Ako mám zosieťovať PC na nete?

[lepermessiah]

Zdravicko chalani,
potrebujem dat nejako dokopy zopar PC, konkretne to bude jeden WinServer,cca 10 pocitacov na lokalnej sieti zapojene na spolocnu siet s tym WinServrom...dalej to budu 2 pocitace, ktore budu nezavisle pripojene na net, a jedna uz existujuca siet, kde server nie je, ale je tam 5 PC za routerom s dynamickou IP, a ja by som to vsetko potreboval spojit tak, aby to fungovalo ako jedna lokalna LAN...
som uplna lama do toho, takze budem rad kazdej rade. Ja som myslel, ze by som na to pouzil OpenVPN, ale ani neviem co kde by som mal nahodit, a ci je to dostatocne bezpecne...dufam ze to je realne a pochopitelne co som napisal
dik

[HollyG]

Uff tak po precteni vseho bych doporucil spise nastudovat neco o zakladech siti, VPN atd...
A teda abych jen neprudil, a daly se davat konstruktivni rady, par otazek: bude to firma, jake jsou pozadavky na zabezpeceni, co tam bude bezet, kolik dat se bude kam prelevat, kolik se do toho da vrazit $...

[jany+]

Ak to mas vsetko v jednej budove a ak sa to da pokablovat, tak to poprejaj cez switche, ale ak to mas v inych budovach od seba dost vzdialenych, respektive v inych mestach, tak jedine VPN

[lepermessiah]

keby to bolo v jednej budove, tiez by ma napadlo switchovanie. problem vsak je ten, ze mam server, na ktorom bezia nejake veci ku ktorym musia mat pristup vsetky PC + musi to byt nejako zabezpecene..budovy su 4

[Marty]

Takže...

ve zkratce:
- sítě po samostatných budovách uděláš switchované, tj. všechny PC i servery do jednoho (více) switchů
- do každé sítě, která má být propojena s jinou, musíš dovést internet nebo vyhrazenou linku
- do každé sítě pořídit router, který umí VPN (buď nějaké levné zyxely pro adsl, viděl jsem to fungovat ... dobré, levné, nenáročné a nebo cokoli většího - podle nároků)
- routery nastavit na VPN režim

Trošičku otazníček bude, pokud máš těch sítí fakt 4, pak to nebude jednoduchý PtP VPN, ale zřejmě bude nejvhodnější mít jeden VPN server (v centrální síti) a na ten se připojovat.

Osobně bych to řešil tak, že v jedné síti bych udělal hlavní server, kde by běžela VPN - v případě MS to klidně může být Routing and Remote Access, dá se to snadno nakonfit a při dodržení jistých pravidel to i funguje... a šifruje. V případě linuxu je to jednoduché, použij OpenVPN (konfigurace zde ale už není tak snadná) a routery pak musíš mít s podporou OpenVPN. Buď tedy PC routery, a nebo když si pěkně vyhraješ, tak ASUSy WL-500g s odpovídajícím firmwarem to umí - a plně by to řešilo celou situaci.

No ale jestli o tom víš tak málo, jak to vypadá z prvního příspěvku, tak být tebou bych se do tohoto nepouštěl.
Ono totiž takhle to zní jednoduše, ale až budeš stát před problémem jak nastavit routování z jedné sítě do třetí a z druhé do první a z čtvrté do druhé, nebo budeš mít na server dlouhé odezvy a bude ti to padat, a nebo budeš mít problémy s resolvováním skrz VPN...

Ale držím palec

[sasha]

ja myslim ze to routovani nebude tak slozite, pro kazdy dum si udela jeden privatni rozsah a tam kde bude sedet ten server nebo i dalsi aplikace vrzne vpn branu na kterou se ostatni pripoji a ta bude delat i routing do jednotlivych tunelu, na tom neni nic zvlastniho. horsi to bude s tim jak budou aplikace (at uz winserver etc) zvladat prodlevy na netu (idkyz chapu ze linky se dnes nechaji poridit fajne, ale stejne)

pokud jsou ty budovy vedle sebe v jedne tovarne tak optika pod zem je nejlepsi reseni... a muzes mit vsechno v jednom subnetu a bez routeru (teda az na ten co sedi na internetu)

[Marty]

ja myslim ze to routovani nebude tak slozite, pro kazdy dum si udela jeden privatni rozsah a tam kde bude sedet ten server nebo i dalsi aplikace vrzne vpn branu na kterou se ostatni pripoji a ta bude delat i routing do jednotlivych tunelu, na tom neni nic zvlastniho. horsi to bude s tim jak budou aplikace (at uz winserver etc) zvladat prodlevy na netu (idkyz chapu ze linky se dnes nechaji poridit fajne, ale stejne)

pokud jsou ty budovy vedle sebe v jedne tovarne tak optika pod zem je nejlepsi reseni... a muzes mit vsechno v jednom subnetu a bez routeru (teda az na ten co sedi na internetu)

No, pokud budeš mít 4 subnety, budeš muset zařídit funkční routování mezi všemi 4 subnety, což zas tak triviální není - teoreticky ano, nastavíš pár statických rout a nebo použiješ routování na dvou úrovních, tj. přes centrální subnet, ale to by imo bylo dost zbytečné.. ostatně, dost taky záleží na topologii, jak bude VPN řešená - pokud jeden server (hlavní subnet) a 3 klienti (ostatní subnety), tak by to mohlo jít tím druhým způsobem a celkem transparentně. No nevím, myslím že tam tak jako tak čeká spousta překvapení...

