Ahoj lidi.Prosím o radu s následujícím:Mám síť o pár PC a nějak se mi množí situace, kdy je potřeba se připojovat na VPN server k někomu.Což jde samozřejmě tak, že na každém jednotlivém PC nastavím VPN síť - připojím se k ní a potom třeba pomocí RDP pracuju na počítači ve vzdálené síti.Nicméně, to musím na všech PC (není jich moc, ale není to úplně praktické) nastavit VPN.Když nastane situace, že se na VPN něco změní nebo přibude nová VPN, tak musím zase obejít všechny PC a upravit / přidat VPN.Mohu připojení k VPN zařídit i na routeru (Mikrotik), ale nejsem si jistý, co se stane, když někdo v té VPN použije shodný rozsah adres jako mám já nebo už jiná VPNka. Nebo jak to potom uřídit?Momentálně se takhle připojuji ke 2 VPN serverům, což je ještě v klidu, ale může nastat situace, kdy jich bude třeba 10.Napadlo mě řešení použít jeden stroj, kam dám všechny VPN a na ten se bude připojovat každý, kdo bude… chtít použít VPN, ale pokud to bude víc lidí současně, tak už to bude chtít server a bude se přes RDP pouštět další RDP do vzdálené sítě.Existuje něco lepšího? Ukázat celý příspěvek
Pro často používané VPN můžeš na Mikrotiku udělat pernamentní VPN tunel (nezapomeň to správně naroutovat). Pokud se ti potkají shodné rozsahy IP tak holt smolík a buď budeš používat vytáčené VPN u uživatelů nebo se musí něco přeadresovat.
Ten konflikt IP adres se obcas da resit chytrym NATem na jednom z routeru - bud jeste u sebe pred vstupem do VPN tunelu nebo na vzdalene strane VPN serveru. Parkrat jsem to takhle v minulosti delal, kdyz nebylo zbyti.
Momentálně se takhle připojuji ke 2 VPN serverům, což je ještě v klidu, ale může nastat situace, kdy jich bude třeba 10 ???cele to nechapem, co chces dosiahnut? Mas LAN so 7 PC a zvonka sa tam chces pripajat na hociktore PC cez RDP alebo co?
No a to jsem si myslel, že jsem to popsal srozumitelně 😉Mám těch PC v síti asi 15 a z nich je potřeba se připojovat k VPN serverům.Nechci se na svá PC dostávat zvenku, ale naopak z nich ven pomocí VPN.A jak říkám, těch VPN, kam se připojovat může být x.
tak to uz vobec netusim naco. Naco by som sa ja pripajal teraz na nejaky VPN server niekde na internete? Nepotrebujem skyvat moju ip. Takze toto neriesim, ignoruj ma. Myslel som si, ze chces presny opak.
V pohodě.VPN neslouží jenom ke skrytí adresy.Ale chceš-li přistoupit na počítač, který má někdo ve své síti, tak je to asi nejbezpečnější způsob, jak tě tam pustit. Samozřejmě ne jednorázově (na to se da použít třeba Teamviewer nebo Anydesk nebo tak něco).Kor, když těch počítačů kam se chceš dostat může být víc, než 1.
tak ale pada to, ze urobis vpn na mikrotik. Ty u seba darmo urobis vpn, ked sa potom pripojis k pani v Ostrave a zajtra k panovi v Budejovicich.
Na mujrotiku si moze urobit XY VPN - napr. zerotier.
Na Mikrotiku - ale ZT je podporovany len na MT s procesorom ARM. Jednotlive ZT mozes zapinta aj vypinat ci uz priamo na MT alebo cez web ZT poskytovatela. Alebo aj mat vsetko zapnute natrvalo.
Proc by to padalo? To je naopak bezne reseni, VPN mezi routery je naprosto bezna zalezitost.Proste bude mit ze sveho routeru permanentne otevrenych nekolik VPN tunelu ke svym zakaznikum. Technicky to neni problem (pokud s tim nemaji problem ti zakaznici nebo pokud pro sestaveni VPN tunelu nepozaduji 2FA).
na tohle samozřejmě slouží Teamviewer host. Neslouží pro jednorázovej vstup, ale pro permanentní dostupnout PC a to i před přihlášením uživatele. Nechápu proč se drbeš levou rukou na pravym uchu rukou prostrčenou pod nohou.
