Μόνιμη σύνδεση με VPN γραφειου.

[sxbcl]

Υπαρχει μια βασικη ερωτηση, που πρεπει να κανουμε. Για να κανει ipsec VPN πρεπει καποιος απο την εταιρια να του δωσει το οκ και να του μοιρασει τα κλειδια, θελει δουλεια και απο τις δυο πλευρες. Αν εισαι απλα υπαλληλος στην εταιρια, δεν νομιζω πως απο θεμα security θα παρεις εγκριση για κατι τετοιο.

Σιγουρα ειναι η καλυτερη λυση, αλλα για να υλοποιηθει χρειαζεται συζητηση.

Έχεις δίκιο, αλλά νομίζω ότι όλοι θεωρήσαμε ως δεδομένο ότι μιλάει για δικό του γραφείο και δεν είναι απλά υπάλληλος.
Στο προκείμενο. Θεωρώντας δεδομένο ότι είναι αυτονόητη η άδεια από το γραφείο, ή είναι δικό του, το Mikrotik είναι η καλύτερη λύση γιατί υπάρχει ήδη Mikrotik στο γραφείο, άρα κάποιος το έστησε και το γνωρίζει και μπορεί να κάνει το ίδιο και στο σπίτι. Επίσης το Mikrotik είναι πολύ πιο "ανοιχτό", "ευέλικτο" και παραμετροποιήσιμο από all-in-one boxes τύπου Draytek. Τέλος, κάτι πολύ βασικό κατά τη γνώμη μου, δεν είναι απαραίτητο να αλλάξεις το modem/router του παρόχου με ό,τι συνεπάγεται αυτό από πλευράς υποστήριξης αν χρειαστεί.
Μπορεί δηλαδή σε ένα πολύ basic setup, αν τα δύο δίκτυο γραφείου-σπιτιού είναι ήδη σε διαφορετικά subnets, να μπει το Mikrotik πίσω από το router του παρόχου, να γίνουν τα κατάλληλα port forwarding και static routes στο router του παρόχου και το mikrotik να υλοποιεί μόνο το VPN και να ρουτάρει μέσω αυτού μόνο τα δίκτυα του VPN.

[manolog3]

Επειδη ειναι στον "αερα" γι' αυτο το ειπα.

Απο εκει και περα, εστω οτι με τον εναν τροπο ή τον αλλον, αν παρουμε ως δεδομενο οτι θα το κανει, προφανως πλεον μπορει πιο ευκολα να γινει, σε σχεση με παλιοτερες γενιες modem/router/firewalls. Σιγουρα οταν υπαρχουν ιδια brands και απο τις δυο μεριες ειναι καλυτερο και ισως εχει ευκολοτερο set-αρισμα μιας και οτι κανει στο ενα θα κανει και στο αλλο.

[K1m0n]

Μήπως να του πω "στήσε έναν ISP node και να παίζεις BGP με το γραφείο σου"; Μάλλον δεν έχεις συναίσθηση της κλίμακας. Ναι, θα του πρότεινα Cisco, αλλά, για τις ανάγκες του είναι overkill.

