Propojeni 2 siti - citliva data (bezdrat+VPN)

[jimmy]

Ahoj, resime problem, jak propojit 2 site vzduchem co nejlevnejsim zpusobem, ale za podminek:

Podminky:
1] pripojeni vzduchem (5GHz) - pravdepodobne nejake Nanostation5 v rezimu BRIDGE
2] potecou velice citliva data, tzn. jak zabezpecit? VPNtunel - tzn nejake VPN routery?
3] cca 30-50 napojenych lidi (sit B)
4] ten spoj musi byt transparentni - tzn. co vleze na vstupu, musi vylezt na vystupu jako by to bylo propojeno kabelem

napadlo me neco takoveho

SIT_A->VPN_ROUTER->WIFI----"BRIDGE"----WIFI<-VPN_ROUTER<-SIT_B

A ted to nejdulezitejsi - NS5 nastavim do rezimu BRIDGE, takze tam bude transparentnost zajistena, ale jaky HW pouzit jako VPN routery? Koukal jsem na par kousku, vsude se hazi cislama kolik spojeni to zvladne, ale moudry z toho clovek moc neni... poradi nekdo?

Jedna se o pomerne citliva data, takze reseni pouze na bazi sifrovani WIFI spojeni je nemyslitelne, takze chceme komunikaci nejakym zpusobem jeste zabezpecit.

diky

[Fox!MURDER]

Ahoj, resime problem, jak propojit 2 site vzduchem co nejlevnejsim zpusobem, ale za podminek:

Podminky:
1] pripojeni vzduchem (5GHz) - pravdepodobne nejake Nanostation5 v rezimu BRIDGE
2] potecou velice citliva data, tzn. jak zabezpecit? VPNtunel - tzn nejake VPN routery?
3] cca 30-50 napojenych lidi (sit B)
4] ten spoj musi byt transparentni - tzn. co vleze na vstupu, musi vylezt na vystupu jako by to bylo propojeno kabelem

napadlo me neco takoveho

SIT_A->VPN_ROUTER->WIFI----"BRIDGE"----WIFI<-VPN_ROUTER<-SIT_B

A ted to nejdulezitejsi - NS5 nastavim do rezimu BRIDGE, takze tam bude transparentnost zajistena, ale jaky HW pouzit jako VPN routery? Koukal jsem na par kousku, vsude se hazi cislama kolik spojeni to zvladne, ale moudry z toho clovek moc neni... poradi nekdo?

Jedna se o pomerne citliva data, takze reseni pouze na bazi sifrovani WIFI spojeni je nemyslitelne, takze chceme komunikaci nejakym zpusobem jeste zabezpecit.

diky

jakou propustnost od toho ocekavas?
co tak nejakej vykonnejsi mikrotik? + http://wiki.mikrotik.com/wiki/OpenVPN
nepotreboval bys pak ty nanostationy a mohl to pripojit primo ...

[Petrik]

63 znakova nahodne vygenerovana passphrase nebo RADIUS server s WPA2+AES je pomerne hodne bezpecne reseni, ale samozrejme paranoie se meze nekladou a VPN jako dalsi zabezpeceni rozhodne neuskodi. Osobne bych pouzil mikrotik na routerboardu, umi vse, co potrebujes, vcetne VPN a OpenVPN a jeho 680MHz CPUcka toho utahnout docela dost.

[jimmy]

panove diky, zkusim popremyslet, hotove reseni "all in box" by prome bylo asi nejlepsim resenim (bastlit mikrotik do bedny, anteny atd. se mi moc nechce, proto ty nanostation + vpn). Data jsou opravdu velice citliva (statni organizace) nicmene reseni musi byt opravdu levne a bezpecne

Propustnost do 5mbitu (s veeeelkou rezervou)

Obema diky, pokud nekoho napadne jeste neco, budu rad za kazdy nazor...

Zkusim rozdat karmu, snad to pujde

[Fox!MURDER]

na 5Mbit by ti teoreticky melo stacit treba tohle ... je to levny, pripraveny (takze snad zadny bastleni) a vykon by mel bejt tak akorat ...
http://www.wifihw.cz/p515-b-gentlekl...24v-zdroj-poe/

(popr. nekdo jinej by moh vedet alternativu ....)

joooo a btw. jestli jsou ty data opravdu tak citlivy, tak bych je nikdy neposilal vzduchem ale to jen tak na okraj ...

[jimmy]

diky za dalsi tip... imho v dnesni dobe uz by problem s WiFi byt nemel (WPA2-AES + VPN). Pokud nekdo prolomi sifru WPA2-AES (coz se v dnesni dobe tusim jeste nikomu nepodarilo ani s WPA-AES), musel by jeste prolomit VPN tunel (coz teoreticky mozne je, pokud by prolomil login do Mikrotiku - predpokladam ze VPN pujde proti sobe pres nejaky certifikat, ke kteremu by se mohl dostat prave jen pres spravu zarizeni)

jedine relativne bezpecne reseni, ktere se jednoduse neda "napichnout" je opticky kabel a sifrovaci routery (pripadne opticky spoj vzduchem, ale tam je zase problem mlha...)