Výběr routeru s podporou VPN pro home office

29. 12. 2016 16:34:21

router by měl být s podporou VPN v režimu "Road Warrior" a být "friendly" k nějaké android aplikaci, která s ním naváže VPN spojení přes net (mobilní operátor). Máte někdo zkušenost s konkrétním HW vs. konkrétní app pro Android? Díky za radu

29. 12. 2016 16:34:21

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245947

barneby

(1 hodnocení)

29. 12. 2016 17:24:23

A můžeš s tím prakticky cokoliv.

29. 12. 2016 17:24:23

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245946

cargopro

29. 12. 2016 18:16:26

Napsal barneby;1349292
<a href="https://www.alza.cz/mikrotik-rb951g-2hnd-d429778.htm?o=2" rel='nofollow' title="https://www.alza.cz/mikrotik-rb951g-2hnd-d429778.htm?o=2">https://www.alza.cz/mikrotik-rb951g-2hnd-d429778.htm?o=2</a>
A můžeš s tím prakticky cokoliv.

a ten OS Level 4 co u něj uvádějí na Alze je ten routerOS u Mikrotiku?

29. 12. 2016 18:16:26

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245945

barneby

(1 hodnocení)

29. 12. 2016 18:17:08

Napsal cargopro;1349307
a ten OS Level 4 co u něj uvádějí na Alze je ten routerOS u Mikrotiku?

Ano.

29. 12. 2016 18:17:08

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245944

cargopro

29. 12. 2016 19:44:30

Napsal barneby;1349309
Ano.

to by šlo, ještě naštuduju na jejich stránkách, jak to tam mají s těmi VPN protokoly, díky za tip.

29. 12. 2016 19:44:30

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245943

Vladimír Smitka

(4 hodnocení)

29. 12. 2016 20:02:24

A jaký je rozpočet a jaké jsou zkušenosti se síťařinou? Mikrotik je fajn, ale nastavit ho pro někoho, kdo se v něm nevyzná a navíc vyřešit VPN nemusí být snadné... Většinou to skončí buď nefunkčností nebo děravým firewallem...

VPN pro vzdálený přístup umí PPTP (jednoduše se konfiguruje, ale není považován za 100% bezpečný a proto ho třeba apple už nepodporuje), L2TP s IPsec (což bych aktuálně s mikrotikem doporučil - na androidu, apple ani win není třeba nic instalovat), pak omezeně umí openVPN, nově experimentálně umí i IKEv2, což je pro mobilní přístup podle mě nejlepší protokol, ale ještě jsem ho nezkoušel na něm konfigurovat.

Dále je potřeba samozřejmě počítat s nutností veřejné IP.

VPN koncentrátor ale nemusí být jen samotný router, je možné ho provozovat třeba na NAS v síti, na který se nasměrují potřebné porty. Konfiguračně je to často jednodušší, protože Synology i Qnap mají jednoduché klikátko.

29. 12. 2016 20:02:24

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245942

cargopro

30. 12. 2016 07:53:38

rozpočet bych zas tak neřešil, jedná se mi o spolehlivost už kvůli tomu mobilnímu přístupu a ten mikrotik je za pár kaček a asi je celkem profi. Nechtěl bych zase nějak moc :) šifrovat provoz na úkor propustnosti, neboť při spuštění app na klientovi budu potřebovat natáhnout ze serveru celou app do paměti, pak už to běží celé jen na klientovi. Je to poltika licence.

---------- Příspěvek doplněn 30.12.2016 v 11:51 ----------

Napsal smitka;1349336
A jaký je rozpočet a jaké jsou zkušenosti se síťařinou? Mikrotik je fajn, ale nastavit ho pro někoho, kdo se v něm nevyzná a navíc vyřešit VPN nemusí být snadné... Většinou to skončí buď nefunkčností nebo děravým firewallem...
VPN pro vzdálený přístup umí PPTP (jednoduše se konfiguruje, ale není považován za 100% bezpečný a proto ho třeba apple už nepodporuje), L2TP s IPsec (což bych aktuálně s mikrotikem doporučil - na androidu, apple ani win není třeba nic instalovat), pak omezeně umí openVPN, nově experimentálně umí i IKEv2, což je pro mobilní přístup podle mě nejlepší protokol, ale ještě jsem ho nezkoušel na něm konfigurovat.
Dále je potřeba samozřejmě počítat s nutností veřejné IP.
VPN koncentrátor ale nemusí být jen samotný router, je možné ho provozovat třeba na NAS v síti, na který se nasměrují potřebné porty. Konfiguračně je to často jednodušší, protože Synology i Qnap mají jednoduché klikátko.

pokud bych uvažoval, že přesměruji na stávajícím routeru port "VPN koncentrátoru" přímo na server (win2012), po jakém "klikátku" sáhnout, např openVPN? Konfikurace Mikrotiku je opravdu pro někoho kdo se tím zabývá na fulltime, tolik času tomu věnovat nechci.