Ok, να το εξηγήσω καλύτερα:
Η διαφωνία μου είναι στο ότι το draytek οπωσδήποτε δεν είναι σοβαρότερο/ανώτερο των tik.
Έχω συναίσθηση της κλίμακας.
Και αν του πρότεινες cisco τουλάχιστον θα ήταν όντως σοβαρότερο από ένα mtik
("σοβαρότερο" = σταθερότερο + καλύτερα υποστηριζόμενο, άλλο αν το value/$ πάσχει), και όντως overkill.
Μπορεί το cisco να μην ήταν καλή συμβουλή για τον OP (που ποτέ δεν είναι λάθος να πείς "βάλε ένα cisco"),
αλλά σοβαρότερο από το mtik θάταν.
Από αυτό, το να κατατάσσει κανείς τα tp-link με τα mtik στην ίδια κατηγορία,
και το να θεωρεί το όποιο draytek, που πολύ τα συμπαθώ, και που καλά/χρυσά είναι,
και έχουν την θέση τους όταν θέλεις κάτι καλύτερο από home-class router και να στήνεται με 3 κλίκ,
(και που το config τους σε περιορίζει πολύ και το value/$ επίσης πάσχει σοβαρά),
πιο "σοβαρή" επιλογή από ένα tik/ros είναι *πολύ* τραβηγμένο.
Και τα 2 (tik/draytek) έχουν μακρά ιστορία από bugs (ok, τα tik περισσότερα)
και από features που υπεσχέθησαν αλλά δεν παρέδωσαν.
$ for $ το mikrotik θα είναι μακράν γρηγορότερο του όποιου draytek,
και μακράν πιο παραμετροποιήσιμο.
Και τα περισσότερα bugs του tik είναι όχι στο τυπικό config αλλά θα εμφανιστούν ακριβώς λόγω του ότι
ελέω ελεύθερου config μπορεί να στήσει κανείς ότι παράξενο θέλει (και συνήθως θα δουλεύει).
Και οπωσδήποτε το όλο οικοσύστημα των tik (εκπαίδευση/τεκμηρίωση/σταθερότητα) δεν είναι
στην ίδια κλάση με τα μεγάλα/σοβαρά παιδιά (το παλεύουν όμως λίγο-λίγο) και ακόμα έχουν ελλείψεις/ιδιοτροπίες.
Αλλά το να προτείνεις ώς "σοβαρό" router ένα draytek σε σχέση με ένα mtik είναι απλώς λάθος.
Το ros συνιστά σοβαρό router, απλώς όχι τόσο σοβαρό όσο των μεγάλων, και οπωσδήποτε σοβαρότερο των draytek.
Μπορεί το draytek όντως να είναι πιο κατάλληλο/εύκολο για τον op που μπορεί να μην έχει όρεξη να
κάτσει να διαβάσει τα docs και να μάθει τις ιδιοτροπίες των tik, σοβαρότερο όμως δεν είναι.

Κατά την ταπεινή μου άποψη πάντα.

[BillyVan]

Να το παρουμε ανάποδα αφου τα Cisco τα αποδέχεσαι.

Τα Μικροτικ υπο συνθήκες στέκονται απέναντι στα Cisco (οχι σε όλη τη γκάμα αλλα σε μεγάλο μερος απ αυτή)

Στη δε χαμηλή κατηγορία τιμής ειναι τα καλύτερα απ ότι κυκλοφορεί στο εμπόριο.

Αλλα αυτό ειναι μια άλλη συζήτηση και δεν αφορά το ερώτημα του φίλου.

[mpokeras]

Είναι πολύ ωραία η ιδέα σου να θέλεις να πετύχεις αυτό το επίπεδο συνδεσιμότητας που περιγράφεις και (θα είναι) ενδιαφέρουσα η υλοποίηση για να ξεσκουριάσουμε και λίγο! :-P Λοιπόν, αρχικά, θα πρέπει να σε πείσω ότι η προσέγγιση με τα 2 Wifi δεν θα σε ωφελήσει:
- 1ον, διότι οι τερματικές συσκευές είναι προτιμότερο να έχουν όσο το δυνατόν λιγότερα σημεία πρόσβασης, ει δυνατόν μόνο 1, ώστε όλες οι routing/security αποφάσεις να παίρνονται κεντρικά από μία πιο έξυπνη συσκευή (router/firewall)
- 2ον, και γιατί να μή θέλεις κάποια στιγμή εκεί που βλέπεις netflix με το λάπτοπ (από το οικιακό internet) να πας ταυτόχρονα να τσιμπήσεις ένα αρχείο από το file server της δουλειάς? ή να βγάλεις μια κλήση με το SIP softphone? γιατί να πρέπει να αλλάξεις wifi για να κάνεις κάτι τέτοιο? κλπ κλπ, τα use cases ειναι δεκάδες.
- 3ον, για το 2πλό WiFi υπάρχει ένα ενδεχόμενο να χρειαστείς επιπλέον εξοπλισμό από αυτόν που θα σου προτείνω παρακάτω (κυρίως στην περίπτωση που το AX50 δεν μπορεί να κάνει bind το κάθε SSID σε διαφορετικό broadcast domain και assign σε διαφορετικές ethernet ports ή να τα διαχωρίσει με VLANs, δεν το γνωρίζω το μηχάνημα καλά) αλλά οι λόγοι 1 και 2 είναι από μόνοι τους αρκετοί νομίζω.

