מחפש נתב ביתי שיודע להקים חיבור VPN S2S

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Itsik (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 429
הצטרף: דצמבר 2005
מיקום: רמה"ג
נתן תודות: 44 פעמים
קיבל תודות: 34 פעמים

מחפש נתב ביתי שיודע להקים חיבור VPN S2S

נושא שלא נקרא #1 

היי,

עובר לבית חדש ביישוב מרוחק ממקום עבודתי בת"א מה שיביא לצורך בעבודה מהבית בחלק מימות השבוע.

בכדי להקל, אני רוצה לרכוש נתב שיתמוך בהקמת VPN בתצורת Site-toSite לפיירוול שיש בעבודה של Fortigate.

המודם והתשתית יהיו ככל הנראה של בזק, על הWIFI אמונה מערכת VELOP של לינקסיס.

אין באמת תקציב מוגדר, לא חושב שצריך משהו בסדר גודל של אנטרפרייז.
בבית יהיה גם סוויץ' מנוהל(שיספוג את תעבורת הרשת הפנימית), מצלמות, בית חכם(ZWAVE), ממירים, מגברים ועוד כל מיני צרכני רשת.

תודה
איציק.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #2 

אפשר לעשות כל דבר, מנתב ביתי בגרוש וחצי כזה למשל:
TP-Link Archer C7 AC1750 Dual Band Gigabit 1750Mbps
שמריץ את OPENWRT , שיכול כבר להקים ערוץ IPsec Site-to-Site עד ל Fortigate כך לצורך הדוגמה:
https://openwrt.org/docs/guide-user/ser ... /site2site
ועד למערכת X64 משובצת שמריצה את PFSense . אבל צריך לקחת בחשבון כמה נקודות. והן, אחת שקו ביתי של בזק זה רוחב פס ל VPN של עד 2.5M, דבר שהיום טיפה לא שמיש לכלום. ודבר השני, הוא ש Fortigate זה צרה צרורה ואפילו יותר גרוע מנתב ביתי ההוא של שקל וחצי, כך שהוא גם יהיה נקודת חולשה. וכמובן את הנקודה ש IPsec בסביבה של חיבור DSL ביתי יהיה לא כל כך יציב.

Itsik (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 429
הצטרף: דצמבר 2005
מיקום: רמה"ג
נתן תודות: 44 פעמים
קיבל תודות: 34 פעמים

נושא שלא נקרא #3 

תודה על התשובה המנומקת.

אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.

לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?

ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP.
איציק.

PayneBack3
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 419
הצטרף: פברואר 2011
נתן תודות: 90 פעמים
קיבל תודות: 47 פעמים

נושא שלא נקרא #4 

היי,

אתה מבין שאתה פורץ את מקום העבודה ?
מקום העבודה יהיה חשוף לכל מה שיש אצלך בבית, כמובן תלוי בחוקים שתעשה..

Itsik (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 429
הצטרף: דצמבר 2005
מיקום: רמה"ג
נתן תודות: 44 פעמים
קיבל תודות: 34 פעמים

נושא שלא נקרא #5 

PayneBack3 כתב:היי,

אתה מבין שאתה פורץ את מקום העבודה ?
מקום העבודה יהיה חשוף לכל מה שיש אצלך בבית, כמובן תלוי בחוקים שתעשה..
...
בגלל זה יהיה סוויץ' מנוהל עם VLAN שאליו יהיה מחובר רק הנייד של העבודה שמשמש רק לצרכים אלו.
בגדול, זה לא שונה הרבה מצורת החיבור שלי ושל כל שאר העובדים היום שמתחברים עם קליינט של פורטי ברגע שמגיעים הביתה ומשאירים אותו פתוח עד הבוקר.
איציק.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #6 

Itsik כתב:תודה על התשובה המנומקת.

אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.

לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?

ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP.
...
·
על הנתב שיש לך ( WRT1900AC ) , באמת שעדיף יהיה להתקין את OpenWRT וזה גם פשוט יותר ולא צריך יהיה לרכוש נתב נוסף . לגבי היציבות, הוא כן ינסה להתחבר כל פעם שיתנתק, אבל בגלל האופי של הפרוטוקול של IPSEC ( שלא עובד על גבי פרוטוקול TCP ) , קיימות בעיות בקווים ביתיים שכל פעם שהחבילות הולכות לאבוד או מגיעות לא תקינות, זה בסופו של דבר גורם לבעיות תקשורת. גם בגלל ה jitter שקיים בקווים כאלה החבילות מגיעות בסדר לא נכון וב UDP למשל לא ניתן לתקן את זה. בקשר למהירות חיבור שלך. מה שצריך לעניין אותך זה הערוץ העולה שלך, שהוא עד 2.5M בקו בזק ביתי והוא זה שקובע במקרה של חיבור VPN, בגלל שלמשל, ברגע שאתה עובד במערכת ERP, אז אתה שולח את המידע בידיוק כמו שאתה מקבל אותה ואם מדובר על מערכת כמו priority למשל, שמשמשת בעסקים SMB זעירים, אז שם המימיש שלה כזה עקום עד שהרוחב פס שנדרש לה הוא לא היגיוני לסוג של השאילתות שרצות בין שרת ללקוח. גם ב SAP המצב לא בהרבה יותר טוב. ורוב הסיכויים שהמערכת ERP שאתה משתמש בה זה לא משהו כמו MEGA של חברה לאוטומצייה שפועלת במערכות של משרד הפנים. זו הסיבה שבתוך ערוץ VPN זה אולי כדאי יהיה לך עדיף להתחבר לשרת Terminal Server שבמשרד, כחיבור RDP ואחרי שמצמצמים את העומק צבע ב SESSION ומפעילים דחיסה אפשר יהיה לעבוד כבר.
גם אני מאוד מקווה שבמשרד רשת LAN לא מוגדרת על SUBNET כמו 192.168.1.0/24 , אלה על משהו יותר היגיוני. :lol:

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #7 

Itsik כתב:
...
...
בגלל זה יהיה סוויץ' מנוהל עם VLAN שאליו יהיה מחובר רק הנייד של העבודה שמשמש רק לצרכים אלו.
בגדול, זה לא שונה הרבה מצורת החיבור שלי ושל כל שאר העובדים היום שמתחברים עם קליינט של פורטי ברגע שמגיעים הביתה ומשאירים אותו פתוח עד הבוקר.
...
·
חיבור של VPN S2S הוא שונה לגמרי בתפיסה שלו מחיבור של מחשב בודד ב VPN ומצריך הגדרה של ניתוב תקין בשני הצדדים של החיבור ( גם בצד של fortinet וגם בצד של OpenWRT ). זה יכול להיות ניתוב סטטי, אם מדובר על מעט מסלולים וגם ניתוב דינמי, למשל OSPF , אם מדובר על רשת שיש בה שינויים או מורכבות כלשהיא. גם ב VPN S2S צריך לקחת בחשבון שתת רשת של האתר הרוחק היא ההמשך של LAN במרכז ובגלל זה נדרש גם להגדיר בהתאם את חוקי FIREWALL הנדרשים.

Itsik (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 429
הצטרף: דצמבר 2005
מיקום: רמה"ג
נתן תודות: 44 פעמים
קיבל תודות: 34 פעמים

נושא שלא נקרא #8 

sys_admin כתב:
...
...
·
על הנתב שיש לך ( WRT1900AC ) , באמת שעדיף יהיה להתקין את OpenWRT וזה גם פשוט יותר ולא צריך יהיה לרכוש נתב נוסף . לגבי היציבות, הוא כן ינסה להתחבר כל פעם שיתנתק, אבל בגלל האופי של הפרוטוקול של IPSEC ( שלא עובד על גבי פרוטוקול TCP ) , קיימות בעיות בקווים ביתיים שכל פעם שהחבילות הולכות לאבוד או מגיעות לא תקינות, זה בסופו של דבר גורם לבעיות תקשורת. גם בגלל ה jitter שקיים בקווים כאלה החבילות מגיעות בסדר לא נכון וב UDP למשל לא ניתן לתקן את זה. בקשר למהירות חיבור שלך. מה שצריך לעניין אותך זה הערוץ העולה שלך, שהוא עד 2.5M בקו בזק ביתי והוא זה שקובע במקרה של חיבור VPN, בגלל שלמשל, ברגע שאתה עובד במערכת ERP, אז אתה שולח את המידע בידיוק כמו שאתה מקבל אותה ואם מדובר על מערכת כמו priority למשל, שמשמשת בעסקים SMB זעירים, אז שם המימיש שלה כזה עקום עד שהרוחב פס שנדרש לה הוא לא היגיוני לסוג של השאילתות שרצות בין שרת ללקוח. גם ב SAP המצב לא בהרבה יותר טוב. ורוב הסיכויים שהמערכת ERP שאתה משתמש בה זה לא משהו כמו MEGA של חברה לאוטומצייה שפועלת במערכות של משרד הפנים. זו הסיבה שבתוך ערוץ VPN זה אולי כדאי יהיה לך עדיף להתחבר לשרת Terminal Server שבמשרד, כחיבור RDP ואחרי שמצמצמים את העומק צבע ב SESSION ומפעילים דחיסה אפשר יהיה לעבוד כבר.
גם אני מאוד מקווה שבמשרד רשת LAN לא מוגדרת על SUBNET כמו 192.168.1.0/24 , אלה על משהו יותר היגיוני. :lol:
...
זה נחמד שאתה מקווה, אבל זו בדיוק הסאבנט שמוגדרת בעבודה. בגלל שהיו בעיות בעבר אז שיניתי את הסאבנט הבייתי שלי ל192.168.2.0/24.

אכן משתמשים בפריוריטי, אבל מכיוון שאני פתוח לכל הפורטים והכוננים המשותפים בעבודה, אני יכול לבחור באם לעבור בממשק הוובי שלה או בקליינט המקומי. אגב היום אני מעדיף את הממשק הוובי מבחינת זמן תגובה, אבל כמובן שהוא לא מתקרב למהירות של הקליינט כשאני נמצא במקום העבודה.

ושוב תודה על ההסבר הממצה, החזרת אותי ללימודי הCCNP מעברי הרחוק וכיף להיזכר בזה.

עוד חודש וחצי בערך זה יגיע לידי יישום, אעדכן אז.
·
איציק.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #9 

דבר ראשון שממנו צריך להתחיל זה לשנות את הטווח כתובות ברשת LAN בעבודה דחוף למשהוא למשל כמו 192.168.20.0/24 . רק אחרי זה אפשר יהיה לההמשיך לחשוב על חיבורי VPN כלשהם ולא רק S2S , אלה גם אפילו כ vpn road warrior . בנוסף, בקשר לחיבור לפריוריטי, אז הבעיה היא אפילו לא המהירות, אלה האפשרות הסבירה של זיהום של ה DATABASE בגלל השגיאות שנוצרות מחיבור לא רציף. ( פריוריטי כמערכת לא יודעת להתמודד עם תופעות כאלה. ועבודה מתוך שרת TS פותרת גם את הבעיה זו וגם את הבעיה של המהירות ) .

Itsik (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 429
הצטרף: דצמבר 2005
מיקום: רמה"ג
נתן תודות: 44 פעמים
קיבל תודות: 34 פעמים

נושא שלא נקרא #10 

יש גם שרת TS חדש שנרכש לאחרונה, אבדוק גם את אפשרות העבודה דרכו.

