VPN server

VPN server
« kdy: 23. 05. 2021, 09:53:11 »
Zdravim všetkých, chcel by som Vás poprosiť o radu.
V jednej menšej firme potrebujem vytvoriť VPN server, aby sa z inej firmy mohli pripájať na zdieľaný disk kvôli určitým dátam (nedá sa to riešiť cez ftp).
Chcel som to riešiť cez postavený server na ktorom by išlo openvpn ale to nepôjde. Preto som rozmýšľal nad hotovým riešením buď od Zyxel alebo ubiquiti, prípadne s čím máte lepšie skúsenosti, do mikrotiku moc nechcem ísť.
Podmienkou je aby pripájajúca sa firma sa dostala iba na daný server a nie do celej siete a aby dátový tok vpn bol iba na posielanie dát na disk a nie celá internetová komunikácia ako napr. prehľadávanie stránok a videí cez prehliadač. Ďakujem za rady


Re:VPN server
« Odpověď #1 kdy: 23. 05. 2021, 10:15:21 »
proc ne mktik? proc ne linux? (nerozporuju, jen me to zajima)
obecne pristup po siti resis fw, vpn v tomhle neni zadna vyjimka.
jaky provoz ti tam klient posle resis pres routing (das mu jen specifickou routu, ne default)
od zyxelu bych nic nebral, mel jsem tu cest kdyz to mela protistrana (admin nevedel tak jsem mu zkousel pomoc) a fakt spatny... nakonec jsme jim poslali mktik a od ty doby 0 potizi.

Pixe

Re:VPN server
« Odpověď #2 kdy: 23. 05. 2021, 10:29:46 »
A proč ne ftp (v nějaké bezpečnější variantě)? je nutné openvpn, nebo se snese jiné řešení? Pokud je požadavek pouze přenos souborů, volil bych něco přímo určené pro přenos souborů, nikoliv VPN. MFT?

taky se přimlouvám za mikrotik

Re:VPN server
« Odpověď #3 kdy: 23. 05. 2021, 10:41:18 »
Pokud máte v plánu klasický share (SMB) a VPN postavit na built-in OVPN v MikroTiku, pak si velmi ošklivě natlučete. Implementace OVPN v MT je zkriplená a neumožňuje to "lifrovat" přes UDP. Pokud hodláte MT použít např. na IPSec nabo klasicky na routování, pak samozřejmě není problém.

Málo peněz hodně muziky? Šoupněte tam FTP s implicitním šifrováním a nazdar, pryč od toho.

Sdílené disky jsou beztak špatné porno, když to není udělané pořádně (a něco mi napovídá, dle úrovně popisu, že tady je sdílený disk udělaný nasdílením složky na 10tkových widlích ... snad se pletu).

---

A teď "vážně"... Dotaz je položený tak napůl; z poloviny je to nástin jakéhosi plánu a druhá polovina chybí úplně ( :D ) Pokud chcete poradit pořádně, napište a popište pořádně i situaci / prostředí.

Re:VPN server
« Odpověď #4 kdy: 23. 05. 2021, 14:37:20 »
Aby som to teda rozšíril.
Daná firma spravuje účtovníctvo a potrebujú aby sa naň mohla pripojiť ešte jedna firma. Lenže daný účtovný program je primitívny a sieťová verzia funguje tak, že sa na klientsky pc zdieľa disk a z neho sa spustí ten program. A pretože potrebujú mať dáta v reálnom čase nedá sa to riešiť tým, že by sa v určitom čase synchronizovali medzi tými dvoma firmami. Preto ma ako bezpečnejšie riešenie napadla vpn. Na všetkých pc majú Win10.


Re:VPN server
« Odpověď #5 kdy: 23. 05. 2021, 14:52:24 »
No vida, hned jsme se posunuli :-)

Co RDP/TS; připadá v úvahu? Pokud ne, pak VPN. Na výběr máte v podstatě OVPN(UDP), IPSec a WG (z těch lepších). Výběr usnadní:

  • Kolik BFU najednou potřebuje být připojeno?
  • Objem dat, který přes to poteče?
  • Kam to chcete tunelovat? Předpokládám nějaký dedikáč k tomu určený..? Hlavně neříkejte, že na nějakou koncovou stanici (což je klasické špatné porno typu "mlaskneme to semhle na pecko a víc řešit nebudeme .. střih.. o rok později se řeší toto")
  • Počítáte s routováním / NATem, že?
« Poslední změna: 23. 05. 2021, 14:54:43 od Josef Komjati »

Re:VPN server
« Odpověď #6 kdy: 23. 05. 2021, 14:56:48 »
tak to te teprve cekaj potize... doufas ze primitivni program si dobre poresi zamykani dat?
predpokladam vice uzivatelu naraz, jinak by davalo vetsi smysl dat to cely ty ucetni firme.
u nas pouzivame stormware pohoda, kde mas na vyber db access, anebo si zaplatit ms sql. zastavam linii davat ms co nejmin penez a tak to bezi na accessu, ktery jakysi zamykani ma, ale i tak je potreba kazdy tyden (dikybohu automaticky) opravovat db.
jestli mas neco jeste hloupejsiho tak uprimnou soustrast.
u nas to je vyreseny tak ze pohoda bezi na wserver kam se uzivatele hlasi pres rdp zabaleny do vpn. pouzivame l2tp ipsec, sstp, ike z mktiku a ted nove mam jeden site to site tunelna linuxu a wireguardu.
nejak to funguje ale jen diky ssdckum na serveru.
mam tolik druhu vpn kvuli ruznejch klientskejm zarizenim (neni to jen kvuli uctu), ale az se mktik pochlapi a da ostrou novou verzi s wireguardem tak bych to na nej rad preklopil vsechno.
co mi u wg chybi je nejaky predpripraveny logovani (a podle rychloho googlu nejsem sam).
tak zkus nadhodit proc ten linux a mktik ne a treba ti budu schopnej poradit lip.