Η λύση του Mikrotik και του IPsec VPN, όπως σου πρότειναν ήδη τα παιδιά, στο άκρο του σπιτιού είναι η πιο σίγουρη, ασφαλής, και ενδεδειγμένη λύση, γιατί η συμβατότητα με το Mikrotik της δουλειάς θα είναι πιο εύκολη, αλλά και γιατί το Mikrotik θα σου δώσει μεγάλο βαθμό ελευθερίας να στήσεις ακριβώς αυτό που θέλεις με τους κανόνες ασφαλείας και δρομολόγησης που θέλεις. Το Mikrotik του σπιτιού μπορεί να αποφασίζει ποιες συσκευές θα επιτρέπεται να έχουν πρόσβαση στο VPN και ποιες όχι, ή θα αποφασίζει ποια πακέτα μιας συγκεκριμένης συσκευής ή ομάδας συσκευών θα προωθεί απευθείας στο τοπικό internet του σπιτιού και ποια θα προωθεί στο VPN. Το προαπαιτούμενο είναι να μην υπάρχει overlapping στο subnet του σπιτιού με αυτό της δουλειάς. Άλλο subnet εκεί, άλλο subnet στο σπίτι.

Και σ'αυτό το σημείο, οφείλω να σημειώσω πως ένα limitation (αν μπορούμε να το χαρακτηρίσουμε έτσι γιατί εγώ π.χ. το θεωρώ προτέρημα) που θα πρέπει να έχεις εξαρχής υπόψιν είναι ότι αφού οι συσκευές του σπιτιού θα είναι σε διαφορετικό subnet δεν θα έχεις Layer 2 πρόσβαση στο δίκτυο της δουλειάς (broadcast traffic), δηλαδή features όπως auto discovery του NetBios και των Windows shares, εκτυπωτών, κλπ. δεν θα δουλέψουν πάνω από το IPsec VPN, σε περίπτωση που (μάλλον κακώς) βασίζεστε σε κάτι τέτοιο. (Συνήθως σε κάτι τέτοια features βασίζονται προχειροστημένα δίκτυα). Θέλω να πιστεύω όμως ότι δεν έχετε κάποια τέτοια απαίτηση ή ότι ακόμη και αν έχετε κάτι τέτοιο ξεχασμένο, είναι πολύ καλή ευκαιρία να το μετατρέψεις σε κάτι πιο στιβαρό και σταθερό! (Το αναφέρω πιο πολύ γιατί διάβασα για PPTP, το οποίο σημαίνει μάλλον ότι επί του παρόντος όταν μπαίνετε στο VPN παίρνετε IP από το τοπικό φάσμα του γραφείου. Γενικά η αλλαγή της προσέγγισης - με τα διαφορετικά subnets - δεν θα πρέπει να σε προβληματίσει εκτός αν έχετε κάποια άλλη αρχαία και δύστροπη εφαρμογή που βασίζεται σε broadcast/multicast).

Άρα σύμφωνα με τα παραπάνω, ο εξοπλισμός που σου προτείνω, είναι κάτι τέτοιο:
https://mikrotik.com/product/RB750Gr3
που βγαίνει γύρω στα €55 (πολύ λογική τιμή για τις διεξόδους που θα σου δώσει) και το οποίο λογικά θα συνδεθεί ανάμεσα στο AX50 και στο ONT/optical router σου. Τώρα αν κάποιος συμφορουμίτης θεωρήσει ότι χρειάζεσαι κάτι πιο δυνατό το συζητάμε και αυτό.

Ευχαριστώ για τον χρόνο και τις ιδέες σου, αυτή την περίοδο προγραμματίζω τις αγορές μου ώστε να μην βρεθώ πάλι στην κατάσταση να στοκάρω συσκευές.