מה הבעיה בעצם עם טווח הכתובות הנוכחי? היום יש כ15 משתמשים לפחות שמתחברים מבתיהם עם VPN רגיל והכל עובד תקין לכולם.
איציק.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #11 

הבעיה בטווח כתובות הנוכחי בזב שזה הטווח הדיפולטי של כל ציוד רשת ביתי, דבר שגורם לבעיות התנגשות ברגע שנדרש לחבר משתמשים מרוחקים לרשת שמתחברים מרשתות ביתיות אחרות. זו גם הסיבה שגם בבית דבר ראשון שמבצעים שמחברים נתב חדש, זה את השינוי של טווח כתובות למשהו שלא יתנגש עם הטווחים הדיפולטיביים. ולכולם הכל עובד עד שלא נתקלים בתופעות לא מובנות ולא מוזהות, שאפשר הייה למנוע אותן מראש בפעולות פשוטות.

Nissim
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2673
הצטרף: מאי 2005
נתן תודות: 125 פעמים
קיבל תודות: 54 פעמים

נושא שלא נקרא #12 

למה לא להתקין את ה VPN על המחשב שלך?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #13 

Nissim כתב:למה לא להתקין את ה VPN על המחשב שלך?
...
·
חיבור של VPN S2S , נותן אפשרויות אחרות לגמרי למי שצריך אותן. למשל ניתן להדפיס ישירות למדפסת בבית מהמשרד, להשתמש בבית בשלוחה של טלפון מהמשרד, שמחובר למרכזייה ארגונית, מהמשרד לגשת לקבצים ולמחשב שנמצא בבית וכו' וכו' וכו'. כל האפשרויות אלה לא זמינות בצורה ישירה ופשוטה למי שמתחבר ב VPN סתם. בקיצור כך יוצרים בבית המשך של רשת מקמומית של הארגון.

PayneBack3
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 419
הצטרף: פברואר 2011
נתן תודות: 90 פעמים
קיבל תודות: 47 פעמים

נושא שלא נקרא #14 

@sys_admin
·
SSLVPN + Split Tunnel נותן את כל מה שציינת בחיבור עם VPN Client,או שאני מפספס משהו ?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #15 

PayneBack3 כתב:@sys_admin
·
SSLVPN + Split Tunnel נותן את כל מה שציינת בחיבור עם VPN Client,או שאני מפספס משהו ?
...
·
כן אתה מפספס משהו. אנסה להסביר על מה מדובר. Split tunneling זה מצב שבו רק התקשורת מסוימת, למשל לרשת פרטית מנותבת ועוברת בתוך ערוץ VPN ותקשורת לאינטרנט מנותבת ועוברת מחוצה לו. כך ניתן לחסוך ברוחב פס, אבל צריך גם להבין שכך ניתן גם לפספס את אחד המשימות של VPN וזה יציאה לאינטרנט דרך חיבור מבוקר בארגון, או בחו'ל יציאה דרך חיבור ישראלי, או הגנה של חיבור לאינטרנט בזמן החיבור מתוך רשתות ציבוריות ( מתוך בתי מלון, קפה וכו' ). Split tunneling מן הסתם שלא נותן את אפשרות של חיבור בין רשתות, שהיא נושא המדובר בדיון זה ובידיוק זה מה ש Site To Site מאפשר. Split tunneling יכול רק להשלים את המשימה של S2S במקרה שלא נדרש שהתקשורת לאינטרנט תעבור בתוך ערוץ VPN.
גם SSLVPN לא קשור לנושא. SSLVPN זו אחת האפשרויות של מימוש של ערוץ VPN, אבל זה לא קשור לניתוב בין רשתות משנה ולא מחייב חיבור של S2S. למשל OPENVPN משתמש ב SSLVPN וכבר אחרי שמשתמשים בפרוטוקול זה ניתן לממש את תפיסה של Site To Site VPN . גם כדאי לקחת בחשבון שאת הפורטינט שעליו מדבר הדיון לא ניתן לקשר לנתב אחר על ידי SSL VPN , בגלל שהוא לא תומך בשום פרוטוקול פתוח עם תמיכה של SSLVPN. מצד שני, בין שני נתבים על בסיס של OpenWRT , כן ניתן ליצור חיבור SSL VPN , והשימוש לזה יהיה ב OpenVPN .

צירפתי תרשים פשוט שמדגים את Split tunneling.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”