Cel mai bun mod de a seta infrastructura de rețea - Windows Server (AD, DHCP, DNS) + Router + VPN + Load Balance

În primul rând, aș vrea să spun că îmi place foarte mult să lucrez cu rețele și să gestionez computere, dar o fac ca un hobby. Nu sunt cu adevărat un profesionist și o fac doar pentru lucrurile mele, deoarece îmi place să învăț despre IT. Btw, engleza nu este limba mea primară, așa că așteptați-vă câteva expresii ciudate pe parcurs.

Deci, administrez un birou cu aproximativ 20 de computere conectate la un server cu AD. Serverul are două plăci de rețea, una NIC conectată la internet și cealaltă la LAN. Acest server este responsabil pentru DHCP, AD, partajarea fișierelor și am configurat un VPN punct la site.

Cu acea configurație, totul a funcționat destul de bine până acum.Cu toate acestea, recent am avut o problemă cu furnizorul nostru de internet, care avea o fibră ruptă și ne-am lăsat fără internet timp de 2 zile. Deci, am decis să angajăm un nou ISP pentru a avea echilibru de încărcare și failover. Așa că am achiziționat un router tplink er605 pentru a face treaba. Detaliul este că biroul deschide o sucursală și ar fi foarte interesant să se creeze un VPN site-to-site pentru a folosi același server cu AD și acces la fișiere.

Întrebarea mea se referă la cel mai bun mod de a structura rețeaua și serverul cu acest nou router. Deoarece routerul are funcție VPN, l-aș putea folosi pentru a face un VPN de la site la site cu ramura. Cu toate acestea, VPN-urile punct-la-site ar fi mai bine gestionate de serverul Windows, deoarece nu trebuie să creez noi conturi de utilizator direct pe router (doar folosind conturi AD).

Deci, am două opțiuni:

1. Opțiune utilizată în prezent: Provider 1 + Provider 2 -> Router Er605 (192.168.0.1) -> (Nic1 192.168.0.2) Server (Nic2 192.168.100.0) -> Switch -> Network Computers, Printers, etc.

2. Furnizor 1 + Furnizor 2 -> Router Er605 (192.168.100.1) -> Comutare -> Server (Nic 1 192.168.100.2). În acest fel, conectând routerul la comutator și setând totul la aceeași subrețea.

Am câteva îndoieli cu privire la modul în care ar funcționa asta. Pentru că în opțiunea 1, routerul funcționează doar pentru echilibrul de încărcare, iar toate celelalte funcții ar fi cu serverul (dar pierd posibilitatea de a face VPN-ul site-to-site prin router, deoarece este extern firewall-ului serverului și pe o subrețea separată).

In varianta 2 as avea mai multa libertate de configurare a routerului, fara sa depind atat de mult de server pentru dhcp si alte caracteristici de retea. Totuși, nu știu dacă astfel aș putea crea un VPN site-to-site pe router și un VPN point-to-site pe server, deoarece acum serverul se află după router în același interval IP (și Aș dori să păstrez VPN-urile de la clienții care folosesc conturi AD).

Orice sfat este binevenit, aș dori doar să înțeleg puțin mai bine cum ar funcționa rețeaua setând-o în moduri diferite și cum ar putea afecta VPN-ul, serverul și AD.

După cum ai spus, ești un pasionat, lasă-mă să spun câteva adevăruri destul de clare cu care cred că majoritatea oamenilor ar fi de acord.

Configurația dvs. actuală

NU atribuiți NICIODATĂ un IP public unui server Windows fără un motiv, acestea ar putea fi pentru o găzduire web sau pentru că este necesar pentru acces la distanță, ca și în cazul Azure. Dacă TREBUIE să faceți acest lucru, atunci trebuie să o faceți cu precauție extremă.

Dacă un server are nevoie de o conexiune externă, de exemplu pentru a găzdui un site web, atunci cel mai simplu mod de a face acest lucru este să redirecționați porturile necesare.

Scuze dacă acest lucru nu se traduce bine, nu vreau să fiu nepoliticos, dar acesta este un masiv nu, nu

Cum să faci lucrurile

Ca răspuns la conexiunea dvs. de rețea, cele de mai sus ar trebui să vă ofere o idee bună ce este mai bine, dar recomandarea mea ar fi:

• Server pe IP privat în spatele firewallului/routerului
• Tunel de la site la site pe firewall-uri/routere

Cam asta este, treaba gata! VPN-ul poate fi puțin dificil de configurat, dar găsiți și urmați un ghid și ar trebui să vă fie bine.