Parę lat temu znajomy poprosił mnie o pomoc przy uruchomieniu dostępu zdalnego do komputerów w jego firmie (malutka organizacja, 5 czy 6 komputerów) przez otwarcie portu na routerze dla Pulpitu zdalnego i przekierowanie na właściwego kompa. Dość szybko wybiłem mu z głowy ten pomysł (otwarty port RDP na publicznym IP) więc po kosztach jako alternatywę na szybko skleciliśmy serwer VPN na Raspberry Pi posiłkując się poradnikiem który swego czasu przygotował @edmun - Raspberry Pi jako serwer VPN za który zresztą bardzo przy okazji dziękuję Rozwiązanie zaprojektowane jako doraźne, tymczasowe i trochę jednak prowizoryczne sprawdziło się świetnie, a jak wybuchła pandemia to w ogóle dało to możliwość pracy.
Czas jednak nieubłaganie mija i dotychczasowy router który tam siedzi (MR3420 bodajże) powoli chyba zaczyna siadać i trzeba będzie go wymienić. Widzę, że coraz więcej routerów dedykowanych do domu czy właśnie małych firm ma możliwość działania VPNa. Czy orientujecie się może czy i w jakim sprzęcie byłaby możliwość przeniesienia dotychczasowej konfiguracji OpenVPNa tak żeby działało to jak do tej pory (dostęp z zewnątrz przez publiczny IP do serwera VPN który otwiera dostęp do reszty sieci)? Czy obsługa VPN w takich routerach raczej tyczy się logowania do innego, istniejącego serwera VPN zewnętrznego podmiotu np. w celu obejścia ograniczeń lokalizacyjnych użytkownika?
Wręcz przeciwnie, jest wszystko dostępne, jest sporo dokumentacji, a dzięki spójności systemu na wszystkich urządzeniach jest bardzo dużo tutoriali i osób, które mogą udzielić pomocy. O takich sprawach jak aktualizacje i możliwość zgłoszenia problemu, który może zostać naprawiony w kolejnych aktualizacjach nawet nie wspominając.
Testowałem swego czasu HAP ac lite. Połączenie było możliwe wyłącznie przez ten ich śmieszny program-konfigurator, wifi po konfiguracji nie działało, prędkości jakieś śmieszne. Kupiłem je żeby wykrzesać maksimum z przepustowości połączenia na linii aparat - komputer to tethered shootingu. W rezultacie straciłem parę godzin na kolejne nieudane próby ustawienia czegokolwiek żeby to zaczęło działać. Ostatecznie drugą próbę zrobiłem przy okazji lan party. Wszyscy podpięci przez LAN + switch żeby nie ruszać wifi. Myślisz że było lepiej? Chyba godzinę straciliśmy na próbę skonfigurowania czegokolwiek (admin panel webowy przestał reagować) aż w końcu wytargałem jakiś router z Cyfrowego Polsatu i poszło bez zająknięcia. Może miałem uszkodzoną sztukę, nie wiem, nie wnikam. Nie mam zamiaru tykać tych urządzeń dlatego jak Mikrotik zostanie jedyną opcją to i tak z niej nie skorzystam i najwyżej zostanę przy prowizorce z Raspberry
Powiem ci tak, mam setki Mikrotików w różnych firmach i lokacjach, a także sprzedanych i ustawianych klientom, wszystko działa bez zająknięcia, a konfiguracja jest trywialna. Aczkolwiek, fakt, trzeba mieć jakieś pojęcie o tym co się robi. hAP ac lite ma łącza lan 100Mbps. Konfiguruje się zarówno przez przeglądarkę, standardowy adres 192.168.88.1 i taki zakres należy ustawić ręcznie dla karty LAN, albo przez WINBOX, który nie wymaga ustawiania czegokolwiek, bo potrafi znaleźć sprzęt w sieci nawet bez ustawiania adresów IP. Można też łączyć się przez SSH i również działa to znakomicie.
Prawdopodobnie po prostu nie włączyłeś serwera DHCP, i dlatego nie mogłeś się połączyć, a nie jest on włączony bo jak podłączysz do istniejącej sieci urządzenie z działającym serwerem DHCP to zrobisz trochę Bangladesz, wygodniej jest po prostu włączyć, gdy jest taka potrzeba.
Skoro to sieć w firmie, to uważam, że konfigurowanie tego i zabezpieczanie powinna zrobić osoba, która ma odpowiednie kompetencje. Przecież koszty wycieku danych, czy włamania będą wielokrotnie wyższe niż koszt konfiguracji sprzętu. Sugeruję zrobić zlecenie z podanym zakresem wymagań i poszukać wykonawcy.
