Приветствую всех!

Мне нужна консультация:
В основном офисе (он же главный) находится сервер (Microsoft Windows Server 2003 SE SP2), который используется для терминального доступа к программам. Есть офис, расположенный в другом городе (даже в другой стране). Поставлена задача - дать доступ удаленному офису к терминальному серверу в главном офисе. В связи с этим вопросы:
1) На сколько это безопасно?
2) В удаленном офисе используется динамический IP. Обязательно ли сделать сперва там статику?
3) Какие порты надо будет открывать между двумя офисами? (подключаться будут только по RDP)

С настройками VPN никогда дело не имел, но общее представление имею.
Если возникнут дополнительные вопросы - отвечу!
Заранее спасибо!

1) На сколько это безопасно?
Достаточно безопасно.

2) В удаленном офисе используется динамический IP. Обязательно ли сделать сперва там статику?
Нет.

3) Какие порты надо будет открывать между двумя офисами? (подключаться будут только по RDP)
При подключении по VPN (PPTP) используется протокол GRE и TCP-порт 1723.

З.Ы.: Всё это касается реализации VPN-сервера на базе Windows. Я сам реализовал бы это на базе стороннего продукта OpenVPN (http://www.openvpn.net/index.php/open-source.html). Гибкий кроссплатформенный инструмент.

При подключении по VPN (PPTP) используется протокол GRE и TCP-порт 1723. »
Еще есть L2TP IPSec VPN
Всё это касается реализации VPN-сервера на базе Windows. Я сам реализовал бы это на базе стороннего продукта OpenVPN. Гибкий кроссплатформенный инструмент. »
С GRE-протоколом могут возникнуть сложности, если какой-либо провайдер на пути клиент-сервер не пропускает GRE-пакеты.
OpenVPN можно настроить на любой порт и TCP или UDP-протокол. И шифрация там, вроде, понадежнее. Но разобраться с ним несколько сложнее - это не пару раз кликнуть мышкой в окошках windows.

OpenVPN можно настроить на любой порт и TCP или UDP-протокол. И шифрация там, вроде, понадежнее. Но разобраться с ним несколько сложнее - это не пару раз кликнуть мышкой в окошках windows.
Согласен, но можно найти замечательные статьи вроде
Настройка OpenVPN (http://www.yakm.ru/Nastroyka-OpenVPN.html).
Настройка OpenVPN часть 2 (http://www.yakm.ru/Nastroyka-OpenVPN-chast-2.html)

Updated: По этой статье (http://nmkrupin.narod.ru/vpn.html) делал сам. Разобрался за 10 мин.

2) В удаленном офисе используется динамический IP. Обязательно ли сделать сперва там статику? »
Не обязательно.
Во-первых, частенько провайдер "динамически" назначает одни и те же адреса
Во-вторых,*есть специальные сервисы вроде DynDNS,*которые автоматически предоставляют внятное имя домена третьего уровня (типа Company.dyndns.org) для динамического адреса

Ок. Теперь вопрос следующий:
сможет ли удаленный офис параллельно использовать интернет?
Кстати, для настройки связи через OpenVPN ставить отдельный сервак надо? Или как лучше сделать?

сможет ли удаленный офис параллельно использовать интернет?
Дык, кто ж ему запретит? :)

Кстати, для настройки связи через OpenVPN ставить отдельный сервак надо?
А откуда нам известна схема организации сети в основном и дополнительном офисах?

сможет ли удаленный офис параллельно использовать интернет? »
В смысле, быть подключенным по RDP и использовать при этом еще и "свой" интернет?
Да, сможет.
Кстати, для настройки связи через OpenVPN ставить отдельный сервак надо? Или как лучше сделать? »
А главный офис каким образом в интернет выходит?

А откуда нам известна схема организации сети в основном и дополнительном офисах? »

В главном офисе:
Развернут домен. Стоит прокся (на FreeBSD), модем ADSL. Скорость соединения = 512Кбит/сек.

В удаленном офисе:
Компы в рабочей группе. Все подключаются к Роутеру, на котором стоит WAN, и выходят через него в Интернет. Скорость около 10Мбит/сек.

Стоит прокся (на FreeBSD)
Вот, на ней и можно организовать OpenVPN-сервер.

Все подключаются к Роутеру
Либо каждому компу ставить OpenVPN-клиента, либо заменить роутер старенькой сашинкой на Windows/Linux, и связать удалённый офис с главным постоянным VPN-туннелем.

аменить роутер старенькой сашинкой на Windows/Linux »
То есть подключить еще туда же машинку на которой развернуть OpenVPN, и настроить всех пользователей ходить через нее, так?

То есть подключить еще туда же машинку на которой развернуть OpenVPN, и настроить всех пользователей ходить через нее, так?
Почти. Эта машинка будет выполнять роль роутера + на ней будет поднят VPN-туннель до главного офиса, т.е., для всех компов удалённого офиса локалка главного офиса будет доступна, как будто они в единой сети. Единственное "НО": у локалок должны быть разные подсети.

Angry Demon, ну VPN-туннель и роутер создать может

VPN-туннель и роутер создать может
Не каждый. :)

Не каждый »
в удаленном офисе стоит - D-Link DIR-100. Так возможно ли настроить на нем VPN-туннель?

D-Link DIR-100
Поддержка VPN pass through
Т.е., данный маршрутизатор может только пробрасывать через себя VPN-трафик, но не организовывать VPN-туннели.

данный маршрутизатор может только пробрасывать через себя VPN-трафик, »
Понятно. Тогда надо определиться что мне ставить:

1) менять ли Роутер?
2) есть ли возможность использовать то, что есть, с добавлением в сеть еще одного компьютера - "сервера", который выполнял бы подключение к главному офису?

В принципе в удаленном офисе всего 4 машины. Как я понял, можно:
каждому компу ставить OpenVPN-клиента »

И что все-таки будет лучше (в плане подключения)? Ставить еще один комп и настраивать там OpenVPN или же на каждый клиентский компутер отдельно настраивать?

1) менять ли Роутер?
2) есть ли возможность использовать то, что есть, с добавлением в сеть еще одного компьютера - "сервера", который выполнял бы подключение к главному офису?
Если добавить комп, то необходимость в роутере просто отпадает.

Ставить еще один комп и настраивать там OpenVPN или же на каждый клиентский компутер отдельно настраивать?
Если не нужен прозрачный симметричный доступ (туда-отсюда и сюда-оттуда), то можно поставить на каждый.

можно поставить на каждый »
А пользователи смогут подключаться все вместе? Или прежде надо будет внести изменения в настройке OpenVPN в главном офисе, чтобы была возможность подключаться нескольким клиентам?

А пользователи смогут подключаться все вместе?
А прочитать: ;)
Updated: По этой статье (http://nmkrupin.narod.ru/vpn.html) делал сам. Разобрался за 10 мин.