Treba pro vzdalenou podporu firem (nebo nekterych jejich systemu), ktere ti za to plati. Je to celkem bezna praxe.
Jak pisi VPN neni jen na skryvani adres, lae i pro pristup ke klientum. kdyz mas vlastni VPN tak mas klienty jako u sebe v siti. a to je rozdil mezi VPN a VPN 😀
takze ti ludia sa k tebe pripajaju na VPN?Som len ja debil, alebo niekto chape o co tu ide?
Chapeme to vsichni. On se pripojuje na VPN servery svych klientu. Predstav si treba, ze jsi databazovy administrator a staras se o databaze dvaceti ruznych firem. Kazda firma ti da pristupove udaje na svou VPN, aby ses mohl pripojit k databazi v jejich vnitrni siti a starat se o ni.Takze kdyz se potrebujes podivat na databazi firmy X, pripojis se na VPN firmy X a potom k te jejich databazi...
ale naco ktomu potrebujem prekonfigurovat mojich 15 pocitacov a moj router mikrotik?Ved jasne, ze ked sa idem pripojit k firma1, tak vytvorim vpn1, ked firma2, vpn2.... Na mojom PC! Nie na 15PC v mojej sieti..
A když tam chci přistupovat ze všech 15 PC v mé síti?
Nastavis si jednoduse povoleni cele site a misto 192.168.88.1/32 das 192.168.88.0/24
Naopak, ty se připojuješ prostřednictvím VPN ke klientovi. Naprosto běžná praxe tam, kde je třeba dodržovat stanovenou úroveň zabezpečení.A žádné adresy se neskrývají, právě naopak.
Ano, jejich routery jsou ke me tunelovany, ALE nejedou pred muj router ani pripojeni. Proste jejich routery maji branu jejich poskytovatele , ne tu mou. Timpadem prezeme nejde jejich tok. Myslim ze je to dostatecne vysvetleno. Ale s tim, ze ja mam pristup na IP adresu ktera je na jejich routeru treba z rozsahu 172.16.x.x i na 192.168.88.1-254 uz chapes? Jedine pripojeni kde mam allov IP 0.0.0.0/0 je muj telefon a tim jsem povolil veskerou komunikaci pres muj router. To vyuzivam v zahranici mimo EU, abych se podival na nejake IPTV ktere je mimo EU blokovano.
Bobečku ... VPN není jenom k tomu, aby jsi schovaval IP adresu. Třeba je to proto, že jsi IT dodavatel a potřebuješ se připojovat do sítí ke svým klientům.
ja momentalne mam na svem MTIKu WireGuard server, a mam asi 6 siti, kde mam tunel, ale jak pises kazdy mtik musi mit jiny rozsah adres, nesmi byt vsechny na 88.x Ale to neni problem. na WG se mi pripojeuje i linux server, routery s WRT i ma klientska stanice NTB (Win), taky telefon(iPhone/adnroid) a mam to udelane tak ze jedine tel a NTB ma pristup nejen na routery, ale i na ostatni zarizeni v jejich siti, tzn AP, tiskarny apod. Ale oni nemaji pres WG pristup do me site. Dale se ti klienti mezi sebou nevidi. Ladil jsem FW flouho a allow IPs ve WG, ale je to pak pohoda. Podminka je ale jedna verejka ale tu asi mas, kdyz uz mas svou VPN. tak prostuduj a pak se ptej na konkretni otazky.
Tak já to zkusím ještě jednou 🙂Jediný, kdo to pochopil je Jirka.Jedná se o to, že se potřebuju dostat do jiné sítě.Takže ten, kam se potřebuju dostat má VPN server, dá mi na něj údaje.Já na svém PC vytvořím VPN spojení, připojím se na jeho VPN a tam můžu něco dělat na jeho PC.Ale já těch PC mám x, takže musím to VPN spojení do jeho sítě udělat x (na každém PC).A pak přijde druhý a dá mi VPN přístupy na svůj server a já musím celou situaci opakovat.Když mi takhle přijde 10 lidí, tak budu mít na každém PC 10 VPN spojení do jejich sítí a tomu se chci vyhnout.Takže hledám nějakou "centrální správu VPN připojení" 🙂 V kostce.