[sasha]

to kazdopadne

[Jezevec]

keby to bolo v jednej budove, tiez by ma napadlo switchovanie. problem vsak je ten, ze mam server, na ktorom bezia nejake veci ku ktorym musia mat pristup vsetky PC + musi to byt nejako zabezpecene..budovy su 4

a) pokud do toho nevidis, tak to nevymejslej a nech si to udelat za $, usetris spoustu casu a nervu sobe i okoli.
b) pokud jsou ty baraky dost "blizko" (vzdalenost je jako vse relativni a zavisla predevsim na $ ktery jsou k dispozici - technicky neni problem 100km), neni problem switchovat.
c) pokud to mozny neni, tak plati a), nech si to navrhnout, realizovat a nastavit.

Jinak nejjednodussi reseni je asi openvpn, kterazto primo i podporuje vzajemny routovani, vyzaduje to min jednu verejnou IP (nejspis na tom serveru) a topologie zavisi na tom, esli maj stroje jen videt server nebo i komunikovat vzajemne. Vic koser reseni je IPsec, coz ale vyzaduje verejny IP vsude a je to slozitejsi nastavit.

[lepermessiah]

no, dnes mi boli uzrejmene detaily, ktore vyzeraju asi takto:

1 Hlavny server (v nom pobezi hlavny soft)
v jednej sieti so serverom budu dalsie PC, pocet je myslim nepodstatny

a dalej sa na ten server musia vediet zvonku pripojit dalsie 3, mozno 4 PC, kazde samostatne s aDSL, prip. HSDPA..proste vlastny net...ale musi sa to tvarit ako LAN...routery tam asi nebudu, teda by to asi skoncilo na tom OpenVPN...bude sa to dat v pohode? PC medzi sebou nepotrebuju komunikovat, podmienka je bezpecnost a konektivita so serverom (prenasane budu radovo kB)

[Marty]

no, dnes mi boli uzrejmene detaily, ktore vyzeraju asi takto:

1 Hlavny server (v nom pobezi hlavny soft)
v jednej sieti so serverom budu dalsie PC, pocet je myslim nepodstatny

a dalej sa na ten server musia vediet zvonku pripojit dalsie 3, mozno 4 PC, kazde samostatne s aDSL, prip. HSDPA..proste vlastny net...ale musi sa to tvarit ako LAN...routery tam asi nebudu, teda by to asi skoncilo na tom OpenVPN...bude sa to dat v pohode? PC medzi sebou nepotrebuju komunikovat, podmienka je bezpecnost a konektivita so serverom (prenasane budu radovo kB)

Mno jedu vec jsem se jeste nedocet a to je zda to propojeni na server ma byt trvale (tj. jestli se ostatni pocitace vyuzivaji i treba jinak nez na pristup k aplikaci na serveru) - pak by nemusela byt VPN na routerech, ale nejjednodussi reseni K/S VPN na urovni PC-Server.

Jinak take se priklanim a durazne doporucuji nechat si to udelat od profesionalu.. opravdu usetris cas, nervy a v dusledku i penize. (ver mi, ze ja i Jezevec vime o cem mluvime )

[Fox!MURDER]

Pokud se rozhodnes se to naucit a pohrat si s tim, tak na openvpn webu je pomerne dost howto ...

V OpenVPN je to otazka par minut + vygenerovat certifikaty, coz pokud delas nejakym nastrojem, taky neni problem.

Udelas jednoduchou routovanou hvezdu (tun mod v openvpn) se stredem na serveru s datama a kazdy klient mimo hlavni lan se serverem bude mit vlastniho openvpn klienta.

Bezpecne to bude tak, jako zvolena sifra - vzhledem k malym prenosum si imo muzes dovolit vpohode aes256, ktery jeste neni snadno rozlousknutelny. O tom, ze by v ovpn byly nejake zavaznejsi bezpecnostni diry, jsem zatim neslysel. Autentifikace klientu na zaklade certifikatu/sifrovacich klicu by obecne mela byt hodne bezpecna.

Samozrejme pokud ti jde o bezpecnost na urovni BIS, tak by to asi chtelo oslovit specializovanou firmu ...