Re:VPN server
« Odpověď #7 kdy: 23. 05. 2021, 15:18:55 »
Bohužiaľ je to kombinácia toho najhoršieho, účtovný program MRP je to na jednej pracovnej stanici s Win10 zazdieľaný disk a naň sa pripájajú všetci.
Najideálnejšie riešenie z môjho pohľadu by bolo vpn plus pripájanie cez RDP/cal len moc to nechcú riešiť pre 3 pracovníkov čo sa budú pripájať.
Preto ma práve napadlo to riešenie vpn a po pripojení by si tí pracovníci pripojili zdieľaný disk a mohli sa na ten program pripojiť. Je to však nešťastné riešenie.

Re:VPN server
« Odpověď #8 kdy: 23. 05. 2021, 15:38:14 »
Bohužiaľ je to kombinácia toho najhoršieho, účtovný program MRP je to na jednej pracovnej stanici s Win10 zazdieľaný disk a naň sa pripájajú všetci.
Najideálnejšie riešenie z môjho pohľadu by bolo vpn plus pripájanie cez RDP/cal len moc to nechcú riešiť pre 3 pracovníkov čo sa budú pripájať.
Preto ma práve napadlo to riešenie vpn a po pripojení by si tí pracovníci pripojili zdieľaný disk a mohli sa na ten program pripojiť. Je to však nešťastné riešenie.

Tyhle programy obvykle v praxi nesnesou pomalé připojení (a hlavně s vysokou latencí). V nejlepším případě externí přístupy zablokují práci interním pracovníkům. V horším případě se budou poškozovat data, pokud nemají zamykání dobře vyřešené.

Jediné smysluplné řešení je RDP.

_Jenda

  • *****
  • 1 603
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:VPN server
« Odpověď #9 kdy: 23. 05. 2021, 15:47:21 »
Preto ma práve napadlo to riešenie vpn a po pripojení by si tí pracovníci pripojili zdieľaný disk a mohli sa na ten program pripojiť. Je to však nešťastné riešenie.
No ano, pokud ten program takto funguje, tak mi přijde Samba přes VPN jako dobré, rychlé a bezpečné řešení. Kup si nějakou přiměřeně kvalitní „krabičku“ za litr (já aktuálně všude dávám „bílé hranaté Mikrotiky“ - konkrétně Mikrotik RB750Gr3 - ale můžeš klidně koupit nějaký TP-Link, ty byly také dobré), nainstaluj na ni OpenWRT, nastav OpenVPN podle návodu a hotovo. Pokud by byla potřeba vyšší rychlost (ten RB750Gr3 dá na OpenVPN asi 20 Mb/s), tak použiješ Wireguard (ten dá 100 Mb/s).

FKoudelka

Re:VPN server
« Odpověď #10 kdy: 23. 05. 2021, 22:18:00 »
Bohužiaľ je to kombinácia toho najhoršieho, účtovný program MRP je to na jednej pracovnej stanici s Win10 zazdieľaný disk a naň sa pripájajú všetci.
Najideálnejšie riešenie z môjho pohľadu by bolo vpn plus pripájanie cez RDP/cal len moc to nechcú riešiť pre 3 pracovníkov čo sa budú pripájať.
Preto ma práve napadlo to riešenie vpn a po pripojení by si tí pracovníci pripojili zdieľaný disk a mohli sa na ten program pripojiť. Je to však nešťastné riešenie.
Řešili jsme to samé, ale přes VPN na share to bylo nepoužitelně pomalé a to máme asi o dost lepší VPN infrastrukturu než popisujete. Nakonec zůstalo u RDP přístupu na interní PC účetní , kde je klient toho programu co má namontovaný ten sdílený disk nebo jak (aplikační věci  řešil kolega)
« Poslední změna: 23. 05. 2021, 22:23:26 od FKoudelka »

Re:VPN server
« Odpověď #11 kdy: 24. 05. 2021, 07:03:52 »
MRP má i síťovou verzi - MRP/KS databáze je na firebirdu a klient se připojuje k ní. Server tedy může běžet i na Linuxu.

Re:VPN server
« Odpověď #12 kdy: 24. 05. 2021, 20:03:50 »
Bohužiaľ je to kombinácia toho najhoršieho, účtovný program MRP je to na jednej pracovnej stanici s Win10 zazdieľaný disk a naň sa pripájajú všetci.
Jediné smysluplné řešení je RDP.

Presne tak (RDP) a len dodam, pokial nemaju obe strany slusne pripojenie, tak poviem ze prakticky jedine riesenie je to RDP a nad VPN ani neuvazuj. A tym nemyslim asymetricke 100/5 a pod., ale na oboch stranach s prizmurenim oboch oci 40/40 a viac ....

Takze z toho skromneho popisu a mojho pocitu, ze ide o peniaze:
- Ak maju obe strany dobre pripojenie vyhrab vyradene funkcne PC, prihod sietovku nainstaluj opnsense, alebo ine co vyhovuje, pripoj miesto wifi routra, spusti VPN a pravidlami obmedzis co kam....
- Ak nemaju precitaj si nieco o RDPwarapperi a zamysli sa ci chces ist tymto smerom, ale v kazdom pripade pocitac/server s terminalovym pristupom, bud obmedzis pouzivatelov, alebo ho strc do samostatneho segmentu a opat cez firewall povol len pristup kam treba ....