Taky jeste Vilem, ktery ti dal spravnou radu hned v prvnim prispevku...
Ano, to je pravda, omluva Vilémovi 🙂
dyt to pisu, na Mtiku svem si udelej WireGuard, a pro kazdy rozsah klenta adres dej celou sit a pak klienta nastavis na druhe strane a tim mas pripoj, a kdyz jeste na svem mtiku nastavis dobre routu tak mas i pristup na vsechny zarizeni v te dane siti.
To by musek ten WG instalovat do PC alebo routera u zakaznka. A ten uz nasjkor ma nejky typ VPN.Ja som mu odporucal ZT ale este predtým nez som docital cele vlakno.Najlepsia a najjednoduhsia rada na konfiguraciu je ten TeamViewer alebo obdobny program.
Však vpohode. WG muže byt na jiném portu.
na tohle slouží líp Teamviewer - aktuálně mám v seznamu několik set PC který spravuju když je třeba. Roztřídíš si to podle firem nebo skupin, vidíš kdy jsou zapnutý atp. Dělat tohle přes VPN na jednotlivý PC a pak RDP když zamkneš na danym PC plochu je úlet. Uživatel pak nevidí co děláš a nemlůže ti cokoliv ukázat.Zaplať si Teamviewer. Pokud nechceš těch pár stovek měsíčně platit, tak použij třeba vzdálenou plochu Chrome, to je skoro to samý.
Teamviewer zaplacen.Ale poměrně dost lidí (no spíš jejich IT) mu nechce věřit a prostě chtějí VPN.Nechtějí se připojovat ke mě, chtějí, abych se já připojil k nim.Ale jak to tak tady procházím, tak si nic jiného, než ten mikrotik a sledování, zda nebudou používat stejný rozsah z toho asi nevypadne.
Nemusi to byt zrovna Mikrotik, tohle zvladne kazdy slusny router s vyjimkou krabicek pro domacnosti.
tak na TV host ti něvěří, ale věří ti natolik že tě pustí přes VPN do své sítě a pak na PC aby neviděli co tam přes RDP děláš ? Jen jestli si nevymejšlíš 😀Používáme TV do desítek firem i na sevrery a řádnej problém s tím není. Corporate verze, 3 souběžné kanály, přístup z x našich PC (není omezení) na stovky PC a serverů ve firmách. Nikdo s tím nemá problém - TV host je často na všech PC dané firmy. Pokud ti ta firma věří, je to ok.. ale na to už si odpověz sám.. 🙂
a este navzdy ho pustia na VPNku, dovolia mu ju nastavit nastalo na aby tam bol pripojeny aj ked aktualne netreba a neservisuje. Kktina na ntu. Ja to pochopim, ked mam 20 pobociek a potrebujem medzi pocitacmi 1 firmy spravit LAN.. ok. toto je cele blbost od zaciatku. Raz za pol roka, ked sa teda potrebujem pripojit ku klientovi, tak si editujem vpnku, upravim ju na daneho klienta, dvojkliknem a robim. O hodinu sa pripajam k inemu, tak editujem vpnku, pripojim robim.
jasne, ze TV resp. konkurencia. Toto je absolutna blbost od zaciatku. Inak TV nieje par stoviek :) Neorientujem sa v ich cenovej politike, ale zrejme TeamViewer Business musis kupit a to je 33€/840Kc mesacne. Ked mas "nekolik set" klientov, tak ok, my toto vobec nemame u koho pouzivat, takze by sme zbytocne vyhodili 33€ do kanala.
Pokud se jedna o win 10/11 tam je přímo součást vzdálena pomoc. To myslím ze it schválí. Jediná vec je ze jeden, napr ty, musí mit účet na MS. A pak je to pohoda. Jako teamviewer.
to je dost problematický. Musíš se vždycky s někým domlouvat. Většina věcí se třeba dělá bez přítomnosti uživatele. Vzdálená pomoc je nouzovka pro jednotlivce.
