Cześć, potrzebuję porady dotyczącej konfiguracji (i zakupu) dwóch routerów do połączenia siecią VPN ze sobą.
Zacząłem drążyć temat i trochę się zgubiłem co konkretnie potrzebuję.
Zacznę od podstawowych informacji
W siedzibie głównej firmy mamy jakiś modem światłowodowy nokia, który idzie do routera głównego Archer A7, z którego później po switchach i access pointach łączymy wszystkie urządzenia w firmie - komputery, drukarki, skanery etc. Mamy tutaj stałe IP
W tej lokalizacji stoi serwer firmowy, z naszym programem RP do którego łączymy się z komputerów i skanerów.
Otworzyliśmy drugą filię i zamierzamy skonfigurować tam sieć aby komputery i skanery działały tam z dostępem do serwera w lokalizacji 1.
Wcześniej rozwiązałem to poprzez włączenie OpenVPN na routerze Archer A7, a w domach lub w 2 filii ludzie łączyli się z PC poprzez OpenVPN mając plik z certyfikatem.
Nie da się tego jednak przenieść do skanerów + rozwiązanie było bardzo wolne, a dostałem informacje że da się to zrobić poprzez złączenie dwóch routerów po VPN.
Z tego co czytam to Archer A7 nie wspiera IPSec VPN Tunnel, a chyba ta funkcja jest potrzebna do takiej konfiguracji (ale czy tylko ta?). Jakie routery kupić i czy ktoś może coś doradzić w kwestii połączenia?
Najlepiej tunel IPSec i najprościej na MikroTikach. Jak chcesz router z WiFi, to w zasadzie tylko model hAP ac3 przychodzi mi do głowy ale ludzie piszą, że z zasięgiem jest tak sobie. Jak masz osobno access pointy i wystarczy router ethernet, to RB4011iGS+. Takie używam cztery, uruchomiony tunel IPSec do urządzenia Fortigate, działa bez problemu. Wiadomo, to nie jest sprzęt do konfiguracji w 5 minut i trzeba się trochę podoktoryzować, ale jak się już wie co i jak, to naprawdę możliwości są spore.
Rozwiązanie darmowe, możesz skonfigurować na routerze, zainstalować aplikację kliencką na telefonie czy też komputerze z Linuxem czy Windowsem.
Można to odpalić na NAS-ach: Synology, QNAP czy WD Cloud.
Jeśli masz jakieś środowisko wirtualne możesz tam popróbować.
Możesz również przetestować to rozwiązanie na jakichś routerach (starych lub nie) z alternatywnym oprogramowaniem - na OpenWRT konfiguracja jest banalna, tomato i ASUSwrt odradzam (nie jestem jakimś guru ale „trochę” sobie radzę i pomimo różnych konfiguracji softu i przeróżnych ustawień poległem bo wg wszystkich powinno działać a nie działało).
PS.
ZeroTier nie wymaga jakiegoś wypasionego procesora, spokojnie wystarczy stary sprawdzony Linksys-WRT54, Raspberry Pi czy też jakiś router na który są dostępne aktualne wersje oprogramowania (zawsze to trochę bezpieczniej mieć aktualny soft)
Sieć możesz oprzeć na Mikrotikach, tak wspominał kolega wyżej. Jednak zamiast RB4011, szedłbym już w RB5009. Z tym doktoryzowaniem się, to trochę przesada, ale fakt, trzeba wiedzieć co się robi. IPSeca stawia się bardzo prosto, a Wireguard jeszcze prościej. Do wyboru masz praktycznie wszystkie technologie VPN - SSTP, OVPN, IPSec, L2TP czy Wireguard.
Co do zasięgu Wifi, nie zauważyłem nigdy problemu. Może problemem jest to, że większość zostawia domyślne ustawienia
Ja osobiście preferuję IPSec, jest dla mnie najwygodniejszy - nie trzeba grzebać w routingach, firewallu.
Udało mi się skonfigurować takie połączenie przez IPSec pomiędzy dwoma routerami ER605 ale mam problem z dostępem do dysku na serwerze.
W lokalizacji 1 na serwerze (windowsowy) mamy odpalone udostępnianie plików, które wszystkie komputery widzą i mają wspólny dostęp.
Niestety po połączeniu IPSec nie widzę tych lokalizacji sieciowych - działa jedynie program RP i pozwala się pingować nawzajem pomiędzy 2 lokalizacjami, a w ustawieniach routera widzę że ustanowił się tunel, ale nie mam możliwości korzystania z zasobów na serwerze lub połączenia się w ten sposób z drukarami pomiędzy tymi lokalizacjami.
Firewall raczej nie jest problemem w obydwóch przypadkach posprawdzałem obydwa routery i serwer.
Jakie polityki IPSec mogą przeszkadzać i gdzie je posprawdzać?
I co to reguły noNAT, bo ciężko mi coś w google znaleźć.
Chodzi o firewall Windows. Co do regułów noNAT, chodzi o to, że pakiety między podsieciami nie mogą przechodzić przez NAT. Poczytaj najpierw jak działa IPSec, bo jeśli nie wiesz jak on działa, nigdy tego nie zrozumiesz.