Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Посоветуйте VPN между офисами (http://forum.oszone.net/showthread.php?t=355034)

pay666 10-03-2024 16:02 3025256

Посоветуйте VPN между офисами
 
Добрый день, требуется организовать туннель между офисами (всего 3)
1. Офис центральный (сервер) zyxel keenetic lite 3
2. Офис филиал1 роутер netis
3. Офис филиал2 роутер mikrotik

Задача организовать vpn туннели между офисами. Хотелось бы чтобы железка сама поднимала впн туннель. Вопрос:
1. Какое оборудование применить (заменить роутер netis на keenetic giga к примеру и так же заменить у центрального офиса на аналогичную модель)
2. Какой протокол использовать при соединении. Wireguard, L2TP, OPENvpn?
3. Сколько внешних белых IP адресов при этой схеме будут?

Angry Demon 11-03-2024 08:21 3025264

pay666, у себя сделали так:
1. Поставили вместо роутеров мини-PC
2. Используем OpenVPN
3. Столько же, сколько и было

Anton04 11-03-2024 10:12 3025265

pay666,

Всё зависит от Вашей квалификации, т.к. обслуживать этот колхоз Вам. В идеале на всех трёх точках поставить оборудование одного вендора.

Далее ответы даны, так как поступил бы сам.

Цитата:

Цитата pay666
1. Какое оборудование применить (заменить роутер netis на keenetic giga к примеру и так же заменить у центрального офиса на аналогичную модель) »

mikrotik

Цитата:

Цитата pay666
2. Какой протокол использовать при соединении. Wireguard, L2TP, OPENvpn? »

Wireguard

Цитата:

Цитата pay666
3. Сколько внешних белых IP адресов при этой схеме будут? »

Минимум 1 адрес.

Cereal Keeler 11-03-2024 13:43 3025272

Ещё стандарт индустрии забыли - IPSec.

Ну а так:
OpenVPN позволяет L2 (bridge) site2site, но самый тормозной и жручий, зато самый универсальный.
IPSec - стандарт, работает везде в любых комбинациях, если железо тянет. Настройка с непривычки тяжеловата. L2/bridge нет.
Wireguard - самый новый и быстрый протокол, но совместимость узлов похуже, чем у IPSec. L2/bridge тоже нет.

L2TP вообще ни к селу, это хоть и L2 протокол, но без шифрования.

Про L2. Не знаю какое у вас ТЗ, но если в большинстве случаев VPN не позволит к примеру увидеть сетевые шары посредством броадкаста. Ну и во всех офисах подсети не должны пересекаться.

ShaddyR 11-03-2024 19:05 3025289

pay666, микрот, как было сказано выше. Причем кинетик менять не обязательно - он должен уметь ходить на VPN... если спромогётся делать это адекватно. А в идеале - да, 3х микрота, он много чего умеет сделать.

pay666 12-03-2024 05:36 3025296

Микротик конечно это отдельная история, это даже религия)) Нужно сначала изучить, а времени не так много, нужно о безопасности позаботится быстрее.Спасибо всем, пока решил выбрать связку (докупил) keenetic giga-keneetic giga-mikrotik RB751U-2HnD все попробую настроить на wireguard.

Cereal Keeler 13-03-2024 12:23 3025329

Цитата:

Цитата pay666
Нужно сначала изучить, а времени не так много, нужно о безопасности позаботится быстрее. »

Тогда стоило пойти по пути
Цитата:

Цитата Angry Demon
Поставили вместо роутеров мини-PC »

И туда pfSense. Умеет OpenVPN и IPSec из коробки, WireGuard доступен из пакаджей. Всё прекрасно документировано

dmitryst 13-03-2024 12:38 3025330

Цитата:

Цитата Cereal Keeler
И туда pfSense. »

или даже лучше opnsense - он еще опенсурснее ;)

Cereal Keeler 13-03-2024 13:02 3025331

Цитата:

Цитата dmitryst
он еще опенсурснее »

Те же яйца. Но пока Netgate не прикрыли лавочку Community Edition, предпочитаю pfSense.

dmitryst 13-03-2024 14:00 3025335

Цитата:

Цитата Cereal Keeler
Но пока Netgate не прикрыли лавочку Community Edition, предпочитаю pfSense. »

аналогично. Но когда прикроют, придется переходить на opnsense, его вроде не собираются коммерциализировать по самое ядро :yes:

Cereal Keeler 13-03-2024 14:14 3025336

Да всегда будут открытые форки — перелицинзировать под закрытую лицензию основу — FreeBSD не выйдет.

pay666 26-03-2024 19:46 3025777

Поднял VPN между:
1офис 192.168.0.0 (сервер с белым статическим IP RDP) keenetic
2офис 192.168.1.0 (офис с сотрудниками с серым IP) keenetic
3клиентский ПК 192.168.1.0 (работает сотрудник удаленно из дома) PC

Вопросs:
1. Пк 2 офиса с серым IP видят пк 1офиса с белым IP (подключаются по RDP), но наоборот не получается, чтобы ПК 1 офиса увидели ПК 2 офиса нужен внешний белый IP,верно?
2. Можно ли объеденить таким способом 10 офисов добавляя пиры?

dmitryst 26-03-2024 19:56 3025778

Цитата:

Цитата pay666
3клиентский ПК 192.168.1.0 »

я бы для него выбрал адрес из другого диапазона, 192.168.3.1, например.
Цитата:

Цитата pay666
Можно ли объеденить таким способом 10 офисов добавляя пиры? »

ИМХО, не вытянет ваш кинетик столько трафика с щифрацией...

freese 27-03-2024 09:28 3025932

Цитата:

Цитата pay666
1. Пк 2 офиса с серым IP видят пк 1офиса с белым IP (подключаются по RDP), но наоборот не получается, чтобы ПК 1 офиса увидели ПК 2 офиса нужен внешний белый IP,верно? »

если они подключились к vpn, то они уже в локальной сети. Белый/серый адрес провайдера уже не причем. На системах не настроены разрешения и доступ.
Цитата:

Цитата pay666
2. Можно ли объеденить таким способом 10 офисов добавляя пиры? »

можно, но если за сервер выступает "zyxel keenetic lite 3", то он может не вытянуть

pay666 27-03-2024 10:19 3025934

Цитата:

Цитата freese
если они подключились к vpn, то они уже в локальной сети. Белый/серый адрес провайдера уже не причем. На системах не настроены разрешения и доступ. »

Полагаю что маршрутизацию нужно настроить


Время: 09:44.

Время: 09:44.
© OSzone.net 2001-