TV ti nakonec vyjde nejlíp. Platíme ho od začátku snad 20 let, Jednou za čas se snažím nají odpovídající náhradu a nikdo nemá takový popmínky. Ano je to drahý, ale pokud se živíš nějakou IT podporou, tak není lepší řešení. (Corporate verze 3 souběžný spojení bez dalších omezení na počty stanic/admin pc).Otázka jak pohodlný to chceš mít a jak moc obtěžovat lidi na druhý straně svým obskurním řešením s VPN a RDP atp.
Čo tak skúsiť vytvoriť nové VPN pripojenie na 1 PC a potom vyexportovať a naimportovať nastavenia VPN na ostatné PC v sieti pomocou skriptu.Tým pádom netreba obchádzať všetky PChttps://pureinfotech.com/export-import-...indows-10/
Ale jo, to by samozřejmě šlo, díky za nápad.Spíš jsem to chtěl udělat tak, abych na těch PC vůbec nemusel tu VPNku mít, stačila by ikonka vzdálené plochy 🙂
Tak potom ma napada jedine vytvorit jeden server 2022 napriklad s Terminal Services.. aby sa na neho mohlo pripajat viacero uzivatelia a na nom nastavit tie VPN. Len neviem či by vedel byt naraz pripojeny do viacerych VPN ...
To je strašná bejkárna, využívat ně něco takového Windows Server, kde platíš výpalné Microsoftu...Proč by si někdo takto dobrovolně ubližoval?
Veď ja nevravím že to má tak spraviť ale keď píše že by najradšej nemal nastavené tie VPN na všetkých strojoch ale len ikonku na ploche tak ma to napadlo.
Tohle mě taky napadlo, může být připojený do více VPN, ale stejně to neřeší případný problém s kolizí rozsahu IP adres.Takže to čím dál tím víc vidím na to, že budu obíhat PC a holt spíš vytvořím systém, aby všichni nemuseli mít všechny, ale jenom ti, co potřebují ty konkrétní.Leda ještě vymyslet možnost, že by po spuštění ikony na ploše se vytvořilo připojení ke správné VPN a potom pustilo RDP...
Kolize IP adres je resitelna na urovni routeru, jak jsem uz psal nahore. Potrebujes jenom nekoho, kdo trochu rozumi sitarine...
Myslím, že víc, než trochu 🙂
Napiš mi v případě zájmu na pomoc@cif.anonaddy.com a nějak se domluvíme.
Připojím trochu svůj názor, znám situaci z obou stran (jak ze strany servisní organizace, která se připojuje ke klientům, tak ze strany správce, který takový přístup pro externí firmy zařizuje).Nejprve úskalí permanentní VPN ke klientovi - myslím, že tady narazíte na neochotu nastavovat permanentní VPN ze strany klienta (tvorba tunelu, řešení směrování, nedůvěra v zabezpečení vaší sítě apod.), záleží na rozsahu práce u klienta vykonávané. Dokonce je otázka, jestli toto omezení nebude součástí smlouvy kolem NDA (co člověk, to login - samostatná VPN kvůli auditu).Další varianta je na svém routeru nastavit a vytočit uživatelskou VPN a přístup do ní NATovat (schovat za jednu IP). Tady záleží, jestli máte jeden VPN přístup pro celou firmu, nebo konkrétní jmenné účty. Pokud budou na konkrétní jména a jeden z nich použijete pro VPN navázanou z routeru, je to trochu obcházení systému a bude to dohledatelné na straně VPN serveru (neustále připojený jeden uživatel) a potenciálně… problém při případném auditu činností (když kolega něco po.., pak pod vaší uživatelskou VPN). Je možné, že narazíte na zákazníka, který bude využívat nějakou proprietální VPN, kterou na Mikrotik nedostanete (Fortinet, Cisco apod.). Kolizi subnetů lze za určitých podmínek na Mikrotiku obejít např. NATem 1:1 na fake rozsah nebo zadáním specifičtějších rout (např. místo /24 routy /30 routu apod.).V případě ponechání VPN na jednotlivých PC je možností nějaká synchronizace nastavení VPN mezi PC (např. kopírováním *.pbk souboru), případně automatické vytáčení pomocí PS (např. Add-VpnConnectionTriggerApplication, viz. https://learn.microsoft.com/en-us/powershe...pplication). Některé druhy VPN také nemá rádo více navázaných tunelů z jedné veřejné IP (typicky L2TP na Mirkotiku).Jak se zdá, bude to vždy o nějakých kompromisech. Ukázat celý příspěvek
