VPN na serveru nebo samostatný VPN router?

Neviem aky VPN server tam mas, ale mali by stacit preforwardovat port. A aj B by malo fungovat (ak to spravne nastavis).

Ano, možné je oboje, ale osobně bych asi spíš preferoval řešení s vyhrazeným zařízením. S Windows serverem to samozřejmě možné je taky, ale tím přesuneš tu autorizaci a šifrování na CPU toho serveru. Navíc předpokládám, že server je to, co chceš chránit, tj není moc rozumné ho vystavit do internetu, třeba jen jedním portem. Kupříkladu by někdo na tebe mohl zkusit nějaký útok a ten server zahltit. V případě vyhrazeného zařízení (ono to VPN umí třeba i chytřejší routery, zase v tom nehledej vědu), zahltí ten VPN server, ale aplikace poběží dál, třeba přístupná jen z lokální LAN. A. Licenční záležitosti bych do toho nerad míchal, s těmi CALy je to různé. Nicméně technicky je to úplně stejné, jako kdyby jsi byl připojený do místní LAN, vedle toho serveruB. tj odpověď je Ano.

Moc děkuji pánové. Ještě bych měl jeden dotaz - mám Win 7 Professional, kde bych chtěl zkusit otestovat vpn server (vytvoření VPN tunelu). Netušíte, zda má služby routing and remote access ve službách? V CZ verzi to nenacházím, ale netuším, zda tato služba není až ve Win 7 Ultimate....

Klient pro vytvoření PPTP VPN tunelu je přímo součástí Windows, všech desktopových edicí. Případně musíš použít specifický SW od výrobce, například Cisco VPN Client, OpenVPN a podobně. VPN server na desktopovém Windows nevytvoříš, leda nějakým SW od jiného výrobce, windows samy od sebe to nepodporují.

Stary dobry PPTP (ktery proleze snad i potrubni postou) neni uplne nejbezpecnejsi. Na druhou stranu - klient k nemu je snad i v lednicce a nema problem s NATem.Pokud mas kompatibilni klientska zarizeni, pak je SSTP jasna volba. 443/TCP proleze i pres postovniho holuba a certifikat je dneska za par stovek (nebo mas vlastni CA a pro domenove klienty neresis).MP

Pokud si dobře vzpomínám tak "routing and remote access" je až součástí Windows Server, u klientských windows to myslím není.

už jsem našel...rozjíždím a testuji. Díky moc

V klientskych OS je samozrejme VPN "server" take, nicmene je to orezane (1 user, PPTP)MP

Jaky typ VPN zvazujes? DURAZNE doporucuji SSTP. Od toho se odvine zbytek.MP

k dotazu jaké vpn zvažuji - zatím nevím, chtěl jsem otestovat, že mi projde VPN traffic přes router, kdy jsem udělal na Win 7 VPN PPTP a snažím se na něj dostat z venku. Zatím neúspěšně. Co se týká ostré verze, uvažuji o umístění VPN routeru do sítě, který by vytvořil bezpečné VPN. Rady vítány, na co si dát pozor, případně jaký síťový VPN router použít. Jde mi jen o propojení max 3 míst na VPN. Díky, Honza Lama

PPTP pouziva specielni PROTOKOL c. 47 (GRE) + port 1723/TCP. Mas je OBA povolene / smerovane/ na routeru?MP

P.S. predpokladam, ze jsi zacal pripojenim k PPTP "serveru" po LAN a toto ze proslo !!!!MP

pokus č.1 : na desktopu s Win 7 Prof jsem rozjel VPN server PPTP,přes adsl router jsem si nastavil port 1723. Bohužel v nastavení routeru jsem nikde nenašel protokol gre (dle technical support zyxelu to má projít i pouze při nastavení udp pct 1723)...ale z vnějšku se mi na to zatím nedaří připojit... takže asi tak

