To bych ale musel kupovat každému zaměstnanci, kterému se zblázní poskytovatel internetu aby se dostal na servery. V principu není také spravidlivé připlácet O2 za to, že se nechová slušně a bezdůvodně mění ip adresu. Nej.cz je kabelovka a já můžu být vůbec rád, že jim to obstojně funguje, roky s tím měli problémy a nevěděli si rady. Takže chtít něco od takových lidí je risk.
Jednu veřejnou pevnou adresu mimo lokalitu máme, přes kterou by se dalo připojovat. Ale je to zase komplikace v případě potíží, což se mi moc nelíbí.
Pardon, to jsem vás blbě pochopil, já nejdřív myslel, že to myslíte jako přístup pro vás jako administrátora na nějaké servery, co spravujete.
Uff, jestli je to pro ostatní zaměstnance, a vy někde manuálně upravujete seznamy jejich IP adres (u kterých reálně nevíte, jak dlouho budou držet, kdo se z nich připojuje atp.), aby mohli přistupovat k různým službám z firmy, tak se mi spíš zdá, že se nezbláznil operátor
.
Ta cesta je už několikrát zmíněná.. udělejte si prostě dvě VPN brány (tomu, čemu já jsem říkal jumphost). Pokud první brána nebude dostupná, připojí se na druhou.
To je asi nejjednodušší řešení, pokud třeba nezaintegrujete nějakou placenou službu typu Tailscale nebo nevymyslíte vlastní řešení, co si failover může řešit transparentně pro uživatele.
Pro vaše zaměstnance, kolegy se nic nemění, v tuhle chvíli přistupovali počítám napřímo, a když se to "podělalo" nahodili ten Wireguard.. (nebo naopak). Tady budou mít variantu a) první VPN server, variantu b) druhý VPN server.
Budete mít pak jen dva body, odkud to můžete monitorovat přístupy na služby, selektivně je povolovat atp.
Přímý přístup s whitelisty je z mnoha ohledů nevhodný, tím že ty klientské sítě nemáte vůbec pod kontrolou, nevíte kdo bude na těch jejich domácích WiFinách. Podobně jestli klienti nemají ty IPv4 pevné a můžou se změnit (byť nutně ne často), tak až do momentu, kdy to zjistíte a manuálně přenastavíte, tak vám nějaký random člověk (co zrovna dostal adresu po vašem kolegovi) může projíždět ty služby, zkoušet relayovat na poštovní server atp. Podobně právě i lidé za CGNATem, kdy víc klientů dynamicky sdílí veřejné adresy.
To je podle mě úplná magořina.
To že se u některých operátorů relativně často mění adresa vychází z principu toho CGNATu. Céčkový IPv4 blok na volném trhu dneska stojí tisíce EUR. Můžeme si o tom myslet co chceme, nadávat, řešit nasazování IPv6, ale je to prostě realita. Pokud má malý operátor řekněme stovky, tisíce klientů a moc neroste jejich počet, tak se třeba v pohodě vejdou do rozsahů, které už mají léta koupené. Jiná situace může nastat pro velké operátory kdy jich můžou mít v pohodě i miliony lidí s mobilními daty a tohle víceméně neudržitelné.
Proto se z IPv4 stává dneska prémiová služba, jak u velkých ISP, cloud providerů atp. V normálním připojení dostanete třeba dostanete IPv6 přímo a IPv4 přes další překlad (CGNAT). Nefunguje to tak jako předtím, že vám nějaký DHCP server přidělí rovnou veřejnou adresu, ale dostanete privátní adresu, je tam další NAT v síti operátora a víc lidí může sdílet jednu veřejnou adresu.. (počítá se s tím, že typicky nepotřebujete komunikovat naráz ze všech odchozích 65535 TCP portů, takže se to rozdělí třeba na čtvrtky).