Plně s Vámi souhlasím. A pan Béďa by si měl taky uvědomit, že žádný zákazník, který alespoň trochu myslí na bezpečnost své sítě, si nenechá permamentně vytočenou VPN k servisní organizaci, protože je to bezpečnostní riziko. Stačí, aby někdo u pana Béďu otevřel špatnou přílohu emailu a může dojít k zašifrování všech jeho zákazníků. Souhlasím s tím, jak to zmiňujete: co zákazník to VPN. Pracuji v jedné servisní organizaci, kdy máme zákazníky po celé ČR, a vždy záleží na centrálním firewallu (VPN) zákazníka jakého klienta VPN můžete použít - momentálně mám na PC asi 7 klientů VPN s cca 50 různými VPN připojeními a to nepočítám AnyDesk a TeamViewer, kde máme připojení na cca 200 PC/Serverů. Rada pro pana Béďu - buď udržovat VPN na všech PC a nějak je synchronizovatnebo nějaká forma jednoho přípojného místa (PC/Server) odkud se budou všichni připojovat - tam ale hrozí kolize prostředků (např. množství RDP přístupů) a VPN (nejednou se mi stalo, že při vytočení… více VPN z jednoho PC se VPNky mezi sebou pohádaly a nešlo se k cíli připojit). Snad najdete řešení, které Vám bude vyhovovat a bude schůdné i pro Vaše kolegy. Ukázat celý příspěvek
" A pan Béďa by si měl taky uvědomit, že žádný zákazník, který alespoň trochu myslí na bezpečnost své sítě, si nenechá permamentně vytočenou VPN k servisní organizaci, protože je to bezpečnostní riziko. Stačí, aby někdo u pana Béďu otevřel špatnou přílohu emailu a může dojít k zašifrování všech jeho zákazníků. "Vazne? Nicim jako firewall na strane zakaznika, zakaz SMB komunikace, prava na disky a soubory, jump servery apod. se zabyvat nebudeme?
Firewallem tomu můžete trochu napomoci, ale bezpečnější je prostě nemít tu cestu permanentně vytvořenou (sestavenou VPN). Většinou se servisuje přes nějaký protokol vzdálené správy (SSH, RDP, VNC apod.), na který se dá v pohodě útočit.
Tohle bych pouze routerem asi neřešil, spíš mezi síť a router nebo místo routeru dal bránu která by se starala jak o aktivaci tunelů, tak o překlady adres, nevadila by pak ani kolize rozsahů u klientů, navíc by to dovolovalo různé kombinace např všechna PC k jednomu cíli, nebo každé PC jiný cíl.U nás máme několik servisních organizací, každá má vlastní VPN tunel, který se ale zapíná pouze v případě potřeby a je směrován na konkrétní servery nebo VLANy .
Jakou bránu?Nějaké konkrétní řešení?
Nemám moc přehled o posledních zařízeních nebo SW řešeních, ale před cca 15lety, jsme to řešili serverem s linuxem a určitým nastavením profilů VPN v configuračních scriptech ve sdílených složkách a pojmenovaných podle zákazíka a cílového serveru, zvládalo to myslím 3-4 souběžná VPN připojení.V jednoduchém případě, by možná stačilo mít uložené konfigurace a aktuální dávat do sdílené složky na serveru kam budeš mít nasměrované načítání configurací z jednotlivých PC, samozřejmě ta složka může být společná nebo pro každý PC jiná. platí jak pro configuraci VPN tak pro nastavení RDP.
