Помощ за VPN или zerotier

[Петър]

Здравейте,

работя в офис с над 10-на служители и се налага да им помагам с нещата свързани с работния процес. До скоро ползвахме TeamViewer или AnyDesk, но вече минахме на инсталирани VNC сървъри на всяко устройство и се свързвам с тях с RealVNC. 

В офиса ни има доста работни места - на всяко място има докинг станция със свързано всичко необходимо към нея и ако не налага колега да се премести - просто си взема лаптопа и сменя работното място. Обаче всяка докинг станция е със собствена ЛАН карта и съответно когато някой си смени работното място или му се прецака докинг станцията (за момента ползваме китайски) е с различно IP. Това донякъде е проблем, защото всеки път трябва да проверявам кой лаптоп на кое IP е.

Този проблем го разреших като вместо по IP  се свързвам към всяка машина по хост, но това работи само в локалната мрежа. Когато не съм в офиса или друг колега се наложи да ме замества от друг офис е много трудно само по IP да се свързвам към колегите.

Опитах с ВПН сървър, обаче не успях да направя така, че да мога когато не съм в офиса като се свържа с сървъра на рутера да се свързвам по hostname, а става само по IP.

Опитах и със ZeroTier, свързвам се с локалната мрежа на офиса, но пак не мога да отворя през VNC връзка към hostname, а само по ИП.

Бихте ли ми съдействали с настройката на рутера - купихме го от фирмата която ни инсталира voip услугата, но след това като ги помолих за съдействие с настройка на VPN не ми отговориха и за това се налага да се справям сам. 

[111111]

Платената версия на VNC има нужната функция без нужда от ВПН.
 

[Петър]

Благодаря за идеята, знам за платените услуги, но исках да направя нещо с хардуера, който имам - в случая Mikrotik-a. 

[kokaracha]

Ами пуснете vxlan,eoip между двата офиса и резержиране на адреса/хоста по мак.

[Петър]

преди 2 минути, kokaracha написа:

Ами пуснете vxlan,eoip между двата офиса и резервиране на адреса/хоста по мак.

Извинявам се предварително, може ли малко инфо за това или къде да потърся информация как да го конфигурирам? 

[kokaracha]

https://help.mikrotik.com/docs/display/ROS/VXLAN

https://help.mikrotik.com/docs/display/ROS/EoIP

 

Петре,няма ли да е по бързо и лесно за вас, ако някой ви подреди мрежата и настрой  устройствата ?

[Петър]

Аз съм ентусиаст и се опитвам сам да се науча, но ми е доста мъгливо всичко това  

[Самуил Арсов]

Интересен казус, но може би преди да правите каквото и да е, хубаво е да се изяснят някои неща:

1. Когато сте в локалната мрежа този host на клиент как го виждате:
а) През DHCP сървъра на рутера.
б) VNC има вградена arp базирана функционалност.

2. Тези докинг станции, когато клиент (host) се свърже по DHCP към рутера, при смяна има ли разлика в host името и MAC/IP адрес. Защото ако има трябва да забравим за асоциацията MAC/IP съответно DHCP сървър автентикация.

3. От къде искате да имате достъп.
а) От друг офис.
б) От всяка точка на света.

4. VPN технологиите по принцип не предлагат layer 2 функционалност, освен споменатите тунелни EoIP и VxLAN които са крайно рискови от гледна точка на колизии, loop или активен DHCP сървър на отдалечената точка. Не съм против тях, просто преди да започнете с тях трябва да сте наясно с рисковете.

5. За да получават клиентите ви в локалната мрежа всеки път определен IP адрес без да се асоциира MAC адреса на LAN картата с някаква автентикация вероятно най удобрия вариант е PPPoE. Point-to-Point Protocol over Ethernet е тунелен протокол, но не е VPN, използва се само в локални мрежи като предимството е, че има опростяване: - Нямате два IP адреса (Един за свързване към сървъра и един в тунела), няма допълнително рутиране и т. н. Минуса тук който в повечето случай се брои за плюс е ,че нямате layer 2. Комукацията между клиентите/хостовете става само по IP.

6. Предназначението на VPN е главно за свързване от Интернет към рутера ви в "Дома/Офиса/Да си криете IP адреса". Тоест ако искате да видите от някоя точка на света какво става в офиса ви, ви трябва VPN. Всички VPN-и вдигнат един интерфейс който се нарича тунел, в тунела имате частен IP адрес за връзка с рутера ви.
а) Ако VPN-a е директно вдигнат в операционната система с този адрес ще имате и допълнителен мрежов интерфес през който ще виждате офиса си.
б) Ако сте зад отдалечен рутер този адрес трябва да го маскирате с NAT за да виждате IP адресите зад рутера в офиса ви, но те няма да ви виждат.
в) Ако сте зад отдалечен рутер през този адрес трябва рутирате локалната мрежа на офиса и както и нея през тунела за да се виждате взаимно.

