Požadavky na lokální domácí server pro připojení do VPN

[houpal]

Ahoj, mám asi 3 nebo 4 místa místa kde jsou lokální sítě připojené různými providery na internetu typicky rodinný dům někde v republice. V některých jsou lokální fileservery se sdílenými daty v rámci lokální sítě – nějaké sbc se sambou a cca 1TB diskem. 

Rád bych tyhle lokální servery propojil s mým „hlavním“ serverem pomocí komerční VPN, aby se z nich jednak mohla duplikovat ta data a zálohy lokálních uživatelů na ten master server a druhak, abych je mohl jednoduše spravovat.

Asi nebudu moci připojit do té VPN všechna zařízení ve všech sítích, protože ty nejlevnější VPN umožňují jen několik (~10) zařízení, takže bych chtěl připojil pouze ty lokální fileservery.

Dotaz: Bude ten lokální server muset mít 2 síťové karty, kdy jedna bude sloužit pro lokální sambu a druhá bude připojená do VPN, anebo to jde zařídit jinak? Třeba nějak virtuálními servery nebo tak? Ty lokální SBC jsou nějaké postarší raspberry nebo odroidy, žádný velký traffic tam nebyl a nebude. 

A jak byste to řešili, nebo, má to někdo podobně už vyřešené?

[Reklama]

[Petr Krčmář]

Zařízení nemusí mít dvě síťové karty. Obecně VPN fungují tak, že se na připojeném počítači objeví virtuální síťová karta, která se chová, jako by byla připojená do jedné společné VPN s ostatními klienty. V systému jsou pak vidět dvě síťové karty: jedna je skutečná a míří do místní sítě a skrz ní pak do internetu a pak je tu virtuální síťová karta, za kterou jsou vidět ostatní počítače ve VPN. Data samozřejmě vždy odcházejí tou skutečnou kartou, ale pokud jdou do VPN, tak se předtím zašifrují a před každý paket se přidá nová hlavička se skutečnou IP adresou cíle (VPN koncentrátoru).

Není potřeba se spoléhat na nějaká komerční řešení, která mohou uživatele omezovat počtem připojených klientů. Stačí jeden počítač s veřejnou IP adresou, na něm spustit VPN koncentrátor a řešit si celou VPN po svém. Pokud takový počítač není k dispozici, pak si stačí zaplatit někde nějaký virtuální server (VPS) a jede se.

Doporučuji pak použít WireGuard, který je velmi rychlý, jednoduše se nakonfiguruje a je multiplatformní.

[XXX_Sam_XXX]

Presne tak, ja jeste doplnim.
Nejlepsi mit router, ktery podporuje nastaveni VPNky primo na nem.

[houpal]

Není potřeba se spoléhat na nějaká komerční řešení, která mohou uživatele omezovat počtem připojených klientů. Stačí jeden počítač s veřejnou IP adresou, na něm spustit VPN koncentrátor a řešit si celou VPN po svém. Pokud takový počítač není k dispozici, pak si stačí zaplatit někde nějaký virtuální server (VPS) a jede se.

Doporučuji pak použít WireGuard, který je velmi rychlý, jednoduše se nakonfiguruje a je multiplatformní.

Děkuji za vyčerpávající odpověď.
V prvním kroku vyzkouším tu komerční VPN, ze dvou důvodů - první je cena - ta komerční VPN s max 10 klienty stojí ve slevě asi 3.5 eura/měsíc, veřejná IP by mne stála ~250Kč a nejlevnější VPS co jsem našel asi 5 Eur/měsíc.
Druhý důvod je, že si nejsem jistý, zda bych ten VPS a VPN nastavil správně a bezpečně provozoval se všemi těmi updaty a tak.   
Možná později na to přejdu, ale v zatím to rozběhám takhle...

[houpal]

Presne tak, ja jeste doplnim.
Nejlepsi mit router, ktery podporuje nastaveni VPNky primo na nem.