Tehdá nám to dělali maníci ze Skynetu (dnes PODA), měli rozsáhlý přehled o síťových technologiích a možnostech.
velmi sa v tom neorientujem ale nadhodim napad. VPN pripojenie ma svoj configuracny subor/subory. tebe ide o to aby si na kazdom PC mal aktualne VPN nastavenia. co takto zamerat sa na synchronizovanie tych suborov medzi pocitacmi. tym padom ak zmenis nejake nastavenie ta sa synchronizuje vsade ...
Ale jemu nejde o to, aby měl na všech počítačích stejné nastavení. Jemu jde o to, aby se z 15 počítačů mohl připojit do N sítí skrzevá N VPN.A nastavit to na jednom místě (routeru) je snazší než vymýšlet systém synchronizace a pak to nastavovat na 15 zařízeních.
Podle mě není problém, aby měl centrálně uložené ty konfigurace a pro každý PC sítovou složku na serveru s konfigurací VPN a RDP, kam se má připojit.Navíc si myslím, že by se nad tím dala udělat jednoduchá správa s tím, že by se evidovalo kdo kdy na čem dělal.Ale u firmy poskytující placený SW/DB outsourcing a servis, bych předpokládal sofistikovanější a komplexnější systémové řešení.
je to tak. Ale ty vpn konfigurace se tak často nemění aby je bylo třeba pořád synchronizovat. Stačí je mít někde centrálně uiložený a když se něco změní, tak si tam dáš ten aktuální. Celý je to ale bizarní a patláme se tu v pěknejch hovnech jen aby se vymyslelo nejsložitější řešení.
VPNky se připojují na firewall nebo VPN server (do adresního rozsahu pro VPN klienty), ze kterého se jde buď RDP na jumpserver, nebo mi klient naroutuje jeden nebo víc síťových rozsahů.Připojovat se do jedné sítě různými VPN, pro každý počítač jinou, to by snad ani nešlo, u každého zákazníka mají obvykle několik serverů a různé síťové prvky, pracovní PC raději ani nepočítám - na nich je TeamViewer nebo Vzdálená pmoc/Rychlý Pomocník od MS lepší než RDP 🙂Na služebním mám 5 VPN klientů, asi 35+ VPN profilů a 10 virtuálních VPN síťovek. Ale součastně připojených nenívám víc než 5-6 najednou.Kolize adresních rozsahů je na počítači vidět v routovací tabulce, když se něco překrývá, stačí odpojit kolidující VPN co právě není potřeba. Na trvale spojených site2site VPNkách se kolize síťových rozsahů řeší NATem na vhodném síťovém prvku podle technologie a topologie, ale nové už dnes nepřidáváme, udržujeme jen pár historických.
>pokud to bude víc lidí současně, tak už to bude chtít serverserver a normální PC je skoro to samý, takže nevidím důvod mít server, můžeš mít normální PC a říkat tomu server 😀u nás v práci třeba firemní intranet web jede na jednom starším pracovním PC.. takže je to v podstatě teď server..
jak jsem napsal tak nechápu proč nepoužívat Teamviewer, ale VPN do cca 15 sítí řeším přes OpenVPN servery v těch firmách na NASech Synology (nebo na Mikrotiku) a na všech PC který používám mám všechny OpenVPN připojení nastavený stejně - stačí mít všude stejný .ovpn soubory s konfigurací v Program Files\OpenVPN\Config
Děkuji všem za účast, rady a názory.Myslím, že jsme téma již vyčerpali a nějaký názor na to jsem si udělal a nějaký postup vykoumám tak, aby to vyhovovalo co nejvíc na všech stranách.
není potřeba nic "koumat" všechno už je hotový a používá se.Já jen doufám že s firmou která řeší nějakou podporu kde pracuješ s nikdy nedostanu do styku já ani žádnej náš zákazník - čeho se týká váš předmět podnikání ? 🙂
Když už jde o 15 PC .. máš ty počítače v doéně? VPN můžeš do PC distribuovat přes doménový politiky.
Paneboze maji ty firmy nejaky IAM ?Permanentne otevrene, nebo povolene VPN pripojeni z externich firem do moji site. To je tak rok 2010 ne?Dneska se to resi nastrojema jako je BeyondTrust.Jak velke jsou to firmy ke kterym se potrebujes pripojovat?
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.