Remote access bij DHCP en NAT

Context:
Wij hebben hier een hoofdkantoor met tientallen filialen. Deze filialen moeten door ons gemonitored en beheerd worden van buitenaf. Al deze filialen beschikken over meerdere WAN verbindingen die wisselen op basis van een aantal parameters. Sommige van deze WAN verbindingen (Vsat, fleet, 3G etc.) zitten achter NAT en/of krijgen een IP-adres via DHCP.



Doel:
1: Het vanbuitenaf kunnen beheren van devices die in elk filiaal staan.
2: Het forwarden van e-mails naar de exchange server van dat filiaal.

Huidige oplossing
De servers worden nu beheerd door middel van TeamViewer. Deze applicatiie initieert de verbinding vanuit het filiaal waardoor NAT en DHCP geen probleem is. Helaas is een groot nadeel dat deze applicatie alleen op bepaalde OSen draait en alleen een GUI ondersteunt. Als ik bijvoorbeeld een Cisco switch remote wil configureren moet ik eerst inloggen via teamviewer (en een gui) om vervolgens te SSHen naar de switch (CLI). Nu is de overhead van de GUI onnodig en zeer onwenselijk bij bijvoorbeeld een Sateletiet of fleet verbinding.
E-mails worden nu geforward door elke keer de MX records aan te passen aan het nieuwe IP adres. Een onwenselijke oplossing aangezien er bij elke wisseling van WAN verbinding en/of IP-change een nieuwe adres moet worden ingevoerd.

Mogelijke oplossingen:
Mobile IP
In theorie een perfecte oplossing alleen is er weinig documentatie over te vinden. Ik heb deze techniek in een gevirtuliseerde omgeving uitgeprobeerd en werkte naar behoren. Helaas heb ik bij Cisco alleen maar voorbeelden gevonden waarbij er een extra router (mobile router) in het filiaal geplaatst moet worden waar de servers op aangesloten moeten worden (mobile node).
LISP
Deze oplossing werd geopperd in een ander topic maar helaas weet ik nog niet ofdat dit mijn probleem oplost. Het is extra lastig doordat deze relatief nieuwe techniek alleen ondersteunt wordt op bepaalde IOS versies en dit niet virtueel te testen is.
VPN
Er zijn verschillende VPN oplossingen maar ik heb er nog geen gevonden waarbij NAT en DHCP geen probleem zijn. Vaak moeten er keys gedefineerd worden en een spoke site IP-adres. Dit laatste is natuurlijk lastig als het IP-adres continu wijzigt.

Wat zou ik willen
Zouden jullie kunnen aangeven of LISP geschikt is?
Aan de hand van deze context zouden jullie kunnen aangeven welke technieken misschien nog meer geschikt zijn?
Welke vorm van VPN heeft geen last van NAT en DHCP?

[ Voor 10% gewijzigd door battler op 12-11-2013 10:07 ]

Uiteraard zou ik gecentraliseerd willen werken maar de vraag is door middel van welke techniek.

Mail server gecentraliseerd afhandelen is onwenselijk, de wan verbindingen gaan regelmatig verloren. Ook als er intern gemaild worden (binnen een filiaal) zou dat via de gecentraliseerde server verlopen.
Het leek mij dus beter om MX records te laten verwijzen naar het hoofdkantoor en die te laten forwarden naar de filialen.

Het liefst zou ik geen extra hardware neerzetten, elk filiaal beschikt over een Cisco router (2811) en over Windows servers. Zou de ASA vpn tunnel geen last hebben van NAT & DHCP en is deze techniek toe te passen op een standaard router?

[ Voor 12% gewijzigd door battler op 12-11-2013 10:06 ]

@DennusB: Elke locatie een aparte mailserver is om de volgende redenen:
De locaties zijn autonoom, de mederwerkers van een filiaal hebben niets te maken met andere filialen. Vergelijk het met Franchise ondernemingen waarbij wij de enige overkoepelende factor zijn met als enige taak het beheer. Ieder filiaal heeft een eigen ITer die users e.d aanmaakt.
E-mail is essentieel en moet ook beschikbaar zijn als er geen Internetverbinding is. Dit laatste gebeurd vrij regelmatig, vandaar ook de verschillende manieren om verbinding te maken met het Internet.

@Bl@ckbird: Ik ben al aan het spelen geweest met DMVPN. Het is niet nodig dat sites onderling kunnen communiceren zonder de hub. Dus DMVPN met site2site is volgens mij een prima oplossing. Alleen zoals ik het nu geimplementeerd heb weet ik niet hoe het zit met een wijziging in IP-adres aan de spoke kant, aangezien de keys gekoppeld zijn aan een ip-adres. Als DHCP en NAT geen probleem zijn met DMVPN dan is dit denk ik een prima oplossing.

Onze "filialen" zijn jachten die varen over de gehele wereld. We hebben dus continue te maken met verschillende cariers via sateliet, fleet, 3g, 4g, kabel van de haven etc.. Die afspraken zijn niet gemakkelijk te maken, en tegen de tijd dat die gemaakt zijn is de boot weer weg. Daarnaast is NAT ook een probleem.

[ Voor 6% gewijzigd door battler op 12-11-2013 12:30 ]

Super heren, bedankt! Ik weet dat ik in ieder geval op de juiste weg ben.

Een dag verder en een hoop gelezen en bekeken. Het is onwenselijk dat de spokes onderling contact hebben. Er zijn verschillende manieren om de redundantie te implementeren. Ik zoek nu nog even uit wat het beste is maar grofweg zijn er drie methoden:

Meerdere tunnels (elke interface 1).
Eén tunnel, iets met vrf.
Backup tunnel, ik weet alleen niet of dit ook mogelijk is met meerdere backup tunnels.

https://supportforums.cisco.com/thread/2043152

[ Voor 179% gewijzigd door battler op 13-11-2013 14:44 ]

Als een boot kan communiceren met een andere boot dan zal dit altijd via het internet zijn, op dat moment is er ook contact met de hub mogelijk. Daarnaast is het onwenselijk om de al beperkte bandbreedte te delen ook vanwege de gevoelige informatie.