Aha, ja myslel ze mas router ... a ty mas zyxel ...Hledej VPN/PPTP/passthruMP

Ahoj, tvojí narážku chápu, bylo to však v té době jediné kloudné řešení, kdy ADSL mělo GSM back-up přes kompatibilní flashku. Pracuji tedy " s tím, co mám". VPN tenhle Zyxel nemá (jinak bych na tom dával i VPN server)...je to paradoxní, protože dřívější modemy/routery VPN server i VPN průchod měly, tenhle to nemá....typ VMG1312-B30B.Když to ten router neumí, znamená to KO tomuto řešení a musím koupit nový router? Můj úmysl byl ponechat stávající řešení, na Zyxelu dát průchod pro VPN port a mezi Zyxel a server vložit VPN router...tzn. minimální předělávání sítě. Předem děkuji za rady, Honza Lama.

Potrebujes: GRE je UDP port 47 a TCP 1723 pro VPN

No tady jsou zase odbornici ... :(GRE NENI UDP a NENI to port 47.GRE je IP family protocol cislo 47Z manualu k PODOBNEMU typu: ftp://ftp.zyxel.com/VMG1312-B10A/user_guide/V... je to nastavitelne jako User-Defined Protocol, cislo protokolu (47) se pak zadava do kolonky Port.MP

http://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=015140&lang=ENna druhou stranu ftp://ftp.zyxel.com/VMG1312-B10A/user_guide/V... obrat se na podporu zyxelu (Tusim firma Apollo), co tim chtel basnik riciMP

no stav je ten, že zatím nic v nastavení NATu je možnost volit služby (přednastavené), takže PPTP jsem objevil a aktivoval, ale stejně mi to nechodí...ach jo.Našel jsem tam i IPsec, ale SSTP jsem nenašel.Na podporu Zyxelu jsem napsal, zatím bez odpovědi.

SSTP pouziva HTTPS, takze pro SSTP namapujes POUZE 443/TCPMP

posunul jsem se....když se připojuju vzdáleně, už mi to aspoň hlásí chybu 733. Prý protokoly...zkusím projít tcp/ip.

Jak mas nastavene pridelovani IP adres VPN serverem? Pro zacatek DURAZNE doporucuji zadat rucni rozsah !!!MP

nastavil jsem ip ručně...funguju.

Jojo, tak jsem se sešel s Vaším doporučením. Takže připojení jsem otestoval. Můžu Vás požádat ještě o jedno ujasnění?Jaký by byl ideální stav pro malou (nízkonákladovou síť) pro vytvoření vpn tunelu?nejde mi o typ routeru (buď vyměním komplet adsl router nebo dokoupím vpn router za adsl router), spíš se ptám z neznalosti konfiguraci zabezpečení:zabezpečení, protokol, nějaký zdarma certifikát?Díky moc,Honza Lama

Co mas k dispozici? Windows server (verze?)? Domena? Osobne stale jeste pouzivam PPTP pro jeho kompatibilitu. Ale jak jsem jiz psal, s bezpecnosti na tom neni nejlip.Takze bych doporucil SSTP. K tomu potrebujes Windows server (sluzbu RRAS a NAP), idealne samozrejme v domene a certifikat (muzes si jej vystavit sam napr. pomoci openssl nebo interni CA).DURAZNE doporucuji vyhnout se jakekoliv VPN, ktera vyzaduje instalaci vlastniho klienta (ci dokonce serveru).MP

infrastruktura je taková, že je tam nějaký adsl router (Zyxel ), a server Win Server 2012 Foundation (osekaná verze, nám ale stačí...nemá například virtualizaci). Server není v doméně. Server nechci zatěžovat-ohrožovat přímým vstupem z venku, proto zní rozumně to, že raději do sítě vložit nový prvek VPN server, který rovnou bude dělat to, že uživatelé zvenku budou přistupovat jako lokální uživatelé, než to zapínat na serveru. Hlcení serveru (byť málo pravděpodobným útokem) nechci podstoupit, to ať to raději skončí už na VPN routeru (který bude dělat vpn server). Nebo si to představuju špatně a stejně budu muset při VPN routeru ještě nastavit na Win serveru RAS a NAP s udělat certifikát? Mimochodem jde certifikát vygenerovat i pro obyčejný VPN router s funkcí VPN serveru?

