Malý VPN server (router/firewall)

[SimSon]

Zdravim,

hladam daky maly spolahlivy samostatny vpn-server (pripadne kombinovany s routerom/firewallom). Ide o to, ze nechcem vystavit KVM-port mojho servera a port hypervizora (esxi) priamo na internet, tie by som radsej urobil pristupne len cez VPN. Lenze ti parchanti v serverovni sice maju na taketo veci svoj VPN-server, ale chcu za to odomna +20€ mesacne. Navrhol som ze si donesiem daky svoj router/vpn-server, malu krabicku ktoru polozim na moj server, ale aj za to mam platit navyse (ze vraj je to dalsie zariadenie, spotreba, sietovy kabel, atd). Mozem ich okaslat!

Tak ma napadlo toto: zozeniem si daky maly router s vpn-serverom, vlozim dovnutra mojho serveru, a vnutri to dako prekablujem. Napajal by som to z molexu, daky adapter by som zbastlil. Von zo serveru by potom isli uz len 2x eth-porty (tie mam uz teraz): jeden "normalny", a jeden ktory by vnutri v kejse isiel do tohto routeru/vpn-serveru (a z neho potom dalej na KVM a ESXi). No a na toto potrebujem ten vpn-server. Podstatne je toto:

- spolahlivy, lebo bude bezat 24/7, a neviem ako by som riesil restart na dialku
- maly, lebo v mojom 2U-serveri nie je vela miesta (pripadne by som rozobral a dovnutra dal iba samotny plosak)
- mala spotreba (max 10-15W) a napajany cez adapter 12V alebo 5V (to dostanem z ATX-zdroja)

Rozmyslal som ze bud daky mikrotik (RB750GL novy za 50€), alebo cosi z druhej ruky (cisco 5505 som videl za par supov). V podstate potrebujem len VPN-server, a staci mi bohate aj 10Mbit. Ma niekto daky tip?

[Reklama]

[flack]

Ahoj zaujimave. Raspberry Pi by to neobsluzilo? Aj ked s nejakym mikrotikom si myslim nic nepokazis.

[e3k]

preco nenainstalovat ten vpn server priamo na ten kus zeleza co tam uz je a tu sluzbu mat pristupnu len v lokalnej sieti?

[flack]

e3k troska hlupost nemysliz?

Vravel ze ma KVM. Ja osobne by som teda nechcel zo serveru ktory je pripojeny na KVM pristupovat na KVM cez ten server aby som riadil server

[SimSon]

Pod "KVM" mam na mysli "keyboard-video-mouse", cize vzdialeny pristup ku konzole servera samotneho (pc-bios, raid-bios, reset, atd), nie "kernel-based virtual machine". A toto potrebujem mat este predtym, nez cokolvek nabehne (pripadne nenabehne), takze nerealizovatelne cez akykolvek soft ktory bezi na zeleze...

Okrem toho tam bezi hypervisor (ESXi) a na nom niekolko virtualnych masin. Pristup k esxi service-console by mozno siel cez VPN na jednom virtualnom stroji, ale ak ten spadne (resp. ho stopnem), tak koniec. Od ESXi-konzoly som prakticky odrezany. Musel by som rychlo nahodit VPN na inom virtualnom stroji (ak by bezal). Ale napriklad ESXi sa patchuje pri vypnutych virtualnych masinach, takze zase nepriechodne. Preto pristup na kvm-konzolu musim (a na esxi-konzolu chcem) mat nezavisle od toho co bezi/nebezi na tych virtualnych strojoch.

Rozmyslal som aj nad Raspberry, ale tie sa tusim robia len s 1 eth-portom. Ja potrebujem tri (1x wan, a 2x lan/vpn: kvm a esxi).

Pozeram ze niektore Mikrotiky su male, to mi prave vyhovuje. Krabicku 113x89x28mm (RB750) do 2U zmestim. To vojde aj do prazdnej 5-a-pol palcovej sachty. Ale nemam s touto znackou ziadne skusenosti, neviem ci je to aspon trochu stabilne a pouzitelne. Ani ten ich RouterOS nepoznam. Ma niekto daky Mikrotik v trvalom nasadeni, ze mu to bezi 24hod denne?

[Reklama]

[Jimm]

Takovy nesmysl jsem nikdy neresil, v TCC mi za cenu telefonniho hovoru vzdy okamzite zdarma pripojili KVM na jak dlouho jsem potreboval. Toto neni standard?

[TV]

RB750 mi běží dobře 3 roky 24/7 v racku v roli malého routeru a ovpn serveru. Prakticky o něm nevím, dělá co má, je stabilní, docela vlažný. Za celou dobu se nezaskl ani jinak nezkolaboval. Nejdelší uptime 260 dní, mohl by být klidně i delší, kdybych neinstaloval restart-vyžadující aktualizace RouterOS (v3.x - v6.x).

VPN serverů je na výběr několik, OVPN, PPTP, L2TP, SSTP. Úspěšně používám OVPN. Proti plnotučnému OVPN má tu nevýhodu, že nepodporuje UDP tunel, tedy pouze TCP. Uvnitř vpn spojení je pak pochopitelně možné přenášet i UDP pakety, jen to není tak efektivní. Nemůžu říct, že by mne to nějak limitovalo, nekladu na něj velké nároky.

RouterOS je určitě výzva, ovšem s trochou úsilí zvládnutelná, dostupných manuálů a rad je dostatek. Pro představu se můžeš napojit na read-only live demo konfiguračního rozhraní, přístup poskytuje a popisuje Mikrotik na svém webu.

[SimSon]

To su skvele spravy, lebo aj ja to potrebujem len na openvpn. BTW, ked dam na dva konce dva tieto mikrotiky, budu schopne automaticky nadviazat vpn? Myslim to tak, ze jeden by som dal k svojmu serveru v hostingovom centre (tam by bezal vpn-server), a druhy by bol u mna doma a po zapnuti by mal hned spustit vpn-klienta a nadviazat spojenie.

A este sa chcem spytat ci sa neoplati zobrat radsej RB450G? Ma viac pamate ako RB750GL (256MB vs 64MB), licenciu "level5" (RB750GL len "level4", aj ked neviem presne co to znamena) a slot na micro-sd. To by som mozno aj vyuzil...

[Jenda]

Dal bych tam nejlevnější krabičku s OpenWRT za čtyři stovky.

[ergerg]

jasne, IPsec tunel medzi dvoma mikrotikmi je bezne pouzivana ficura.

[dworkin]

Alebo si na ESXi rozbehaj softverovy router aky potrebujes.

[SimSon]

Alebo si na ESXi rozbehaj softverovy router aky potrebujes.

Pokial viem, vpn-server nie je sucastou ESXi a cosi tam doinstalovat nie je take jednoduche. A vo virtualnom stroji to robit nechcem, to nedava zmysel. Ak by som ho vypol, uz sa ku konzole nedostanem...

Dal bych tam nejlevnější krabičku s OpenWRT za čtyři stovky.

Keby som nebol obmedzeny priestorom, tak to spravim. Ale tieto bezne routery su podstatne vacsie, ako MikroTik RB750GL/RB450G. Okrem toho s beznymi domacimi routermi nemam velmi dobre skusenosti. Mal som dva asus-y (s olegovym firmware aj openwrt), a ten hardware vzdy do roka skapal. Zralo to dakych 15-20W, a dost sa zahrievali. A to boli este tie drahsie modely. Radsej priplatim za MikroTik a dufam ze bude lepsi...

[Jose D]

Ma niekto daky tip?

jj, změnit hosting.

[Martin]

Ahoj,
pouzivame pro tyto ucely openvpn service nainstalovany primo na hosta, ktery se automaticky startuje po bootu, coz mi prijde jako elegantni reseni. Samozrejme bezi i iptables. Esxi neznam, ale myslim, ze bezi na redhat, tam by sel openvpn taky doinstalovat. Pokud nejde, tak jedine si pomoct tim externim Mikrotikem jak tady navrhovali predchozi.

[TV]

BTW, ked dam na dva konce dva tieto mikrotiky, budu schopne automaticky nadviazat vpn? Myslim to tak, ze jeden by som dal k svojmu serveru v hostingovom centre (tam by bezal vpn-server), a druhy by bol u mna doma a po zapnuti by mal hned spustit vpn-klienta a nadviazat spojenie.

To určitě možné je. Mikrotik umí být VPN server i VPN klient, resp. různé kombinace několika zároveň. Teroreticky. Prakticky bude záležet na tom, jak dobře a s jakým úsilím se ti tyto věci podaří nakonfigurovat. Já si třeba přes OVPN cvičně propojil RB750 a RB951G-2HnD, spojení samotné navázané v pořádku, zbývalo nastavit pravidla routování, což se mi na první pokus úplně nedařilo a dál jsem to neřešil (hobby věc, experiment, nemělo pro mě prioritu). Propojení dvou mikrotiků resp. WAN sítí lze realizovat efektivněji i jiným typem tunelu, než OVPN. Mikrotik OVPN trpí tím výše zmíněným kompromisem UDP-over-TCP.

A este sa chcem spytat ci sa neoplati zobrat radsej RB450G? Ma viac pamate ako RB750GL (256MB vs 64MB), licenciu "level5" (RB750GL len "level4", aj ked neviem presne co to znamena) a slot na micro-sd. To by som mozno aj vyuzil...

To si budeš muset posoudit sám. RB450G má lepší technické parametry, ale zase stojí víc, není v krabičce a kdo ví jak je na tom se spotřebou a zahříváním. Rozdíl mezi licencí level 4 a 5 je pro dané použití naprosto nepodstatný. Mrkni na mikrotik wiki, kde jsou tyto levely pěkně popsány.