30. 12. 2016 07:53:38

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245941

Vladimír Smitka

(4 hodnocení)

30. 12. 2016 12:05:37

Windows Server sám o sobě může dělat VPN server - stačí povolit roli Remote Access a RAS a pak se objeví MCC konzole pro nastavení, návodů bude plno.

Win Server umí PPTP, L2TP, SSTP a IKEv2 - volil bych ideálně IKEv2 protože v sobě má mobility extension pro udržování spojení na mobilních datech (vyžaduje ssl certifikát a na androidu klienta https://play.google.com/store/apps/details?id=org.strongswan.android&hl=cs), nebo L2TP.

---------- Příspěvek doplněn 30.12.2016 v 12:07 ----------

Nebo lze použít tento balík - https://www.softether.org/, ale na win jsem ho nikdy nezkoušel.

30. 12. 2016 12:05:37

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245940

cargopro

30. 12. 2016 12:35:54

Napsal smitka;1349504
Windows Server sám o sobě může dělat VPN server - stačí povolit roli Remote Access a RAS a pak se objeví MCC konzole pro nastavení, návodů bude plno.
Win Server umí PPTP, L2TP, SSTP a IKEv2 - volil bych ideálně IKEv2 protože v sobě má mobility extension pro udržování spojení na mobilních datech (vyžaduje ssl certifikát a na androidu klienta https://play.google.com/store/apps/details?id=org.strongswan.android&hl=cs), nebo L2TP.
---------- Příspěvek doplněn 30.12.2016 v 12:07 ----------
Nebo lze použít tento balík - https://www.softether.org/, ale na win jsem ho nikdy nezkoušel.

bezva, díky

30. 12. 2016 12:35:54

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245939

TomasX

(4 hodnocení)

30. 12. 2016 13:51:23

jen doplním, IKEv2 na mikrotiku (ROS 4 i 5) není stabilní, chová se divně (timeouty, časté reconecty, občas neúměrně vysoká zátěž či nemožnost se připojit), jediný stabilní server v současné době poskytuje Microsoft nebo Cisco, za mě je také nejvhodnější. Poté bych volil SSTP, čeští operátoři ho ještě neumí detekovat a bez problémů projde všemi bránami aniž by byl provoz podezřelý, nemá ale přímou podporu napříč všemi mobily, běží nad L3 a není datově tak náročný jako L2TP.

Softether funguje kupodivu stabilně na linuxu i na Windowsu (Pro i Server edice), konfigurace je snadná, ale osobně v ten soft ještě nemám důvěru, miliony řádků v jednom velkém balíku a vývoj probíhá primárně centralizovaně. Jedna firma si ale na něm rozjela vlastní VPN a jo, dá se to.

Pokud máš k dispozici Windows Server, nemá smysl dělat VPN server jinde než na něm.

Se zátěží si nelam hlavu, ipsec je hojně HW akcelerován i na mobilech a podle mých měření šifrování nezpomaluje provoz, resp. nejsem schopný saturovat mobilní internet a ani 5G wi-fi s L2TP pod IPSEC, ostatní očekávám, že budou na tom podobně. OpenVPN je dost zřavý a potřebuje vlastního klienta, osobně bych se mu vyhnul.

30. 12. 2016 13:51:23

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245938

Vladimír Smitka

(4 hodnocení)

30. 12. 2016 14:18:53

Mimo Cisco a MS mám s IKEv2 ještě dobré zkušenosti na Linuxu se StrongSwan - lze jednoduše rozjet na malém virtuálku (https://lynt.cz/blog/ikev2-vpn-v-cloudu-snadno-a-rychle). Každopádně s TomášX nejde nesouhlasit - pokud je v síti Win Server, je nejlepší to rozjet na něm.

SSTP je také dobrá forma VPN, jen bohužel nefunguje (pokud se něco nezměnilo) na iPhone/iPad, což je v sítích, které dělám často problém...

30. 12. 2016 14:18:53

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245937

cargopro

30. 12. 2016 16:29:09

ještě jednou díky za rady a jen se ještě zeptám, k tomu řešení VPN na winserveru: jakého klienta pro android pokud bych šel přes IPSEC, nebo ho winserver umí taky a můžu použít ten stronswan?

30. 12. 2016 16:29:09

https://webtrh.cz/diskuse/vyber-routeru-s-podporou-vpn-pro-home-office#reply1245936

Pro odpověď se přihlašte.

Přihlásit