V tom by prosím byla jaká výhoda? Já asi nechci aby všechen provoz jel po jedné VPN, chci tam připojit jenom ty servery abych je mohl syncovat a spravovat,  a zároveň chci, aby byly dostupné jako lokální servery ve těch lokálních sítích.
To podle mě nejde na tom routru nastavit jednoduše, respektive myslím, že pak bych asi potřeboval ty dvě síťovky. nebo ne?

[Reklama]

[Petr Krčmář]

To podle mě nejde na tom routru nastavit jednoduše, respektive myslím, že pak bych asi potřeboval ty dvě síťovky. nebo ne?

Určitě jde, záleží na konfiguraci. Ale všeobecně je možné do rozhraní VPN posílat jen provoz pro vybrané sítě, tedy ty, které do té VPN patří. Bývá to nejobvyklejší konfigurace. Zbytek pak jde normálně do výchozí síťovky běžnou otevřenou sítí.

[jjrsk]

V tom by prosím byla jaká výhoda?

To mas jednoduchy ... jednak ti dost pravdepodobne ta tvoje vpnka za temi devaterymi NATy fungovat nebude. Router ma k tomu internetu nejbliz. Druhak tim jaksi resis "omezeni na pocet zarizeni", protoze jich je tolik co routeru (tzn 4). Jakej provoz kudy posles si nastavis taky na tom routeru, to stim kde je nakonfigurovana vpn nema nic spolecnyho.

A jako bonus, dost pochybuju, ze ti na nejakych anonymnich krabicich se sambou neco takoveho nakonfigurovat vubec pujde. Specielne prave komercni veci typicky vyzaduji instalaci nejakeho jejich extra SW, ktery byva dost casto win only.

Pricemz vzhledem k tomu ze o sitovani zjevne nevis vubec nic, si dovolim pochybovat o tom, ze zvladnes cokoli krome macnani next next ...

BTW: vpn ve skutecnosti nepotrebuje ani zadnou virtualni sitovou kartu, ale to nechape ani spousta sitaru.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Lehce zkusím nabídnout mou odpověď, : záleží v jakém režimu to budeš používat,
Standalone:každé zařízení které chceš ve VPN, si musí termínovaný VPN samo. U wireguardu ,OpenVPN no problém
Transparentně: VPN terminaci řeší až router třeba, který tedy třeba těm v zařízení "dá" rozsah adres patřící tomuto VPN segmentu, přidané zařízení bude mít jen další adresu z nového rozsahu,

Není potřeba více rozhraní ani vlanù

A dále point point , sítě to sítě....

BTW: vpn ve skutecnosti nepotrebuje ani zadnou virtualni sitovou kartu, ale to nechape ani spousta sitaru.

Jak to mysliš? Nebo jak jsi to slyšel?
Není to zjednodušeně, že VPN naopak vytvoří virtuálni síťovou kartu (na pravou míru:virtuální interface)?

[alfi]

Jestli to zvládne i komerční vpn netuším. Mně stačí openvpn na VPS za pár korun. Openvpn docela často umí routery. Pak stačí do vpn připojit router a v nastavení vpn povolit, kdo na koho vidí - jestli celá LAN celou jinou LAN nebo jen vybrané IP (bezpečnější). Vpn klienta nemusí dělat router, zvládne to i nějaká linuxová krabička třeba od tv nebo toho NAS disku - jen pak je třeba správně nastavit routování z LAN do vpn a jiné sítě

[metabug]

A co to zkusit se ZeroTier nebo třeba Yggdrasil?

[Zopper]

Presne tak, ja jeste doplnim.
Nejlepsi mit router, ktery podporuje nastaveni VPNky primo na nem.