No ... ja jsem Windows specialista.Osobne verim VPN (RRAS) serveru ve Windows asi tak milionkrat vic, nez nejake implementaci v levnem routeru. Takze se mi prilis nechce byt spolupachatelen nejakeho pru.eroveho reseni.MP

Dobrý den ještě jednou pane Pragl,protože se na server budou muset připojovat Win XP, tak na SSTP mohu bohužel zapomenout a musít akceptovat PPTP, nebo pro Win XP klienty je dostupné nějaké dobré řešení za pomoci Win Serveru, kde by jel RRAS?

Prosim nevykej mi, jsem stara skola a je mi to krajne neprijemne. Dik.XPcka umeji nativne L2TP a PPTP. RRAS umi L2TP, SSTP, IKE2 i PPTP. Pokud ti nevadi nutnost instalace klienta (a serveru), pak zvaz zminovany OpenVPN.MP

Něco podobného (na 8 míst) jsem vyřešil pomocí TP-Link WR1043ND (ten sice není VDSL, ale není problém přepnout Zyxel do bridge-modu .. stejně si nic jiného nezaslouží a je i stabilnější), do kterých jsem vrazil firmware DD-WRT. Z jednoho jsem udělal centrální router a z ostatních pobočkové. Návody najdeš zde .. https://www.dd-wrt.com/wiki/index.php/Tutorials. Sice budou zdejší guru řvát o bezpečnosti, ale použil jsem variantu s pevně vygenerovaným klíčem a fungovalo to v pohodě 5 let.

Spis by mi vadila OpenVPN resp. nutnost instalace klienta 3. strany. Ale oproti slabe zabezpecemu (ale zase siroce podporovanemu) PPTP je to asi prask jako uhod.MP

Neřekl, že chce s těmi "pobočkami" někam pochodovat. Takže pokud myslel těmi usery někoho, kdo sedí doma u kompu a chce se přes VPN připojovat, tak mu taktéž stačí ten router s DD-WRT, který je nakonfigurován .. a na počítačích nemusí nic instalovat.

aha, nepochopil jsem, ze to byl site to site tunel/y/Pokud je to na povolenych pevnych WAN IPs pak je to dostacujici.MP

Zdravím, jsem Lama, tak asi to vysvětluju špatně. Pokusím se líp:ano, jde mi o to nastolit bezpečné připojení mezi jedním serverem v jedné lokální síti a 2 vzdálenými uživateli (dohromady 5 zařízení, ale najednou budou připojena max 2). Jde mi pouze o spuštění 1 aplikace na serveru, nic víc, žádné fotky, soubory dokumenty, žádná další data.Ale mezi zařízeními, co se na server mají připojovat jsou 2x Win XP.Potřebuji tedy akurátné řešení (ne dělo na vrabce), aby to chodilo a nebylo extra "odkryté" na případné nějaké útoky.

ještě k těm pevným IP - ta lokální síť se serverem má pevnou IP, ale bohužel ty připojující se klienti jsou pohybující se prvky - jednou z mobilního připojení, podruhé ze vzdálené kanceláře....takže dynamické IP.

Ano. Mobilní připojení = klient PPTP. Kancelář = site to site. Oboje jsou strany, které vyvolávají spojení VPN směrem ke koncentrátoru (centrále). Centrála musí mít pevnou veřejnou IP adresu. Klienti nikoliv. Na sestavení VPN to postačuje. Takže ve zmíněném případě potřebuješ pouze 2 routery ... jeden pro centrálu, druhý pro tu kancelář, klient s mobilním připojením bude používat "klienta VPN" ve Windows. Pokud se ti zdá pořízení 2 routerů levné třídy (např. zmíněný WR1043ND a třeba WR841ND v celkové ceně cca 2000 Kč, do kterých napasuješ DD-WRT) za kanón na vrabce, můžeš si klidně pořídit kvalitní malý VPN router za 5000 atd.

děkuji za rady, jdu to tedy pořešit