- - - Updated - - -

Υπαρχει μια βασικη ερωτηση, που πρεπει να κανουμε. Για να κανει ipsec VPN πρεπει καποιος απο την εταιρια να του δωσει το οκ και να του μοιρασει τα κλειδια, θελει δουλεια και απο τις δυο πλευρες. Αν εισαι απλα υπαλληλος στην εταιρια, δεν νομιζω πως απο θεμα security θα παρεις εγκριση για κατι τετοιο.

Σιγουρα ειναι η καλυτερη λυση, αλλα για να υλοποιηθει χρειαζεται συζητηση.

Ετσι κι αλλιώς από ασφάλεια είμαστε ΓΤΠΚ (ή σχεδόν). Όποιος προλάβει να βάλει την στολή το πρωί, είναι τεχνικός για τα δίκτυα.

[euri]

Ετσι κι αλλιώς από ασφάλεια είμαστε ΓΤΠΚ (ή σχεδόν). Όποιος προλάβει να βάλει την στολή το πρωί, είναι τεχνικός για τα δίκτυα.

Όλες οι προϋποθέσεις λοιπόν να βρεθείς μπλεγμένος, ακόμη κι αν δε φταις.

[mpokeras]

Όλες οι προϋποθέσεις λοιπόν να βρεθείς μπλεγμένος, ακόμη κι αν δε φταις.

Μέχρι τις πρίζες στον τοίχο τους αφήνω, μετά μου βγαίνει ένας αυταρχισμός!

Λοιπόν βρίσκω το MIKROTIK hEX φτηνότερο κατά 7 ευρώ από ότι το hAP ac². Εσείς τι θα κάνατε; υπόψιν το AX50 έχει wifi που σκοτώνει και δεν θα με χαλούσε να το κρατήσω για AP

[euri]

Off Topic

Μέχρι τις πρίζες στον τοίχο τους αφήνω, μετά μου βγαίνει ένας αυταρχισμός!

Δε γνωρίζω τις αρμοδιότητες και τις δικαιοδοσίες που έχεις στον εργασιακό χώρο σου. Σε κάθε περίπτωση συζήτησέ το με τους αρμόδιους, ενημέρωσε, πάρε κάποιο υποτυπώδες "ΟΚ". Η μόνιμη-συνεχής site-to-site σύνδεση είναι κάτι πολύ διαφορετικό συγκριτικά με "απλό" on-demand / remote-desktop. Αυξάνει δραματικά το attack surface και σε περίπτωση που κάτι συμβεί (άσχετα αν προέρχεται από σένα ή όχι) εσύ θα είσαι ο πρώτος που θα βάλουν στο στόχαστρο.

Εγώ θα έλεγα να κρατήσεις το υπάρχον ασύρματο μπλιμπλίκι σου (αφού "σκοτώνει" κιόλας ) και να βάλεις ένα μικροτίκι στην άκρη, όπως ειπώθηκε παραπάνω.

[BillyVan]

Να παρεις το ac2 γιατι εχει arm 4πυρινο και επιπλεον wifi που παει καλα στα 5Ghz (cosmote 200ara την τερματιζει)

Στο ros7 εφτιαξαν και το.....ipsec - fixed hardware acceleration support for ARM and ARM64 devices;

[mpokeras]

[OFFTOPIC]
............
Εγώ θα έλεγα να κρατήσεις το υπάρχον ασύρματο μπλιμπλίκι σου (αφού "σκοτώνει" κιόλας ) και να βάλεις ένα μικροτίκι στην άκρη, όπως ειπώθηκε παραπάνω.

Για σπιτικό πράμα καλό είναι το AX50, από τα καλύτερα που έχω πλερώκει
Τώρα αν ήταν για μόνιμη κατάσταση, θα έκανα ότι έκανα και στο "χωριό".....θα γέμιζα τον τόπο ubiquiti!

Πίσω στο θέμα, κι έμενα με ανατριχιάζει η ιδέα να έχω μόνιμη σύνδεση γραφείο - σπίτι, ότι πρωτόκολλο κι αν σεττάρω. Όμως είναι επιτακτική η ανάγκη να μπορώ να έχω πρόσβαση σε αρχεία, εφαρμογές και υλικό από το σπίτι.

[eliasbats]

OK, όντως το AC2 είναι καλύτερη επιλογή... οπότε μόλις το αποφασίσεις ενημέρωσε αν θες βοήθεια.