V tom by prosím byla jaká výhoda? Já asi nechci aby všechen provoz jel po jedné VPN, chci tam připojit jenom ty servery abych je mohl syncovat a spravovat,  a zároveň chci, aby byly dostupné jako lokální servery ve těch lokálních sítích.
To podle mě nejde na tom routru nastavit jednoduše, respektive myslím, že pak bych asi potřeboval ty dvě síťovky. nebo ne?

Pokud se bavíme o routerech jako Mikrotik (nejlevnější je kolem tisícovky), tak ta VPN je prostě další síťové rozhraní a síť a jak si nastavíš routování a firewall, tak to budeš mít. Výhoda takovéhohle řešení je, že máš jednu krabičku, která tam stejně být musí, a ne X dalších zařízení navíc, a můžeš si takhle skrz vpn pustit konkrétní zařízení i když do nich nemáš možnost nainstalovat rozumně žádnou VPN přímo. Nebo si propojíš sítě, takže normální komunikace do internetu jde jako vždycky, ale pokud bude jakékoliv zařízení v síti A chtít komnunikovat se zařízením v síti B, tak to proleze skrz tu VPN - každá lokalita jde do internetu přímo, ale jsou zároveň propojené i mezi sebou, podle toho, jak to chceš. Veřejná IP ti stačí jen na jednom centrálním uzlu, ke kterému se budou připojovat všechny ostatní lokality.

Nevýhoda je, že nějaké základy síťování budou u Mikrotiku potřeba už z principu, takže pokud nechceš nic složitějšího řešit a nastavovat, ale můžeš na každý stroj nainstalovat klienta, tak ta komerční VPN bude rozhodně jednodušší.

[Hornik]

1) IPv6

2) Tailscale, NetBird, ZeroTier, TincVPN - defakto instantni setup

3) cisty Wireguard

4) komercni VPN poskytovatel


Netreba druhe sitove karty.

[RDa]

O pozadavku na druhou sitovou kartu v pripade VPN slysim tedy poprve.
Nemam druhou a provozuji WG i OpenVPN.

Dve sitovky ma u me jenom hranicni router.

[jjrsk]

Jak to mysliš? Nebo jak jsi to slyšel?
Není to zjednodušeně, že VPN naopak vytvoří virtuálni síťovou kartu (na pravou míru:virtuální interface)?

Myslim to presne tak jak sem to napsal. Zadnou ani virtualni sitovku nepotrebujes. Rika se tomu ipsec, a co se ma sifrovat nastavis jako pravidlo do firewallu.

A jak sem psal, spousta sitaru to nedokaze pochopit a porad zijou v tom ze potrebujou nejakej iface.

A hned krasmej priklad na to tema:

...tak ta VPN je prostě další síťové rozhraní ...

Ne, zadny dalsi sitovy rozhrani to nepotrebuje ani na mikrotikovi. Kterej teda specilene VPNky prakticky provozovat neumi, a neco na tom nastavit je horor. On ten kram neumi ani routovat ... nedavno sem resil, ze to prave do vpnky posila ... lokalni provoz. A reseni ... lol ... vyrobit jakoze dalsi tunel kterej nikam nevede ...

Edit: Jeste k tomu pripisu ... krome ipsecu mam zkusenost i s ovpn ... kterou soudruzi pri kazdy 2hy aktualizaci rozbili. Dalsi krasna vec je to, ze drtivou vetsinu svepravnych sifrovacich algoritmu to typicky neumi v HW, a CPU to nestiha.

[Zopper]

Ne, zadny dalsi sitovy rozhrani to nepotrebuje ani na mikrotikovi. Kterej teda specilene VPNky prakticky provozovat neumi,

To je tak super, že mi tady jjrsk dokáže vysvětlit, že ten "wg1" v kategorii "interfaces" hned pod "lo" and "ether1-5" není síťové rozhraní. A že se domů už roky asi připojuji holubí poštou a ne wireguard VPN. Jen by mě zajímalo, jak můžu něčemu nastavit lokální IP adresu a síť bez toho, když to teda není virtuální síťovka.