Mikrotik VPN - l2tp z ipsec

(przemo252) #1

Hej, mam firmę w której stoi serwer z SQL (system sprzedażowy), powstaje oddział i zdalnie trzeba będzie połączyć się z bazą , Windows Server i RDP do siedziby - to byłoby najlepsze rozwiązanie, ale póki co finansowo wychodzi za drogo.
Więc chce zestawić VPN i po wewnętrznych adresach połączyć klienta do bazy.
Robiłem kiedyś vpn na routerach tp-linka (srednio to chodziło, często trzeba było restartować router), poza tym biznesówki od tp-linka są dość drogie. Chce to zestawić na Mikrotikach.
Tylko jak to najszybciej ugryźć , L2TP + IPSEC i Site to site (nie wiem wtedy jak z adresacją wewnętrzną, są też chyba problemy gdy dostawca ma adresację za NAT’em 1:1 public adres ale od strony klienta podaje wewnętrzną adresacje)
czy zrobić zwykłego L2TP - Klient (router w drugim oddziale) - Serwer (router w głównym oddziale)
Ktoś doświadczenie w temacie VPN na MT doradzicie?

(roobal) #2

Wynegocjuj jednak kasę na RDS. VPN do SQL to zly pomysł, zerwie Ci sesje i baza może się rozjechać.

(przemo252) #3

Nie ma szans, w tym momencie SQL stoi na zwykłym PC (Windows 10) , kupno serwera, licencji, i CAL’i na tym etapie zupełnie nie wchodzi w grę. Jeśli dobrze cię rozumiem to znaczy że nawet jeśli w drugim oddziale (klient) zerwie sesje to baza główna w firmie może się rozjechać? :wink: nie strasz mnie, backupy bazy robią się codziennie, w najgorszym wypadku będziemy odzyskiwać :smiley:

(roobal) #4

Po jednym razie, czy dwóch nie, ale kilka transakcji może szlag trafić.

Bazę masz w modelu simple czy full recovery? Rozumiem, że to MSSQL?

Pewniejszy jest IPSec i lepiej sprawdza się do site to site, L2TP potrafi zrywać sesję.

Pytanie też jak krytyczne to są dane. Backup robisz codziennie, okej ale to ryzyko bierzesz na siebie czy właściciel? Czy firma jest w stanie pracować z jednodniową dziurą w bazie? Często utrata danych jest tak bolesna, że backup robi się co godzinę.

(przemo252) #5

Robie full recovery całej bazy , używam programu który automatycznie robi backup. Więc jak coś się wysypie mam dniami zarchiwizowane całe bazy. Jest to kopia pełna codziennie.
Jest to MSSQL, kiedyś korzystałem z VPN program był podpięty pod bazę MySQL i nie miałem żadnych problemów. Jeśli dobrze cię rozumiem to jakieś niefortunne zerwania mogą uszkodzić całą bazę?
Pewniejsze IPSec site to site ale tak jak mówiłem będzie problem z proviaderem żeby to spiąć a czy IPSec sam w sobie jest VPN’em? myślałem że połączenie zestawiam L2TP (też może być site to site) a IPSec to dodatek aby zaszyfrować dane połączenie.

(roobal) #6

IPSec szyfruje pakiety, więc jest VPN. L2TP to protokół VPN, który może wspomagać się IPSeciem.

Jesli ISP blokuje IPSec, to L2TP też nie zadziała.

Co do backupu. Upewnij się, że program robi też kopię plików LOG, bo przy full recovery bez logów backup jest do niczego. Chociaż pewnie robi do jakiegoś własnego formatu?

(przemo252) #7

No właśnie L2TP działa (dzisiaj testowałem), Klient - Serwer łączy się bezproblemowo, natomiast jak dodam IPSEC już jest problem, provaider po stronie klienta ma adresację w sieci wewnętrzną (inaczej mówiąc przy połączeniu pppoe nie jest od razu przydzielony adres publiczny tylko wewnętrzny) a dopiero na wyjściu z ich głównego routera jest przerzucony na zewnętrzny) IPSEC jak nie widzi od razu publica to nie przejdzie. Program robi backup bazy z rozszerzeniem .bac :wink:

(roobal) #8

Możliwe, że masz netmap (NAT 1:1). W takim razie pozostaje Ci zestawić OVPN lub SSTP.

