מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



מחפש נתב ביתי שיודע להקים חיבור VPN S2S


עמוד 1 מתוך 2
עבור לעמוד  1  |  2  |  הבא 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
Itsik (איציק)
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Dec 14, 2005

מיקום: מזכרת בתיה
הבעות תודה: 34
מספר הודעות: 416

 #1  נשלח: א' 16/06/2019 20:20
מחפש נתב ביתי שיודע להקים חיבור VPN S2S

היי,

עובר לבית חדש ביישוב מרוחק ממקום עבודתי בת"א מה שיביא לצורך בעבודה מהבית בחלק מימות השבוע.

בכדי להקל, אני רוצה לרכוש נתב שיתמוך בהקמת VPN בתצורת Site-toSite לפיירוול שיש בעבודה של Fortigate.

המודם והתשתית יהיו ככל הנראה של בזק, על הWIFI אמונה מערכת VELOP של לינקסיס.

אין באמת תקציב מוגדר, לא חושב שצריך משהו בסדר גודל של אנטרפרייז.
בבית יהיה גם סוויץ' מנוהל(שיספוג את תעבורת הרשת הפנימית), מצלמות, בית חכם(ZWAVE), ממירים, מגברים ועוד כל מיני צרכני רשת.

תודה

_________________
איציק.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #2  נשלח: א' 16/06/2019 21:31

אפשר לעשות כל דבר, מנתב ביתי בגרוש וחצי כזה למשל:
TP-Link Archer C7 AC1750 Dual Band Gigabit 1750Mbps
שמריץ את OPENWRT , שיכול כבר להקים ערוץ IPsec Site-to-Site עד ל Fortigate כך לצורך הדוגמה:
https://openwrt.org/docs/guide-user/services/vpn/i...
ועד למערכת X64 משובצת שמריצה את PFSense . אבל צריך לקחת בחשבון כמה נקודות. והן, אחת שקו ביתי של בזק זה רוחב פס ל VPN של עד 2.5M, דבר שהיום טיפה לא שמיש לכלום. ודבר השני, הוא ש Fortigate זה צרה צרורה ואפילו יותר גרוע מנתב ביתי ההוא של שקל וחצי, כך שהוא גם יהיה נקודת חולשה. וכמובן את הנקודה ש IPsec בסביבה של חיבור DSL ביתי יהיה לא כל כך יציב.
(1) הבעות תודה: Itsik
| פרופיל | שלח הודעה | חפש
Itsik (איציק)
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Dec 14, 2005

מיקום: מזכרת בתיה
הבעות תודה: 34
מספר הודעות: 416

 #3  נשלח: א' 16/06/2019 23:08

תודה על התשובה המנומקת.

אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.

לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?

ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP.

_________________
איציק.
| פרופיל | שלח הודעה | חפש
PayneBack3
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Feb 01, 2011
הבעות תודה: 23
מספר הודעות: 275

 #4  נשלח: ב' 17/06/2019 6:02

היי,

אתה מבין שאתה פורץ את מקום העבודה ?
מקום העבודה יהיה חשוף לכל מה שיש אצלך בבית, כמובן תלוי בחוקים שתעשה..
| פרופיל | שלח הודעה | חפש
Itsik (איציק)
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Dec 14, 2005

מיקום: מזכרת בתיה
הבעות תודה: 34
מספר הודעות: 416

 #5  נשלח: ב' 17/06/2019 7:52

PayneBack3 כתב:
היי,

אתה מבין שאתה פורץ את מקום העבודה ?
מקום העבודה יהיה חשוף לכל מה שיש אצלך בבית, כמובן תלוי בחוקים שתעשה..


בגלל זה יהיה סוויץ' מנוהל עם VLAN שאליו יהיה מחובר רק הנייד של העבודה שמשמש רק לצרכים אלו.
בגדול, זה לא שונה הרבה מצורת החיבור שלי ושל כל שאר העובדים היום שמתחברים עם קליינט של פורטי ברגע שמגיעים הביתה ומשאירים אותו פתוח עד הבוקר.

_________________
איציק.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #6  נשלח: ב' 17/06/2019 8:44

Itsik כתב:
תודה על התשובה המנומקת.

אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.

לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?

ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP.


·
על הנתב שיש לך ( WRT1900AC ) , באמת שעדיף יהיה להתקין את OpenWRT וזה גם פשוט יותר ולא צריך יהיה לרכוש נתב נוסף . לגבי היציבות, הוא כן ינסה להתחבר כל פעם שיתנתק, אבל בגלל האופי של הפרוטוקול של IPSEC ( שלא עובד על גבי פרוטוקול TCP ) , קיימות בעיות בקווים ביתיים שכל פעם שהחבילות הולכות לאבוד או מגיעות לא תקינות, זה בסופו של דבר גורם לבעיות תקשורת. גם בגלל ה jitter שקיים בקווים כאלה החבילות מגיעות בסדר לא נכון וב UDP למשל לא ניתן לתקן את זה. בקשר למהירות חיבור שלך. מה שצריך לעניין אותך זה הערוץ העולה שלך, שהוא עד 2.5M בקו בזק ביתי והוא זה שקובע במקרה של חיבור VPN, בגלל שלמשל, ברגע שאתה עובד במערכת ERP, אז אתה שולח את המידע בידיוק כמו שאתה מקבל אותה ואם מדובר על מערכת כמו priority למשל, שמשמשת בעסקים SMB זעירים, אז שם המימיש שלה כזה עקום עד שהרוחב פס שנדרש לה הוא לא היגיוני לסוג של השאילתות שרצות בין שרת ללקוח. גם ב SAP המצב לא בהרבה יותר טוב. ורוב הסיכויים שהמערכת ERP שאתה משתמש בה זה לא משהו כמו MEGA של חברה לאוטומצייה שפועלת במערכות של משרד הפנים. זו הסיבה שבתוך ערוץ VPN זה אולי כדאי יהיה לך עדיף להתחבר לשרת Terminal Server שבמשרד, כחיבור RDP ואחרי שמצמצמים את העומק צבע ב SESSION ומפעילים דחיסה אפשר יהיה לעבוד כבר.
גם אני מאוד מקווה שבמשרד רשת LAN לא מוגדרת על SUBNET כמו 192.168.1.0/24 , אלה על משהו יותר היגיוני.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #7  נשלח: ב' 17/06/2019 8:55

Itsik כתב:

ציטוט:
...


בגלל זה יהיה סוויץ' מנוהל עם VLAN שאליו יהיה מחובר רק הנייד של העבודה שמשמש רק לצרכים אלו.
בגדול, זה לא שונה הרבה מצורת החיבור שלי ושל כל שאר העובדים היום שמתחברים עם קליינט של פורטי ברגע שמגיעים הביתה ומשאירים אותו פתוח עד הבוקר.


·
חיבור של VPN S2S הוא שונה לגמרי בתפיסה שלו מחיבור של מחשב בודד ב VPN ומצריך הגדרה של ניתוב תקין בשני הצדדים של החיבור ( גם בצד של fortinet וגם בצד של OpenWRT ). זה יכול להיות ניתוב סטטי, אם מדובר על מעט מסלולים וגם ניתוב דינמי, למשל OSPF , אם מדובר על רשת שיש בה שינויים או מורכבות כלשהיא. גם ב VPN S2S צריך לקחת בחשבון שתת רשת של האתר הרוחק היא ההמשך של LAN במרכז ובגלל זה נדרש גם להגדיר בהתאם את חוקי FIREWALL הנדרשים.
| פרופיל | שלח הודעה | חפש
Itsik (איציק)
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Dec 14, 2005

מיקום: מזכרת בתיה
הבעות תודה: 34
מספר הודעות: 416

 #8  נשלח: ב' 17/06/2019 10:51

sys_admin כתב:

ציטוט:
...


