Какую технологию VPN выбрать? Поделитесь опытом

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
xanter141
Сообщения: 58
Зарегистрирован: 25 июл 2020, 11:40

Коллеги, я размышляю над тем какую технологию выбрать для VPN подключения. Хочу подключить 5 своих филиалов в единую сеть, но есть проблема в том что во всех филиалах сеть 192.168.1.0/24 на hAP lite -ах. Я подумал что правильным решением будет арендовать VPS сервер , загрузить на него ROS и использовать его как VPN сервер


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

xanter141 писал(а): 23 июл 2021, 12:25 Я подумал что правильным решением будет
Составить ТЗ, для начала.
Потом сменить адресацию на филиалах или убрать пересечения.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Абсолютно рабочее решение, но адресацию в сетях лучше все-таки поменять.

Впрочем возможно и вместе с hAP lite'ами - много трафика через шифрованные туннели они не вытянут.


Telegram: @thexvo
xanter141
Сообщения: 58
Зарегистрирован: 25 июл 2020, 11:40

Ca6ko писал(а): 23 июл 2021, 12:35
xanter141 писал(а): 23 июл 2021, 12:25 Я подумал что правильным решением будет
Составить ТЗ, для начала.
Потом сменить адресацию на филиалах или убрать пересечения.
Это моя инициатива для контроля над устройствами, и по моему замыслу отказаться от множества белых ip для хождения по rdp и серверами видеонаблюдения


xanter141
Сообщения: 58
Зарегистрирован: 25 июл 2020, 11:40

xvo писал(а): 23 июл 2021, 12:38 Абсолютно рабочее решение, но адресацию в сетях лучше все-таки поменять.

Впрочем возможно и вместе с hAP lite'ами - много трафика через шифрованные туннели они не вытянут.
Я хочу поменять адресацию на 10.1.1.0/16
и для каждой сети 10.1.2(и тд).0/16


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

xanter141 писал(а): 23 июл 2021, 12:43 Я хочу поменять адресацию на 10.1.1.0/16
и для каждой сети 10.1.2(и тд).0/16
Только для каждой сети все равно будет 10.1.2(и тд).0/24
Это же все-таки отдельные сети, и между ними не будет связи на L2.

Вернее так, можно сделать доступ и на L2, но оно вам не надо от слова совсем.


Telegram: @thexvo
xanter141
Сообщения: 58
Зарегистрирован: 25 июл 2020, 11:40

xvo писал(а): 23 июл 2021, 12:49
xanter141 писал(а): 23 июл 2021, 12:43 Я хочу поменять адресацию на 10.1.1.0/16
и для каждой сети 10.1.2(и тд).0/16
Только для каждой сети все равно будет 10.1.2(и тд).0/24
Это же все-таки отдельные сети, и между ними не будет связи на L2.

Вернее так, можно сделать доступ и на L2, но оно вам не надо от слова совсем.
А если я сделаю 0/24 то как я буду видеть из одной сети другую ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

xanter141 писал(а): 23 июл 2021, 12:52 А если я сделаю 0/24 то как я буду видеть из одной сети другую ?
А зачем вам её "видеть"?
Доступа по IP не достаточно?


Telegram: @thexvo
xanter141
Сообщения: 58
Зарегистрирован: 25 июл 2020, 11:40

xvo писал(а): 23 июл 2021, 13:14
xanter141 писал(а): 23 июл 2021, 12:52 А если я сделаю 0/24 то как я буду видеть из одной сети другую ?
А зачем вам её "видеть"?
Доступа по IP не достаточно?
Кажется понял. Я ошибочно думал что если у подсети маска /24 то к устройствам этой подсети из другой не подключишься


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

1)Я бы выбрал ipsec. Ваши микротики аппаратное шифрование вроде не поддерживают, но если будете менять, то микротики вроде только ipsec поддерживают аппаратно.
2)самый простой вариант соединения: ipsec каждый филиал с каждым. Ну да, 4+3+2+1=10 соединений... но растиражировать настройки не сложно, зато не будет единой точки отказа.
3)чуть сложнее GRE over ipsec. Это даст свободу маршрутизации если что.
4)вариант для интересу. wireguard. Доступен только в бете ROS7, но как протокол вроде его хвалят. Сам не пробовал.


Ответить