[lepermessiah]

no urcite sa to bude riesit cez OpenVPN, IPSec si fakt netrufam, OpenVPN by som sa aj chcel naucit..mozno sa to v buducnosti zide 2PC budu este len pripajane, pouzite budu DrayTek Vigor 2700 VOIP (od T-Comu..s tym nic nespravim) a tie maju podporu softwaroveho VPN, 2 tunely, co dufam staci (hadam by mal stacit jeden nie? ) ...pripojenie na ten server bude cisto len kvoli tej aplikacii...ale bude sa tam pristupovat casto..ale to je hadam nepodstatne..zaklad je, ze sa to tam proste musi pripojit..teraz mam verejnu IP na serveri, tak dufam ze to bude stacit, a nebudem musiet doobjednavat verejne IP aj pre ostatne PC

a co sa tyka tych profesionalov, verim tomu ze by sa nejaky nasiel, ale nie v tomto meste (to urcite nie, uz sa zhanali) a urcite nie za normalne peniaze...

[ldol]

Osobne bych se zameril na Mikrotik a VPN pres nej. Myslim si, ze se vyplati investovat svuj cas spis do studia RouterOS nez jen do OpenVPN. Jinak co se tyce Mikrotik a VPN tech moznosti, ktere lze uzit je vice. IPSec VPN, pripadne pptp, l2tp a ve verzi 3 je i ovpn server...

[Marty]

Osobne bych se zameril na Mikrotik a VPN pres nej. Myslim si, ze se vyplati investovat svuj cas spis do studia RouterOS nez jen do OpenVPN. Jinak co se tyce Mikrotik a VPN tech moznosti, ktere lze uzit je vice. IPSec VPN, pripadne pptp, l2tp a ve verzi 3 je i ovpn server...

No já ti nevím, Mikrotik je sice moc fajn zařízení, ale není to všelék.
Pokud něco studovat do corporate prostředí, tak Cisco.

[ldol]

No já ti nevím, Mikrotik je sice moc fajn zařízení, ale není to všelék.
Pokud něco studovat do corporate prostředí, tak Cisco.

To je samozrejme pravda, ale k puvodnimu pozadavku ma tik bliz nez cisco. Na to, co puvodni tazatel pozaduje bych prave tika zvolil. A dokonce bych se pokusil mozna i vynechat ty vigory. Pri urcitych aplikacich (vigor proti openswanu, vigor proti racoonu na freebsd) to nebylo nejstabilnejsi. Na druhou stranu vigor proti vpn koncentratoru na cisco ase bezi stabilne. Vsechno rada 2600 imho. Btw. pokud vigor, tak ten umi ipsec vpn, tak ted nevim jak do toho zapada OpenVPN

[lepermessiah]

mozno to nakoniec bude prepojene len cez tie vigory...na serveri je Vigor 2700 tiez
len z notebooku sa bude treba nejako pripojit tiez..niekedy..nahodne..a to asi to OpenVPN vyriesi (len som este nezistil, ci ten Vigor 2700 podporuje aj OVPN)

[Fox!MURDER]

openvpn funguje pres standardni TCP konekce, resp UDP datagramy, takze zadna podpora kdekoliv neni potreba. jediny co opravdu potrebujes, je jedno jediny verejny IP na openvpn serveru, nebo port-forward jedinyho portu ... v tom je ovpn proti vsem ostatnim resenim genialni ... funguje to uplne na libovolnym standardnim zarizeni...


jina vec by byla, pokud bys chtel propojovat site jako celky ... ale to ty nepotrebujes ...

[sasha]

To je samozrejme pravda, ale k puvodnimu pozadavku ma tik bliz nez cisco. Na to, co puvodni tazatel pozaduje bych prave tika zvolil. A dokonce bych se pokusil mozna i vynechat ty vigory. Pri urcitych aplikacich (vigor proti openswanu, vigor proti racoonu na freebsd) to nebylo nejstabilnejsi. Na druhou stranu vigor proti vpn koncentratoru na cisco ase bezi stabilne. Vsechno rada 2600 imho. Btw. pokud vigor, tak ten umi ipsec vpn, tak ted nevim jak do toho zapada OpenVPN

vpn koncentrator nebezi na ase to jsou dve dnes uz odlisne platformy, jinak by me zajimaly argumenty pro tve tvrzeni, ja nevidim u asa boxu zadny problem...

[ldol]

Pokud vim, tak u nas je asa i vpn koncentratorem pro vpn tunely z nekolika vigoru a jak jsem napsal tak to bezi stabilne Nestability se vyskytly pri zakonceni tunelu linuxovym openswanem pripadne racoonem na freebsd.

Takze potvrzuju, u asa boxu take nepozoruju zadny problem

[sasha]

Pokud vim, tak u nas je asa i vpn koncentratorem pro vpn tunely z nekolika vigoru a jak jsem napsal tak to bezi stabilne Nestability se vyskytly pri zakonceni tunelu linuxovym openswanem pripadne racoonem na freebsd.

Takze potvrzuju, u asa boxu take nepozoruju zadny problem

ah ok, ja si to spatne precet, kazdopadne bych opravdu rozlisoval asu a vpn koncentrator at tu nepletem ostatni...

[Fox!MURDER]

ah ok, ja si to spatne precet, kazdopadne bych opravdu rozlisoval asu a vpn koncentrator at tu nepletem ostatni...

ja mam hlavne pocit, ze tu tahate kanon na vrabce

[sasha]

http://www.heise-online.co.uk/networ...eatures/110023

http://openvpn.net/index.php/documentation/howto.html