Tak, widziałem taką „kompetentną” firmę w akcji. Konfigurowali serwer Della na której stawiali oprogramowanie sprzedażowe, bazę danych, migrowali dane z istniejącego systemu. Żeby ułatwić sobie dostęp, otworzyli RDP na świat. User: Administrator. Password: P@$$w0rd
Chyba nawet 3 dni nie minęły jak serwer był zaszyfrowany jakimś cryptolockerem. Cud że to się po sieci nie rozniosło bo by dopiero były straty. Oczywiście wszystkiego się potem wyparli No ale autoryzowana i doświadczona ekipa to przecież się zna
Generalnie rzecz biorąc w tym przypadku chodzi raczej tylko o podmianę sprzętu na nowszy. Jak trzeba będzie do tego wplatać kolejnych podwykonawców a potem im płacić przy każdej zmianie (ot, choćby dodanie nowego MAC adresu do whitelisty dostępowej czy wygenerowanie kolejnego konta użytkownika do OpenVPN) no to ekonomicznie to się nie zepnie. Zauważ zresztą, że dostęp „od zewnątrz” do routerów nawet klasy domowej nie jest wektorem ataku, bo to taka podstawowa podstawa. Najczęściej jakieś infekcje zaczynają się od faktura.pdf.exe i na głupotę użytkownika żaden router nie pomoże bo to nie jego kompetencje
Wystarczy konto użytkownika bez praw administratora, co jest przecież oczywiste w firmie.
Kompetentna firma sporządza dokumentacje po wykonaniu usługi. Zresztą zakres odpowiedzialności i tego co się wykonuje zawiera zwykle umowa. W końcu to zlecający stawia jakieś warunki i to kwestia tego, czy znajdzie wykonawcę.
Wracając do tamtego MikroTika, myślę, że zwyczajnie nie odpaliłeś DHCP i stąd jazda, bo tam domyślnie jest wyłączony.
Być może, po prostu bardzo mocno się na tym rozwiązaniu przejechałem. Widocznie próg wejścia za wysoki Co nie zmienia mojej indywidualnej awersji do tej firmy
Ten Draytek wygląda bardzo obiecująco, tym bardziej, że widzę go też w wersji z 802.11ax
Niezły żart, nie ma co
Może „Quick Set” pasuje do tej tezy, ale wtedy to już lepiej kupić zwykły sprzęt od TP-Linka czy innego Drayteka. Niedoświadczona osoba może coś przypadkiem kliknąć i sprzęt przestanie działać, z innymi routerami ryzyko jest mniejsze.
Wystarczy znać podstawy. Na dodatek jest tyle opisów krok po kroku, jak do żadnego innego sprzętu.
Nie, bo po dwóch latach mamy stary sprzęt, bez aktualizacji, dziurawy jak szwajcarski ser. Na dodatek jeśli coś potrzebujemy, to zawsze możemy komuś zapłacić, żeby to zrobił i cieszyć się dodatkową funkcjonalnością jaką potrzebujemy.
mikrotik ma najmniej intuicyjną konfigurację z tej trójki.
Testowałem swego czasu HAP ac lite. Połączenie było możliwe wyłącznie przez ten ich śmieszny program-konfigurator,
Domyślnie włączony jest dostęp po HTTP i przez program Winbox, opcjonalnie można sobie włączyć np. HTTPS zamiast HTTP. Więc to co piszesz trochę nie zgadza się z rzeczywistością.
Tak szczerze mówiąc, gdybym wiedział że kilka miesięcy poźniej pojawi się coś takiego jak PiVPN, to bym nigdy nie pisał takiego poradnika.
Poradnik ten w dzisiejszych czasach jest mocno „outdated” więc polecam jednak sprawdzić PiVPN który instaluje się bardzo szybko i ma gotowe pliki konfiguracyjne.
Taki PiVPN zbytnio niczego nie uczy (w porównaniu do własnego ustawiania serwera OpenVPN) więc dla każdego coś dobrego
Przy okazji. Pamiętam że te wiele lat temu za ten artykuł dostałem nagrodę za wpis miesiąca (wybrałem GoPro)
Tymże GoPro nagrałem kilka filmików, wrzuciłem na YT i jeden z nich dobił 4-ech milionów wyświetleń
Co do routerów. Drayteki zazwyczaj zadziałają, choć pamiętam jak klnąłem jak kiedyś sobie jakieś sprawiłem bo lubił się sypać na potęgę. Co dziwne w pracy mam ich pod „sobą” chyba z 40 i działają poprawnie.
Alternatywą może być np. Sonicwall.
Routerów Huawei (tych nowych) nie polecam. Sprawiłem tego super nowego (jak na tamte czasy) z Wi-Fi 6 i nie mogę się nadziwić jak niektóre sprzęty są uwstecznione jeśli chodzi o ich konfigurację.
Do tej listy dopisałbym IPFire - łatwa konfiguracja openVPN (również IPsec) a od wersji 169, będzie można dodatkowo zabezpieczyć połączenia openVPN przy pomocy TOTP.
Natomiast, w Mikrotiku pojawił się Wireguard, budzący chyba coraz większe zainteresowanie, jako prostszy do skonfigurowania od openVPN.
Rozwiązanie zaprojektowane jako doraźne, tymczasowe i trochę jednak prowizoryczne sprawdziło się świetnie, a jak wybuchła pandemia to w ogóle dało to możliwość pracy.