[mpokeras]

OK, όντως το AC2 είναι καλύτερη επιλογή... οπότε μόλις το αποφασίσεις ενημέρωσε αν θες βοήθεια.

Ευχαριστώ!

[mpokeras]

Λοιπόν, τελικά αγόρασα το ac2 και το παράτησα πάνω στον πάγκο λόγω άλλων ασχολιών.
>Εδώ και κάποιες μέρες παίζω μαζί του για εξοικείωση, αν ποτέ συμβεί αυτό καθώς τους περισσότερους όρους στο μενού αδυνατώ να τους κατανοήσω.

Εξ αιτίας αυτού, κάνω και την παραδοχή πως μάλλον έχετε δίκιο όταν μιλάτε αυξημένο και περιττό ρίσκο. Κουβέντιασα το θέμα και με ένα τεχνικό του παρόχου που ήρθε στο γραφείο και με αποτρέπει κι αυτός για μόνιμη VPN σύνδεση και για το PPTP. Αυτός επίσης, πέρα από να πεί την γνώμη του δεν θέλει καμιά σχέση με το δίκτυο μας.

Πως θα μπορούσα να αυξήσω την ασφάλεια στο υπάρχων στήσιμο; Δηλαδή να έχω πρόσβαση από τον υπολογιστή του σπιτιού σε αυτόν του γραφείου με RDP μέσω VPN μόνο για όση ώρα δουλεύω, με κάτι πιο σίγουρο από ότι το PPTP.

Όσο για το SIP, έχω δοκιμάσει σύνδεση VPN απο το κινητό και το app της GRandstream δουλευει άψογα για κλήσεις μέσω του Virtual PBX του γραφείου. Με το πέρας της κλήσης κλείνω και το VPN.

Εννοείται ότι μόλις τελειώσω με αυτό, θα σετάρω με τον ίδιο τρόπο το σπιτικό ac2 για να έχω πρόσβαση στον υπολογιστή μου από το γραφείο.
Ζητάω πολλά;

[mpokeras]

Υπαρχει μια βασικη ερωτηση, που πρεπει να κανουμε. Για να κανει ipsec VPN πρεπει καποιος απο την εταιρια να του δωσει το οκ και να του μοιρασει τα κλειδια, θελει δουλεια και απο τις δυο πλευρες. Αν εισαι απλα υπαλληλος στην εταιρια, δεν νομιζω πως απο θεμα security θα παρεις εγκριση για κατι τετοιο.

Σιγουρα ειναι η καλυτερη λυση, αλλα για να υλοποιηθει χρειαζεται συζητηση.

Καταλαβαίνω,
όμως μου έδωσα την άδεια να το κάνω και θέλω να το κάνω με την μεγαλύτερη δυνατή ασφάλεια! Ήδη σταμάτησα το PPTP και έστησα το L2ΤP (pc to router) και το δοκίμασα και δουλεύει.
Δεν ξέρω αν το έκανα σωστά και αν μπορώ να κάνω κάτι παραπάνω.

Η επόμενη λύση είναι όποτε υπάρχει ανάγκη να δουλέψω στον υπολογιστή του γραφείου (για τους λόγους που εξήγησα στο αρχικό πόστ) να έρχομαι στο γραφείο και να κουβαλάω κι ένα φορητό μαζί μου.

[goldenaura]

Καταλαβαίνω,
όμως μου έδωσα την άδεια να το κάνω και θέλω να το κάνω με την μεγαλύτερη δυνατή ασφάλεια! Ήδη σταμάτησα το PPTP και έστησα το L2ΤP (pc to router) και το δοκίμασα και δουλεύει.
Δεν ξέρω αν το έκανα σωστά και αν μπορώ να κάνω κάτι παραπάνω.

Η επόμενη λύση είναι όποτε υπάρχει ανάγκη να δουλέψω στον υπολογιστή του γραφείου (για τους λόγους που εξήγησα στο αρχικό πόστ) να έρχομαι στο γραφείο και να κουβαλάω κι ένα φορητό μαζί μου.

Έχουν ακούσει στην εταιρεία σου το ISO 27001; Μάλλον όχι.