7. Казвате, че сте ентусиаст, но задачата която имате е за малко повече от ентусиаст, няма как, трябва малко да почетете. Съветвам ви да се абстрахирате от марки мрежова техника и да прочетете слоевете в мрежовия модел, по специално layer 2/3/4 защото нямам как да разберете логиката която ви описах ако не правите разлика между Switching/Bridjing и Routing/VPN.

 

[Петър]

Здравейте,

т. 1:

всички машини си вземат IP през DHCP, като в локалната мрежа без проблеми пингвам лаптопите по IP/Hostname

т.2:

всяка докинг станция си има уникален мак адрес, но хоста си остава непроменен при смяна на докинг станцията

т.3

аз съм предимно в офиса, но ако се наложи да работя от вкъщи - вероятно произволна точка, имам и колеги в друг офис, но той по никакъв начин не е свързан към нашия офис

В момента използвам безпроблемна връзка с VPN или ZeroTier, даже бих казал, че ZeroTier е доста по-удобна и надеждна като връзка. Но както казах остава проблема със свързването по хостнейм от ZeroTier (в моя случай мрежа 192.168.191.0/24) към офисната мрежа 192.168.88.1/24. Мога да ги пингвам по ИП, но не и по хостнейм.

Четох за различни варианти да се използва ДНС услуга (доколкото разбрах да си създам хостнейм и към него да асоциирам ип-тата). Подобна услуга е ZeroNS, но вече става прекалено сложно за мен и първоначално ако знаех с какво се захващам може би нямаше да го направя  

Но благодаря за съдействието, виждам, че с моите възможности и ресурс няма как да го постигна.

 

[111111]

Защо на някой сървър в офиса, не си дигнеш една виртуалка на която да се закачаш,

и да имаш всички благини на локалната мрежа?

[bozko]

Едно скриптче, което динамично ти връзва хостнейм към ИП няма ли да ти свърши работа?

 

https://wiki.mikrotik.com/wiki/Setting_static_DNS_record_for_each_DHCP_lease

[Самуил Арсов]

Преди 2 часа, Петър написа:

В момента използвам безпроблемна връзка с VPN или ZeroTier, даже бих казал, че ZeroTier е доста по-удобна и надеждна като връзка

 

1. ZeroTier е VPN, Virtual Private Network е общо име на технология с която различни производители патентоват продуктите си на база тунелиране. pptp, l2tp, sstp, OpenVPN, ZeroTier, WireGuard са примери за VPN.

2. Надеждноста на една VPN връзка се определя от физическата преносна среда (обикновенно Интернет) и нейната конфигурация, главно големина на пакети MTU.

[111111]

Преди 2 часа, bozko написа:

Едно скриптче, което динамично ти връзва хостнейм към ИП няма ли да ти свърши работа?

 

https://wiki.mikrotik.com/wiki/Setting_static_DNS_record_for_each_DHCP_lease

Едното няма общо с другото, няма как да ползваш днс запис за достъп до споделени ресурси.

[bozko]

On 3/14/2023 at 4:50 PM, Петър said:

Опитах и със ZeroTier, свързвам се с локалната мрежа на офиса, но пак не мога да отворя през VNC връзка към hostname, а само по ИП.

 

 

34 minutes ago, 111111 said:

Едното няма общо с другото, няма как да ползваш днс запис за достъп до споделени ресурси.

При динамични записи по хостнейм, не виждам проблем да му тръгнат нещата, при положение, че по ИП вървят. Е, да, трябва да ползва за DNS рутера в офиса, ама не е драма. 

Ако правилно му разбирам въпроса имаме следното - peshoPc взима различни ИП-та заради различните МАС на докинг станциите и той не знае Пешко на кой док е в момента за да си направи сесията. Ако със скрипт имаме рисолв на peshopc.lan към текущото ИП би трябвало да му се реши проблема. 

[kokaracha]

Преди 11 часа, samyil написа:

1. ZeroTier е VPN, Virtual Private Network е общо име на технология с която различни производители патентоват продуктите си на база тунелиране. pptp, l2tp, sstp, OpenVPN, ZeroTier, WireGuard са примери за VPN.

 

Има  и трябва да се прави между разлика между L2  и L3.

[plameni]

На 14.03.2023 г. at 16:50, Петър написа:

Опитах с ВПН сървър, обаче не успях да направя така, че да мога когато не съм в офиса като се свържа с сървъра на рутера да се свързвам по hostname, а става само по IP.

Тази задачка съм я решил по следния начин:

Направил съм L2TP сървър, чиито клиенти взимат адреси от малък сегмент, който е в същата мрежа, от която са клиентските машини.
L2TP клиентите ползват като DNS рутера.
Задал съм Static за желаните IP-та
Правя "Local masquerade", така че L2TP клиентите да имат достъп до останалите IP-та в локалната мрежа

 

Резултат: