היי,
עובר לבית חדש ביישוב מרוחק ממקום עבודתי בת"א מה שיביא לצורך בעבודה מהבית בחלק מימות השבוע.
בכדי להקל, אני רוצה לרכוש נתב שיתמוך בהקמת VPN בתצורת Site-toSite לפיירוול שיש בעבודה של Fortigate.
המודם והתשתית יהיו ככל הנראה של בזק, על הWIFI אמונה מערכת VELOP של לינקסיס.
אין באמת תקציב מוגדר, לא חושב שצריך משהו בסדר גודל של אנטרפרייז.
בבית יהיה גם סוויץ' מנוהל(שיספוג את תעבורת הרשת הפנימית), מצלמות, בית חכם(ZWAVE), ממירים, מגברים ועוד כל מיני צרכני רשת.
תודה
מחפש נתב ביתי שיודע להקים חיבור VPN S2S
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
אפשר לעשות כל דבר, מנתב ביתי בגרוש וחצי כזה למשל:
TP-Link Archer C7 AC1750 Dual Band Gigabit 1750Mbps
שמריץ את OPENWRT , שיכול כבר להקים ערוץ IPsec Site-to-Site עד ל Fortigate כך לצורך הדוגמה:
https://openwrt.org/docs/guide-user/ser ... /site2site
ועד למערכת X64 משובצת שמריצה את PFSense . אבל צריך לקחת בחשבון כמה נקודות. והן, אחת שקו ביתי של בזק זה רוחב פס ל VPN של עד 2.5M, דבר שהיום טיפה לא שמיש לכלום. ודבר השני, הוא ש Fortigate זה צרה צרורה ואפילו יותר גרוע מנתב ביתי ההוא של שקל וחצי, כך שהוא גם יהיה נקודת חולשה. וכמובן את הנקודה ש IPsec בסביבה של חיבור DSL ביתי יהיה לא כל כך יציב.
TP-Link Archer C7 AC1750 Dual Band Gigabit 1750Mbps
שמריץ את OPENWRT , שיכול כבר להקים ערוץ IPsec Site-to-Site עד ל Fortigate כך לצורך הדוגמה:
https://openwrt.org/docs/guide-user/ser ... /site2site
ועד למערכת X64 משובצת שמריצה את PFSense . אבל צריך לקחת בחשבון כמה נקודות. והן, אחת שקו ביתי של בזק זה רוחב פס ל VPN של עד 2.5M, דבר שהיום טיפה לא שמיש לכלום. ודבר השני, הוא ש Fortigate זה צרה צרורה ואפילו יותר גרוע מנתב ביתי ההוא של שקל וחצי, כך שהוא גם יהיה נקודת חולשה. וכמובן את הנקודה ש IPsec בסביבה של חיבור DSL ביתי יהיה לא כל כך יציב.
- Itsik (פותח השרשור)
- חבר פעיל מאוד
- הודעות: 429
- הצטרף: דצמבר 2005
- מיקום: רמה"ג
- נתן תודות: 44 פעמים
- קיבל תודות: 34 פעמים
תודה על התשובה המנומקת.
אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.
לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?
ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP.
אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.
לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?
ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP.
איציק.
- PayneBack3
-
- חבר פעיל מאוד
- הודעות: 419
- הצטרף: פברואר 2011
- נתן תודות: 90 פעמים
- קיבל תודות: 47 פעמים
- Itsik (פותח השרשור)
- חבר פעיל מאוד
- הודעות: 429
- הצטרף: דצמבר 2005
- מיקום: רמה"ג
- נתן תודות: 44 פעמים
- קיבל תודות: 34 פעמים
בגלל זה יהיה סוויץ' מנוהל עם VLAN שאליו יהיה מחובר רק הנייד של העבודה שמשמש רק לצרכים אלו.PayneBack3 כתב:היי,
אתה מבין שאתה פורץ את מקום העבודה ?
מקום העבודה יהיה חשוף לכל מה שיש אצלך בבית, כמובן תלוי בחוקים שתעשה.....
בגדול, זה לא שונה הרבה מצורת החיבור שלי ושל כל שאר העובדים היום שמתחברים עם קליינט של פורטי ברגע שמגיעים הביתה ומשאירים אותו פתוח עד הבוקר.
איציק.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
·Itsik כתב:תודה על התשובה המנומקת.
אז קודם כל אני מבין מדברייך שעדיף לי פשוט להתקין OPENWRT על הנתב שיש לי היום WRT1900AC של לינקסיס לפני שאני חושב לקנות משהו חדש.
לגבי יציבות הVPN, האם הוא ינסה להתחבר בכל פעם שיפול(אם יפול)?
ועניין הגבלת המהירות של קו בזק חדש לי, בעבודה יש לנו 50מגה סימטרי - ניסיתי עכשיו להוריד קובץ גדול למחשב שלי והקצב עמד על 4MB/s(שזה 32Mbps). ובכל מקרה זה אמור להספיק כאשר כל מה שאני צריך מול המחשב של העבודה זה עבודה על מערכת ERP....
על הנתב שיש לך ( WRT1900AC ) , באמת שעדיף יהיה להתקין את OpenWRT וזה גם פשוט יותר ולא צריך יהיה לרכוש נתב נוסף . לגבי היציבות, הוא כן ינסה להתחבר כל פעם שיתנתק, אבל בגלל האופי של הפרוטוקול של IPSEC ( שלא עובד על גבי פרוטוקול TCP ) , קיימות בעיות בקווים ביתיים שכל פעם שהחבילות הולכות לאבוד או מגיעות לא תקינות, זה בסופו של דבר גורם לבעיות תקשורת. גם בגלל ה jitter שקיים בקווים כאלה החבילות מגיעות בסדר לא נכון וב UDP למשל לא ניתן לתקן את זה. בקשר למהירות חיבור שלך. מה שצריך לעניין אותך זה הערוץ העולה שלך, שהוא עד 2.5M בקו בזק ביתי והוא זה שקובע במקרה של חיבור VPN, בגלל שלמשל, ברגע שאתה עובד במערכת ERP, אז אתה שולח את המידע בידיוק כמו שאתה מקבל אותה ואם מדובר על מערכת כמו priority למשל, שמשמשת בעסקים SMB זעירים, אז שם המימיש שלה כזה עקום עד שהרוחב פס שנדרש לה הוא לא היגיוני לסוג של השאילתות שרצות בין שרת ללקוח. גם ב SAP המצב לא בהרבה יותר טוב. ורוב הסיכויים שהמערכת ERP שאתה משתמש בה זה לא משהו כמו MEGA של חברה לאוטומצייה שפועלת במערכות של משרד הפנים. זו הסיבה שבתוך ערוץ VPN זה אולי כדאי יהיה לך עדיף להתחבר לשרת Terminal Server שבמשרד, כחיבור RDP ואחרי שמצמצמים את העומק צבע ב SESSION ומפעילים דחיסה אפשר יהיה לעבוד כבר.
גם אני מאוד מקווה שבמשרד רשת LAN לא מוגדרת על SUBNET כמו 192.168.1.0/24 , אלה על משהו יותר היגיוני.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
·Itsik כתב:בגלל זה יהיה סוויץ' מנוהל עם VLAN שאליו יהיה מחובר רק הנייד של העבודה שמשמש רק לצרכים אלו.......
בגדול, זה לא שונה הרבה מצורת החיבור שלי ושל כל שאר העובדים היום שמתחברים עם קליינט של פורטי ברגע שמגיעים הביתה ומשאירים אותו פתוח עד הבוקר....
חיבור של VPN S2S הוא שונה לגמרי בתפיסה שלו מחיבור של מחשב בודד ב VPN ומצריך הגדרה של ניתוב תקין בשני הצדדים של החיבור ( גם בצד של fortinet וגם בצד של OpenWRT ). זה יכול להיות ניתוב סטטי, אם מדובר על מעט מסלולים וגם ניתוב דינמי, למשל OSPF , אם מדובר על רשת שיש בה שינויים או מורכבות כלשהיא. גם ב VPN S2S צריך לקחת בחשבון שתת רשת של האתר הרוחק היא ההמשך של LAN במרכז ובגלל זה נדרש גם להגדיר בהתאם את חוקי FIREWALL הנדרשים.
- Itsik (פותח השרשור)
- חבר פעיל מאוד
- הודעות: 429
- הצטרף: דצמבר 2005
- מיקום: רמה"ג
- נתן תודות: 44 פעמים
- קיבל תודות: 34 פעמים
זה נחמד שאתה מקווה, אבל זו בדיוק הסאבנט שמוגדרת בעבודה. בגלל שהיו בעיות בעבר אז שיניתי את הסאבנט הבייתי שלי ל192.168.2.0/24.sys_admin כתב:·......
על הנתב שיש לך ( WRT1900AC ) , באמת שעדיף יהיה להתקין את OpenWRT וזה גם פשוט יותר ולא צריך יהיה לרכוש נתב נוסף . לגבי היציבות, הוא כן ינסה להתחבר כל פעם שיתנתק, אבל בגלל האופי של הפרוטוקול של IPSEC ( שלא עובד על גבי פרוטוקול TCP ) , קיימות בעיות בקווים ביתיים שכל פעם שהחבילות הולכות לאבוד או מגיעות לא תקינות, זה בסופו של דבר גורם לבעיות תקשורת. גם בגלל ה jitter שקיים בקווים כאלה החבילות מגיעות בסדר לא נכון וב UDP למשל לא ניתן לתקן את זה. בקשר למהירות חיבור שלך. מה שצריך לעניין אותך זה הערוץ העולה שלך, שהוא עד 2.5M בקו בזק ביתי והוא זה שקובע במקרה של חיבור VPN, בגלל שלמשל, ברגע שאתה עובד במערכת ERP, אז אתה שולח את המידע בידיוק כמו שאתה מקבל אותה ואם מדובר על מערכת כמו priority למשל, שמשמשת בעסקים SMB זעירים, אז שם המימיש שלה כזה עקום עד שהרוחב פס שנדרש לה הוא לא היגיוני לסוג של השאילתות שרצות בין שרת ללקוח. גם ב SAP המצב לא בהרבה יותר טוב. ורוב הסיכויים שהמערכת ERP שאתה משתמש בה זה לא משהו כמו MEGA של חברה לאוטומצייה שפועלת במערכות של משרד הפנים. זו הסיבה שבתוך ערוץ VPN זה אולי כדאי יהיה לך עדיף להתחבר לשרת Terminal Server שבמשרד, כחיבור RDP ואחרי שמצמצמים את העומק צבע ב SESSION ומפעילים דחיסה אפשר יהיה לעבוד כבר.
גם אני מאוד מקווה שבמשרד רשת LAN לא מוגדרת על SUBNET כמו 192.168.1.0/24 , אלה על משהו יותר היגיוני....
אכן משתמשים בפריוריטי, אבל מכיוון שאני פתוח לכל הפורטים והכוננים המשותפים בעבודה, אני יכול לבחור באם לעבור בממשק הוובי שלה או בקליינט המקומי. אגב היום אני מעדיף את הממשק הוובי מבחינת זמן תגובה, אבל כמובן שהוא לא מתקרב למהירות של הקליינט כשאני נמצא במקום העבודה.
ושוב תודה על ההסבר הממצה, החזרת אותי ללימודי הCCNP מעברי הרחוק וכיף להיזכר בזה.
עוד חודש וחצי בערך זה יגיע לידי יישום, אעדכן אז.
·
איציק.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
דבר ראשון שממנו צריך להתחיל זה לשנות את הטווח כתובות ברשת LAN בעבודה דחוף למשהוא למשל כמו 192.168.20.0/24 . רק אחרי זה אפשר יהיה לההמשיך לחשוב על חיבורי VPN כלשהם ולא רק S2S , אלה גם אפילו כ vpn road warrior . בנוסף, בקשר לחיבור לפריוריטי, אז הבעיה היא אפילו לא המהירות, אלה האפשרות הסבירה של זיהום של ה DATABASE בגלל השגיאות שנוצרות מחיבור לא רציף. ( פריוריטי כמערכת לא יודעת להתמודד עם תופעות כאלה. ועבודה מתוך שרת TS פותרת גם את הבעיה זו וגם את הבעיה של המהירות ) .
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
הבעיה בטווח כתובות הנוכחי בזב שזה הטווח הדיפולטי של כל ציוד רשת ביתי, דבר שגורם לבעיות התנגשות ברגע שנדרש לחבר משתמשים מרוחקים לרשת שמתחברים מרשתות ביתיות אחרות. זו גם הסיבה שגם בבית דבר ראשון שמבצעים שמחברים נתב חדש, זה את השינוי של טווח כתובות למשהו שלא יתנגש עם הטווחים הדיפולטיביים. ולכולם הכל עובד עד שלא נתקלים בתופעות לא מובנות ולא מוזהות, שאפשר הייה למנוע אותן מראש בפעולות פשוטות.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
·Nissim כתב:למה לא להתקין את ה VPN על המחשב שלך?...
חיבור של VPN S2S , נותן אפשרויות אחרות לגמרי למי שצריך אותן. למשל ניתן להדפיס ישירות למדפסת בבית מהמשרד, להשתמש בבית בשלוחה של טלפון מהמשרד, שמחובר למרכזייה ארגונית, מהמשרד לגשת לקבצים ולמחשב שנמצא בבית וכו' וכו' וכו'. כל האפשרויות אלה לא זמינות בצורה ישירה ופשוטה למי שמתחבר ב VPN סתם. בקיצור כך יוצרים בבית המשך של רשת מקמומית של הארגון.
- PayneBack3
-
- חבר פעיל מאוד
- הודעות: 419
- הצטרף: פברואר 2011
- נתן תודות: 90 פעמים
- קיבל תודות: 47 פעמים
- sys_admin
-
- חבר מביא חבר
- הודעות: 3669
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 707 פעמים
·PayneBack3 כתב:@sys_admin
·
SSLVPN + Split Tunnel נותן את כל מה שציינת בחיבור עם VPN Client,או שאני מפספס משהו ?...
כן אתה מפספס משהו. אנסה להסביר על מה מדובר. Split tunneling זה מצב שבו רק התקשורת מסוימת, למשל לרשת פרטית מנותבת ועוברת בתוך ערוץ VPN ותקשורת לאינטרנט מנותבת ועוברת מחוצה לו. כך ניתן לחסוך ברוחב פס, אבל צריך גם להבין שכך ניתן גם לפספס את אחד המשימות של VPN וזה יציאה לאינטרנט דרך חיבור מבוקר בארגון, או בחו'ל יציאה דרך חיבור ישראלי, או הגנה של חיבור לאינטרנט בזמן החיבור מתוך רשתות ציבוריות ( מתוך בתי מלון, קפה וכו' ). Split tunneling מן הסתם שלא נותן את אפשרות של חיבור בין רשתות, שהיא נושא המדובר בדיון זה ובידיוק זה מה ש Site To Site מאפשר. Split tunneling יכול רק להשלים את המשימה של S2S במקרה שלא נדרש שהתקשורת לאינטרנט תעבור בתוך ערוץ VPN.
גם SSLVPN לא קשור לנושא. SSLVPN זו אחת האפשרויות של מימוש של ערוץ VPN, אבל זה לא קשור לניתוב בין רשתות משנה ולא מחייב חיבור של S2S. למשל OPENVPN משתמש ב SSLVPN וכבר אחרי שמשתמשים בפרוטוקול זה ניתן לממש את תפיסה של Site To Site VPN . גם כדאי לקחת בחשבון שאת הפורטינט שעליו מדבר הדיון לא ניתן לקשר לנתב אחר על ידי SSL VPN , בגלל שהוא לא תומך בשום פרוטוקול פתוח עם תמיכה של SSLVPN. מצד שני, בין שני נתבים על בסיס של OpenWRT , כן ניתן ליצור חיבור SSL VPN , והשימוש לזה יהיה ב OpenVPN .
צירפתי תרשים פשוט שמדגים את Split tunneling.