(przemo252) #9

Dokładnie tak to wygląda, ale L2TP na Klient - Serwer mimo (NAT1:1) spina mi się poprawnie, problem jest gdy chcę do tego dodać ipsec’a lub gdy chce zrobić samego ipsec’a , w tym wypadku OVPN lub SSTP w czym będzie lepsze od L2TP?
Zasiałeś we mnie ziarenko niepokoju co do tej bazy SQL i ryzyku jej wysypania :slight_smile: ale na ta chwile nie mam innego rozwizania budżet zamknął się na 2 stówkach (mikrotiki) , a nie na serwerze + oprogramowaniu WS Server + Cale, :frowning:

(roobal) #10

IPSec nie lubi się z NAT. Roznica jest taka, że samo L2TP jest biedne i nie szyfruje ruchu. OVPN i SSTP to tzw. SSL VPN, działają w wyższej warstwie, a SSL/TLS zapewnia szyfrowanie transmisji. IPSec szyfruje pakiety na 3 warstwie OSI.

Jeśli jeden z oddziałów ma publiczne IP bez NAT, to możesz spiąć oba MT na zasadzie remote access. Jeden jest serwerem, drugi klientem.

1 Like
(przemo252) #11

Od dwóch dni testuje (klient - serwer) L2TP + IPSEC, ani jednego zerwania przez ten czas, więc wygląda to obiecująco. Zastanawia się co będzie gdy trzeba będzie podpiąć kolejny oddział, czy da się zrobić (2xklient-serwer), póki co mam inny problem do rozwiązania w firmie i oddziale mam wewnętrzną adresację taka samą i zastanawiam się czy zmienić adresacje w oddziale na inną czy włączyć DHCP w firmie i zrobić tak aby router z firmy przydzielał adresację do oddziału i tym “zarządzał” :wink: ktoś podobne rozwiązanie stosuje? co proponujecie? :wink:

(roobal) #12

L2TP nowy klient, nowy poswiadczenia. Serwer może być jeden.

Co do adresacji, może być problem. Możesz zawsze wykorzystać EoIP po zestawieniu L2TP, wtedy masz adresację z głównego oddzialu, adresacji w pozostałych oddziałach nie ustawiasz po stronie MT.

Dlatego logikę planuje się z wyprzedzeniem.

(m4s) #13

Skoro masz zestawione połączenie VPN, to dłaczego zamiast drogiego RDS nie użyć darmowego odpowiednika typu VNC?
Baza zostaje na zdalnym- brak ryzyka zjechania bazy.

(roobal) #14

Musiałby odpalić kilka sesji VNC, trochę upierdliwe, ale to też jakiś pomysł. Chociaż i tak jeden użytkownik będzie mógł się zalogować.

(m4s) #15

Ale czemu upierdliwe?
VNC zabiera mało transferu - nawet dla kilkunastu użytkowników, a ciągnąć cała bazę to już duże ryzyko

(roobal) #16

I tak to nie WS, więc i tak tylko jeden użytkownik może pracować na pulpicie zdalnym, bo wiecej, niż jeden do systemu i tak się nie zaloguje, nawet, gdy uruchomić 10 sesji VNC.

Jak pisałem, zawsze to lepsze rozwiazanie, niż SQLoVPN.

(m4s) #17

Można to też brzydko rozegrać. Stawia np. 3 komputery lokalnie i tam działa każda końcówka osobno.
Albo zainstalować serwer pulpitu zdalnego-jest do tego odpowiednio sprytna aplikacja.

(roobal) #18

Generalnie to można wszystko, trzeba odpowiedzieć sobie tylko na ważne pytanie - “Jestem Januszem i kombinuję, czy robię to profesjonalnie?” :wink:

(m4s) #19

Ten magiczny program do pulpitu zdalnego rewelacja.
RDP Wrapper

(przemo252) #20

Może byśmy to podsumowali :smiley: jeśli dobrze rozumiem VNC działa na zasadzie zdalnego pulpitu w sposób podobny do Teamviewer czyli pracując na zdalnym pulpicie, praca na ekranie, ruchy myszką itd są wykonywane na komputerze przez co jest on dla drugiej osoby która pracuje lokalnie nie do użytku ? Postawienie 3 komputerów i działanie w ten sposób to się mija z celem bo za takie pieniądze (komputery + oprogramowanie) to można kupić WS i Cal’e RDP.
Bierzmy też pod uwagę że na komputerze w oddziale będzie podpięta drukarka fiskalna, wiem ze w przypadku Windowsowskim RDP nie ma z tym problemu, ale przy jakiś VNC niekoniecznie może się to zgadzać. Moja baza SQL ma około 1GB , mówicie że SQL + VPN to niezbyt dobre rozwiązanie. Zastanawia mnie jakie rozwiązania stosują duże korporacje które najczęściej mają serwery z bazami danych scentralizowane w jednym miejscu a oddziałów np. 300 czy każdy użytkownik w oddziałach pracuje na RDP ? a nie są spięci VPN’nami???.