場合を除く)

しかし、この種のセットアップがどれほど安全かはわかりません。

私が理解しているように、LANからプロキシへのトラフィックは暗号化されていませんが、プロキシもLAN上にあるため、問題ではありません。プロキシとエンドポイント間のトラフィックは暗号化されます。したがって、私が間違っていなければ、LANを覗き見している人はトラフィックを読み取ることができますが、LAN外の人(ISP)は(プロキシを使用するマシンの場合)読み取ることができません。

0
Bambax

最近、 Cisco RV082 VPNルーターを Netgate m1n1wall VPNルーターに置き換えました。 pfSense を実行することで、以下を構成できます。

  1. 2つのサイト間の永続的なIPsecVPNトンネル。各サイトには Netgate m1n1wall VPNルーターが含まれます。
  2. ロードウォリアー向けのIPsecベースのVPN接続

1つ購入することができます Netgate m1n1wall AWS EC2 VPSで永続的なOpenVPNトンネルを作成するように設定し、iPadやその他のクライアントシステム用にIPsecモバイル接続を設定できます。

Netgatem1n1wall構成

  • Netgate m1n1wall $ 214 + S/Hの場合:
    • ALIX.2D1 500 MHz AMD Geode LX800CPUと3つの10/100Enetポートを備えたシステムボード
    • pfSense がプリロードされた2GB Sandisk UltraCFカード
    • デスクトップケース
    • 120 VAC/DC15V電源
    • pfSense —「ファイアウォールおよびルーターとして使用するために調整されたFreeBSDの無料のオープンソースカスタマイズディストリビューション。」
  • VPN1411アクセラレータカード $ 72 + S/H
0
Matthew Rankin