·
על הנתב שיש לך ( WRT1900AC ) , באמת שעדיף יהיה להתקין את OpenWRT וזה גם פשוט יותר ולא צריך יהיה לרכוש נתב נוסף . לגבי היציבות, הוא כן ינסה להתחבר כל פעם שיתנתק, אבל בגלל האופי של הפרוטוקול של IPSEC ( שלא עובד על גבי פרוטוקול TCP ) , קיימות בעיות בקווים ביתיים שכל פעם שהחבילות הולכות לאבוד או מגיעות לא תקינות, זה בסופו של דבר גורם לבעיות תקשורת. גם בגלל ה jitter שקיים בקווים כאלה החבילות מגיעות בסדר לא נכון וב UDP למשל לא ניתן לתקן את זה. בקשר למהירות חיבור שלך. מה שצריך לעניין אותך זה הערוץ העולה שלך, שהוא עד 2.5M בקו בזק ביתי והוא זה שקובע במקרה של חיבור VPN, בגלל שלמשל, ברגע שאתה עובד במערכת ERP, אז אתה שולח את המידע בידיוק כמו שאתה מקבל אותה ואם מדובר על מערכת כמו priority למשל, שמשמשת בעסקים SMB זעירים, אז שם המימיש שלה כזה עקום עד שהרוחב פס שנדרש לה הוא לא היגיוני לסוג של השאילתות שרצות בין שרת ללקוח. גם ב SAP המצב לא בהרבה יותר טוב. ורוב הסיכויים שהמערכת ERP שאתה משתמש בה זה לא משהו כמו MEGA של חברה לאוטומצייה שפועלת במערכות של משרד הפנים. זו הסיבה שבתוך ערוץ VPN זה אולי כדאי יהיה לך עדיף להתחבר לשרת Terminal Server שבמשרד, כחיבור RDP ואחרי שמצמצמים את העומק צבע ב SESSION ומפעילים דחיסה אפשר יהיה לעבוד כבר.
גם אני מאוד מקווה שבמשרד רשת LAN לא מוגדרת על SUBNET כמו 192.168.1.0/24 , אלה על משהו יותר היגיוני.


זה נחמד שאתה מקווה, אבל זו בדיוק הסאבנט שמוגדרת בעבודה. בגלל שהיו בעיות בעבר אז שיניתי את הסאבנט הבייתי שלי ל192.168.2.0/24.

אכן משתמשים בפריוריטי, אבל מכיוון שאני פתוח לכל הפורטים והכוננים המשותפים בעבודה, אני יכול לבחור באם לעבור בממשק הוובי שלה או בקליינט המקומי. אגב היום אני מעדיף את הממשק הוובי מבחינת זמן תגובה, אבל כמובן שהוא לא מתקרב למהירות של הקליינט כשאני נמצא במקום העבודה.

ושוב תודה על ההסבר הממצה, החזרת אותי ללימודי הCCNP מעברי הרחוק וכיף להיזכר בזה.

עוד חודש וחצי בערך זה יגיע לידי יישום, אעדכן אז.
·

_________________
איציק.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #9  נשלח: ב' 17/06/2019 15:20

דבר ראשון שממנו צריך להתחיל זה לשנות את הטווח כתובות ברשת LAN בעבודה דחוף למשהוא למשל כמו 192.168.20.0/24 . רק אחרי זה אפשר יהיה לההמשיך לחשוב על חיבורי VPN כלשהם ולא רק S2S , אלה גם אפילו כ vpn road warrior . בנוסף, בקשר לחיבור לפריוריטי, אז הבעיה היא אפילו לא המהירות, אלה האפשרות הסבירה של זיהום של ה DATABASE בגלל השגיאות שנוצרות מחיבור לא רציף. ( פריוריטי כמערכת לא יודעת להתמודד עם תופעות כאלה. ועבודה מתוך שרת TS פותרת גם את הבעיה זו וגם את הבעיה של המהירות ) .
| פרופיל | שלח הודעה | חפש
Itsik (איציק)
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Dec 14, 2005

מיקום: מזכרת בתיה
הבעות תודה: 34
מספר הודעות: 416

 #10  נשלח: ב' 17/06/2019 15:23

יש גם שרת TS חדש שנרכש לאחרונה, אבדוק גם את אפשרות העבודה דרכו.

מה הבעיה בעצם עם טווח הכתובות הנוכחי? היום יש כ15 משתמשים לפחות שמתחברים מבתיהם עם VPN רגיל והכל עובד תקין לכולם.

_________________
איציק.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #11  נשלח: ב' 17/06/2019 15:44

הבעיה בטווח כתובות הנוכחי בזב שזה הטווח הדיפולטי של כל ציוד רשת ביתי, דבר שגורם לבעיות התנגשות ברגע שנדרש לחבר משתמשים מרוחקים לרשת שמתחברים מרשתות ביתיות אחרות. זו גם הסיבה שגם בבית דבר ראשון שמבצעים שמחברים נתב חדש, זה את השינוי של טווח כתובות למשהו שלא יתנגש עם הטווחים הדיפולטיביים. ולכולם הכל עובד עד שלא נתקלים בתופעות לא מובנות ולא מוזהות, שאפשר הייה למנוע אותן מראש בפעולות פשוטות.
| פרופיל | שלח הודעה | חפש
Nissim
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  May 04, 2005
הבעות תודה: 50
מספר הודעות: 2633

 #12  נשלח: ב' 17/06/2019 22:10

למה לא להתקין את ה VPN על המחשב שלך?
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #13  נשלח: ב' 17/06/2019 22:22

Nissim כתב:
למה לא להתקין את ה VPN על המחשב שלך?


·
חיבור של VPN S2S , נותן אפשרויות אחרות לגמרי למי שצריך אותן. למשל ניתן להדפיס ישירות למדפסת בבית מהמשרד, להשתמש בבית בשלוחה של טלפון מהמשרד, שמחובר למרכזייה ארגונית, מהמשרד לגשת לקבצים ולמחשב שנמצא בבית וכו' וכו' וכו'. כל האפשרויות אלה לא זמינות בצורה ישירה ופשוטה למי שמתחבר ב VPN סתם. בקיצור כך יוצרים בבית המשך של רשת מקמומית של הארגון.
| פרופיל | שלח הודעה | חפש
PayneBack3
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Feb 01, 2011
הבעות תודה: 23
מספר הודעות: 275

 #14  נשלח: ג' 18/06/2019 5:48

sys_admin
·
SSLVPN + Split Tunnel נותן את כל מה שציינת בחיבור עם VPN Client,או שאני מפספס משהו ?
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #15  נשלח: ג' 18/06/2019 7:53

PayneBack3 כתב:
@sys_admin
·
SSLVPN + Split Tunnel נותן את כל מה שציינת בחיבור עם VPN Client,או שאני מפספס משהו ?


·
כן אתה מפספס משהו. אנסה להסביר על מה מדובר. Split tunneling זה מצב שבו רק התקשורת מסוימת, למשל לרשת פרטית מנותבת ועוברת בתוך ערוץ VPN ותקשורת לאינטרנט מנותבת ועוברת מחוצה לו. כך ניתן לחסוך ברוחב פס, אבל צריך גם להבין שכך ניתן גם לפספס את אחד המשימות של VPN וזה יציאה לאינטרנט דרך חיבור מבוקר בארגון, או בחו'ל יציאה דרך חיבור ישראלי, או הגנה של חיבור לאינטרנט בזמן החיבור מתוך רשתות ציבוריות ( מתוך בתי מלון, קפה וכו' ). Split tunneling מן הסתם שלא נותן את אפשרות של חיבור בין רשתות, שהיא נושא המדובר בדיון זה ובידיוק זה מה ש Site To Site מאפשר. Split tunneling יכול רק להשלים את המשימה של S2S במקרה שלא נדרש שהתקשורת לאינטרנט תעבור בתוך ערוץ VPN.
גם SSLVPN לא קשור לנושא. SSLVPN זו אחת האפשרויות של מימוש של ערוץ VPN, אבל זה לא קשור לניתוב בין רשתות משנה ולא מחייב חיבור של S2S. למשל OPENVPN משתמש ב SSLVPN וכבר אחרי שמשתמשים בפרוטוקול זה ניתן לממש את תפיסה של Site To Site VPN . גם כדאי לקחת בחשבון שאת הפורטינט שעליו מדבר הדיון לא ניתן לקשר לנתב אחר על ידי SSL VPN , בגלל שהוא לא תומך בשום פרוטוקול פתוח עם תמיכה של SSLVPN. מצד שני, בין שני נתבים על בסיס של OpenWRT , כן ניתן ליצור חיבור SSL VPN , והשימוש לזה יהיה ב OpenVPN .

צירפתי תרשים פשוט שמדגים את Split tunneling.



| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד  1  |  2  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht