Καλησπέρα,
στο γραφείο έχουμε γραμμή συμμετρική 50/50 οπτική ίνα με σταθερή εξωτερική IP, με ρούτερ microtic και στο σπίτι οπτική ίνα 200/50 με ένα ρουτερ TPLINK Archer AX50.
Λόγω του ωραρίου εργασίας, πολλές φορές συνδέομαι από το σπίτι στον υπολογιστή του γραφείου (RDP) μέσω VPN, το οποίο από όσα έχω δεί, είναι σε PPTP. Όλα δουλεύουν τέλεια και κανένα πρόβλημα δεν υπάρχει σε αυτό το στήσιμο.
Όμως θα ήθελα να κάνω κάτι παραπάνω με το VPN.
- Να έχω μόνιμη σύνδεση με το VPN του γραφείου ώστε να έχω πρόσβαση α)στο υπολογιστή μου β) στον file server γ) Virtual τηλεφωνικό κέντρο με SIP trunks που όμως είναι δεμένα με την IP του γραφείου.
- Στο σπίτι να έχω δύο ασύρματα δίκτυα πχ wifi1 και wifi2. Με το wifi1 να σερφάρω, να βλεπω netflix κτλ κτλ με δικές του εσωτερικές IP και DHCP και με το wifi2, το οποίο να είναι συνδεμένο μονίμως μέσω VPN με το εσωτερικό δίκτυο του γραφείου, να έχω πρόσβαση στα παραπάνω α, β και γ.
Ειδικά η πρόσβαση στο Virtual τηλεφωνικό κέντρο, είναι ένα θέμα καθότι οι κλήσεις εξωτερικού μέσω κινητού είναι εξωφρενικά ακριβές ενώ με το SIP account ψίχουλα. Σκέφτομαι να έχω ένα παλιό android κινητό για αυτό τον ρόλο ή ένα Grandstream WP 810/820/800.
Η πρόσβαση στον file server μπορεί να γίνει και μέσω RDP απο τον υπολογιστή του γραφείου αλλά θα προτιμούσα κατευθείαν σύνδεση από το σπίτι καθότι υπάρχει λογισμικό στο φορητό (σπίτι) που δεν είναι διαθέσιμο στον υπολογιστή του γραφείου.
Καταρχήν, ποια είναι η γνώμη σας; γίνεται; χρειάζομαι άλλον ρούτερ στο σπίτι; Αν γίνεται, τότε πως;
Α, επίσης πως λέγεται αυτό που θέλω να κάνω; για να αρχίσω να ψάχνω κι εγώ στο διαδίκτυο...
Ευχαριστώ!
Εμφάνιση 1-15 από 38
-
27-11-21, 00:25 Μόνιμη σύνδεση με VPN γραφειου. #1
-
27-11-21, 10:00 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #2
Χρειάζεσαι router στο σπίτι για να γίνει το site-to-site VPN.
Θα πρεπει τα δύο δίκτυα, γραφείου - σπιτιού, να είναι σε διαφορετικά subnets.
Τέλος, αναφέρεσαι ουσιαστικά σε VLANs στη μεριά του σπιτιού με τα διαφορετικά δίκτυα
-
27-11-21, 11:07 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #3
-
27-11-21, 19:35 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #4
Νομιζω θα παρεις ενα Μικροτικ ακομη για το σπιτι και θα το φτιαξεις αυτο που θελεις.
Θα σε κάλυπτε το ac2 πιστευω.
Το pptp ειναι μακραν το χειροτερο vpn. Αλλάξτε το το συντομότερο.
L2tp + ipsec ειναι μια χαρά και θα κανεις οσα απ αυτα θελεις σχετικα ευκολα.
Μιλήστε με κάποιον επαγγελματια γιατι ολα αυτα το βλεπω λιγο δύσκολο να τα κανεις απ τις συμβουλες ολων μας.
-
27-11-21, 22:23 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #5
-
29-11-21, 10:31 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #6
-
29-11-21, 10:41 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #7But who are ye in rags and rotten shoes,
You dirty-bearded, blocking up the way?
We are the Pilgrims, master; we shall go
Always a little further: it may be
Beyond the last blue mountain barred with snow,
Across that angry or that glimmering sea,
-
29-11-21, 11:31 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #8
-
29-11-21, 11:34 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #9
-
29-11-21, 11:53 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #10
-
29-11-21, 16:40 Re: Μόνιμη σύνδεση με VPN γραφειου. #11
-
30-11-21, 02:55 Απάντηση: Re: Μόνιμη σύνδεση με VPN γραφειου. #12
Είναι πολύ ωραία η ιδέα σου να θέλεις να πετύχεις αυτό το επίπεδο συνδεσιμότητας που περιγράφεις και (θα είναι) ενδιαφέρουσα η υλοποίηση για να ξεσκουριάσουμε και λίγο! :-P Λοιπόν, αρχικά, θα πρέπει να σε πείσω ότι η προσέγγιση με τα 2 Wifi δεν θα σε ωφελήσει:
- 1ον, διότι οι τερματικές συσκευές είναι προτιμότερο να έχουν όσο το δυνατόν λιγότερα σημεία πρόσβασης, ει δυνατόν μόνο 1, ώστε όλες οι routing/security αποφάσεις να παίρνονται κεντρικά από μία πιο έξυπνη συσκευή (router/firewall)
- 2ον, και γιατί να μή θέλεις κάποια στιγμή εκεί που βλέπεις netflix με το λάπτοπ (από το οικιακό internet) να πας ταυτόχρονα να τσιμπήσεις ένα αρχείο από το file server της δουλειάς? ή να βγάλεις μια κλήση με το SIP softphone? γιατί να πρέπει να αλλάξεις wifi για να κάνεις κάτι τέτοιο? κλπ κλπ, τα use cases ειναι δεκάδες.
- 3ον, για το 2πλό WiFi υπάρχει ένα ενδεχόμενο να χρειαστείς επιπλέον εξοπλισμό από αυτόν που θα σου προτείνω παρακάτω (κυρίως στην περίπτωση που το AX50 δεν μπορεί να κάνει bind το κάθε SSID σε διαφορετικό broadcast domain και assign σε διαφορετικές ethernet ports ή να τα διαχωρίσει με VLANs, δεν το γνωρίζω το μηχάνημα καλά) αλλά οι λόγοι 1 και 2 είναι από μόνοι τους αρκετοί νομίζω.
Η λύση του Mikrotik και του IPsec VPN, όπως σου πρότειναν ήδη τα παιδιά, στο άκρο του σπιτιού είναι η πιο σίγουρη, ασφαλής, και ενδεδειγμένη λύση, γιατί η συμβατότητα με το Mikrotik της δουλειάς θα είναι πιο εύκολη, αλλά και γιατί το Mikrotik θα σου δώσει μεγάλο βαθμό ελευθερίας να στήσεις ακριβώς αυτό που θέλεις με τους κανόνες ασφαλείας και δρομολόγησης που θέλεις. Το Mikrotik του σπιτιού μπορεί να αποφασίζει ποιες συσκευές θα επιτρέπεται να έχουν πρόσβαση στο VPN και ποιες όχι, ή θα αποφασίζει ποια πακέτα μιας συγκεκριμένης συσκευής ή ομάδας συσκευών θα προωθεί απευθείας στο τοπικό internet του σπιτιού και ποια θα προωθεί στο VPN. Το προαπαιτούμενο είναι να μην υπάρχει overlapping στο subnet του σπιτιού με αυτό της δουλειάς. Άλλο subnet εκεί, άλλο subnet στο σπίτι.
