Посоветуйте VPN между офисами
 

Добрый день, требуется организовать туннель между офисами (всего 3)
1. Офис центральный (сервер) zyxel keenetic lite 3
2. Офис филиал1 роутер netis
3. Офис филиал2 роутер mikrotik

Задача организовать vpn туннели между офисами. Хотелось бы чтобы железка сама поднимала впн туннель. Вопрос:
1. Какое оборудование применить (заменить роутер netis на keenetic giga к примеру и так же заменить у центрального офиса на аналогичную модель)
2. Какой протокол использовать при соединении. Wireguard, L2TP, OPENvpn?
3. Сколько внешних белых IP адресов при этой схеме будут?

pay666, у себя сделали так:
1. Поставили вместо роутеров мини-PC
2. Используем OpenVPN
3. Столько же, сколько и было

pay666,

Всё зависит от Вашей квалификации, т.к. обслуживать этот колхоз Вам. В идеале на всех трёх точках поставить оборудование одного вендора.

Далее ответы даны, так как поступил бы сам.

mikrotik

Wireguard

Минимум 1 адрес.

Ещё стандарт индустрии забыли - IPSec.

Ну а так:
OpenVPN позволяет L2 (bridge) site2site, но самый тормозной и жручий, зато самый универсальный.
IPSec - стандарт, работает везде в любых комбинациях, если железо тянет. Настройка с непривычки тяжеловата. L2/bridge нет.
Wireguard - самый новый и быстрый протокол, но совместимость узлов похуже, чем у IPSec. L2/bridge тоже нет.

L2TP вообще ни к селу, это хоть и L2 протокол, но без шифрования.

Про L2. Не знаю какое у вас ТЗ, но если в большинстве случаев VPN не позволит к примеру увидеть сетевые шары посредством броадкаста. Ну и во всех офисах подсети не должны пересекаться.

pay666, микрот, как было сказано выше. Причем кинетик менять не обязательно - он должен уметь ходить на VPN... если спромогётся делать это адекватно. А в идеале - да, 3х микрота, он много чего умеет сделать.

Микротик конечно это отдельная история, это даже религия)) Нужно сначала изучить, а времени не так много, нужно о безопасности позаботится быстрее.Спасибо всем, пока решил выбрать связку (докупил) keenetic giga-keneetic giga-mikrotik RB751U-2HnD все попробую настроить на wireguard.

Тогда стоило пойти по пути
И туда pfSense. Умеет OpenVPN и IPSec из коробки, WireGuard доступен из пакаджей. Всё прекрасно документировано

или даже лучше opnsense - он еще опенсурснее ;)

Те же яйца. Но пока Netgate не прикрыли лавочку Community Edition, предпочитаю pfSense.

аналогично. Но когда прикроют, придется переходить на opnsense, его вроде не собираются коммерциализировать по самое ядро :yes:

Да всегда будут открытые форки — перелицинзировать под закрытую лицензию основу — FreeBSD не выйдет.

Поднял VPN между:
1офис 192.168.0.0 (сервер с белым статическим IP RDP) keenetic
2офис 192.168.1.0 (офис с сотрудниками с серым IP) keenetic
3клиентский ПК 192.168.1.0 (работает сотрудник удаленно из дома) PC

Вопросs:
1. Пк 2 офиса с серым IP видят пк 1офиса с белым IP (подключаются по RDP), но наоборот не получается, чтобы ПК 1 офиса увидели ПК 2 офиса нужен внешний белый IP,верно?
2. Можно ли объеденить таким способом 10 офисов добавляя пиры?

я бы для него выбрал адрес из другого диапазона, 192.168.3.1, например.
ИМХО, не вытянет ваш кинетик столько трафика с щифрацией...

если они подключились к vpn, то они уже в локальной сети. Белый/серый адрес провайдера уже не причем. На системах не настроены разрешения и доступ.
можно, но если за сервер выступает "zyxel keenetic lite 3", то он может не вытянуть

Полагаю что маршрутизацию нужно настроить