Výběr routeru(Mikrotik?) a jeho nastavení - základ + S2S vpn + klasická VPN Prah

Zdravím,
potřeboval bych na jednom místě nastavit router - asi ideálně Mikrotik, který bude mít otevřené porty jen pro VPN a také celkově nějak standardně zabezpečený.
Ohledně VPN - potřebujeme VPN server, ke kterému se budou připojovat klienti a poté také Site2Site VPN, která bude připojená do AWS VPC - připojení ze strany AWS budu řešit já, ale je třeba zkonzultovat možnosti.
Díky.


Je to v Praze.

5nik

  • ***
  • 142
    • Zobrazit profil
    • E-mail
Jaký je očekávaný trafic pro S2S VPN do AWS? Kolik VPN klientů a s jakým očekávaným trafficem počítáte? Jaké další nároky na Mtik máte (cena, počet a druh portů, redundantní napájení, rack mount)?
Dle google podporuje AWS v případě S2S VPN ipsec/IKEv2, takže to bude chtít box s HW podporou šifrování. Ideálně použít IPsec/IKEv2 i pro VPN klienty. Jak plánujete ověřovat VPN klienty - lokální seznam účtů, či radius server (lokální přes User Managera nebo externí, např. Win NPS)?

Ten traffic bude minimální.
Jedná se o MQTT traffic pouze, kde můžeme mluvit třeba o 1 requestu za 1 sekundu mezi touto pobočkou a AWS.
K VPN budou připojeni maximálně 2 klienti.
Redundantní nemusí být nic. Rack mount momentálně netuším, ale myslím, že nebude třeba.
VPN klienty bych udělal klasicky přes nějaké certifikáty a user/password? Mám zkušenosti jen s OpenVPN a tam to řešíme takto. Počítám s tím, že další uživatel se bude muset přidávat manuálně třeba v UI mikrotiku.
Ohledně S2S VPN do AWS ještě netuším, jestli chceme používat to jejich řešení - musím se kouknout, kolik to bude stát peněz, takže je tu varianta ještě použít nějaký docker container na to.

5nik

  • ***
  • 142
    • Zobrazit profil
    • E-mail
Máte-li na tom Mikrotiku veřejnou IP (předpokládám), pak klidně Wireguard. VPS na AWS může být jeden z VPN klientů v rámci WireGuardu.
Co se týče HW - volil bych s ARM CPU, mezi levnějšími konkrétně např. L009 (8 GLAN, 2C, 512MB RAM, 128MB NAND, bez Wifi), hAP AX Lite (4 GLAN, 2C, 256MB RAM, 128 MB NAND, 2.4 GHz AX), hAP AC2 (5 GLAN, 4C, 128MB RAM, 16 MB NAND, 2.4+5GHz AC). Já bych osobně preferoval L009 - jedná se o poslední generaci s rozumnou výbavou, dělají verzi i s 2.4 GHz Wifi a je to i s případnou montáží do racku (10/19"). Za cca týden by snad mohly být zase na chvilku skladem.


Ok, díky za radu.
Já ovšem hledám spíše někoho, kdo mi toto vše zařídí než poradí.