Και σ'αυτό το σημείο, οφείλω να σημειώσω πως ένα limitation (αν μπορούμε να το χαρακτηρίσουμε έτσι γιατί εγώ π.χ. το θεωρώ προτέρημα) που θα πρέπει να έχεις εξαρχής υπόψιν είναι ότι αφού οι συσκευές του σπιτιού θα είναι σε διαφορετικό subnet δεν θα έχεις Layer 2 πρόσβαση στο δίκτυο της δουλειάς (broadcast traffic), δηλαδή features όπως auto discovery του NetBios και των Windows shares, εκτυπωτών, κλπ. δεν θα δουλέψουν πάνω από το IPsec VPN, σε περίπτωση που (μάλλον κακώς) βασίζεστε σε κάτι τέτοιο. (Συνήθως σε κάτι τέτοια features βασίζονται προχειροστημένα δίκτυα). Θέλω να πιστεύω όμως ότι δεν έχετε κάποια τέτοια απαίτηση ή ότι ακόμη και αν έχετε κάτι τέτοιο ξεχασμένο, είναι πολύ καλή ευκαιρία να το μετατρέψεις σε κάτι πιο στιβαρό και σταθερό! (Το αναφέρω πιο πολύ γιατί διάβασα για PPTP, το οποίο σημαίνει μάλλον ότι επί του παρόντος όταν μπαίνετε στο VPN παίρνετε IP από το τοπικό φάσμα του γραφείου. Γενικά η αλλαγή της προσέγγισης - με τα διαφορετικά subnets - δεν θα πρέπει να σε προβληματίσει εκτός αν έχετε κάποια άλλη αρχαία και δύστροπη εφαρμογή που βασίζεται σε broadcast/multicast).
Άρα σύμφωνα με τα παραπάνω, ο εξοπλισμός που σου προτείνω, είναι κάτι τέτοιο:
https://mikrotik.com/product/RB750Gr3
που βγαίνει γύρω στα €55 (πολύ λογική τιμή για τις διεξόδους που θα σου δώσει) και το οποίο λογικά θα συνδεθεί ανάμεσα στο AX50 και στο ONT/optical router σου. Τώρα αν κάποιος συμφορουμίτης θεωρήσει ότι χρειάζεσαι κάτι πιο δυνατό το συζητάμε και αυτό.
-
30-11-21, 10:06 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #13
Καλά τα παραπάνω, αλλά το hex3, αφενός μπορεί να είναι "λίγο"
(αναλόγως τι θα κάνει κανείς, πχ vpn + sqm/cake = no-go),
και γενικότερα το μέλλον των συσκευών με 16MB rom είναι χλωμό.
Ήδη παρουσιάζονται προβλήματα με τα updates σε όσα έχουν μικρή rom.
Οποιοδήποτε απο τα σύγχρονα μεσαία rb (3011/4011 & 5009 όταν το ros 7.x θα είναι stable) θα είναι υπέρ-αρκετό,
και οι τιμές τους γενικά είναι αστείες.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
30-11-21, 10:40 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #14
Καταρχάς, στα ελληνικά υπάρχουν κάτι σημαδάκια που λέγονται τόνοι. Από εκεί και πέρα, οι ad hominem επιθέσεις και οι ειρωνείες από εσένα και από άλλους αποδεικνύουν ότι έχω δίκιο.
Επιχειρήματα please.
- - - Updated - - -
Μήπως να του πω "στήσε έναν ISP node και να παίζεις BGP με το γραφείο σου"; Μάλλον δεν έχεις συναίσθηση της κλίμακας. Ναι, θα του πρότεινα Cisco, αλλά, για τις ανάγκες του είναι overkill.But who are ye in rags and rotten shoes,
You dirty-bearded, blocking up the way?
We are the Pilgrims, master; we shall go
Always a little further: it may be
Beyond the last blue mountain barred with snow,
Across that angry or that glimmering sea,
-
30-11-21, 11:34 Απάντηση: Μόνιμη σύνδεση με VPN γραφειου. #15
Υπαρχει μια βασικη ερωτηση, που πρεπει να κανουμε. Για να κανει ipsec VPN πρεπει καποιος απο την εταιρια να του δωσει το οκ και να του μοιρασει τα κλειδια, θελει δουλεια και απο τις δυο πλευρες. Αν εισαι απλα υπαλληλος στην εταιρια, δεν νομιζω πως απο θεμα security θα παρεις εγκριση για κατι τετοιο.
Σιγουρα ειναι η καλυτερη λυση, αλλα για να υλοποιηθει χρειαζεται συζητηση.Seize the day but....don't miss the night!!!
Bookmarks