Mám pracovní desktop s Windows, který zůstává u mě doma. Když cestuji, připojuji se k domácí síti přes VPN a pak vzdáleně ovládám pracovní počítač a takto vykonávám svou práci.
Někdy je potřeba se připojit k firemní VPN… mám to nastavené a funguje to s OpenVPN, ale abych se úspěšně připojil k firemní VPN, musel jsem vytvořit trvalý záznam v tabulce směrování na mém desktopu. OpenVPN zvýší třetí segment IP adresy o jedna… takže pokud byl například můj brána na mé domácí síti 192.168.15.1, musel jsem přidat následující záznam do tabulky směrování:
Adresa sítě: 192.168.16.0
Maska sítě: 255.255.255.0
Brána: 192.168.15.1
Metrička: 1
Přidání tohoto do tabulky směrování mi umožnilo vzdáleně se připojit k mé domácí síti přes OpenVPN a pak úspěšně připojit k firemní VPN na cílovém stroji.
Takže… doufám, že se mi podaří přejít na WireGuard, nainstaloval jsem ho na Raspberry Pi v mé síti. Umím se vzdáleně připojit k pracovního desktopu, ale opět narazím na problém s firemní VPN. Doufám, že na to můžu jít podobně jako u OpenVPN, ale zatím jsem nic nenašel. Nejsem úplně síťový administrátor, takže je pro mě těžké přesně pochopit, kde a co mám hledat a co přesně dělat.
Existuje podobný způsob, jak se s tímto vypořádat, abych mohl používat svou firemní VPN?
Záleží na tom, jaká je vaše VPN práce. Pokud je to Fortinet, máte problém. Pokud je to Cisco nebo opravdu cokoli jiného, mělo by to fungovat.
Doporučuji si přečíst toto a postupovat podle průvodce: Digital Nomad VPN Tutorial using Wireguard or Tailscale
Stručně: Nepoužívejte OpenVPN, používejte Wireguard. A jako server Wireguard použijte GL.iNet router nebo pokud stále chcete použít Pi, tak Tailscale na tom. To je nejjednodušší způsob.
Myslím, že jsem to našel. Přihlašuji se přes SSH na Pi, spustil jsem “sudo wg show wg0”, což mi ukázalo, že povolený IP rozsah je v 10.99.246.* … Přidal jsem to do tabulky směrování ve Windows pomocí “route add 10.99.246.0 MASK 255.255.255.0 192.168.15.1” (poslední je moje místní brána v domácí síti).
Pokud je vaše firemní VPN plná tunel, ztratíte přístup k vzdálené ploše. Ale existuje způsob, záleží to ale na vaší firmě, což se však většinou nestává. Pokud váš pracovní počítač má podporu Linuxových klientů od poskytovatele VPN, můžete použít Docker k nastavení své firemní VPN a použít proxy pro přístup ke zdrojům přes tuto VPN. Vypadá to tak, že váš desktop je stále připojen k místní LAN, a VPN traffic by byl iniciován z kontejneru, který neovlivňuje konfigurace hostitelského sítě.
Jde o GlobalProtect od Palo Alto.
Ano, u Wireguard jsem nikdy neviděl problém. Stačí sledovat ten průvodce a budeš v pohodě. Velmi doporučuji použít GL.iNet router, například ty uvedené v sekci zařízení v tom průvodci. Jinak Tailscale na Pi je jednodušší na nastavení než Wireguard a nevyžaduje žádné přesměrování portů nebo dynamickou DNS. Velmi jednoduché.
No, už jsem ten průvodce četl předtím a problém je, že to vůbec není moje nastavení. Neberu si pracovní počítač s sebou. Zůstává doma.
Moje nastavení je: MacBook jako cestovní notebook… GL.iNet MT3500 s klientem Wireguard… připojuje se k PiVPN přes WireGuard. Jakmile jsem připojen, otevřu relaci RDP k svému pracovnímu PC. Dělám to bez problémů; právě teď to tak dělám z vzdáleného místa.
Problém je, že když se pokusím zapnout VPN GlobalProtect na mém Windows desktopu, který zůstává doma, aby mohl přistupovat ke zdrojům podniku, nastavení WireGuard neumožňuje GlobalProtect připojit se k firemní síti.
To bylo vyřešeno přidáním záznamu do tabulky směrování Windows, jak bylo popsáno výše pro OpenVPN na pracovním PC, ale nejsem si jistý, jaká by byla odpovídající akce pro WireGuard versus OpenVPN.
OpenVPN “věc” spočívá v tom, že překládá VPN volající na jinou podsíť… například 192.168.16.* versus 192.168.15.*. Ale nevím, jak WireGuard mění IP adresy.
WireGuard funguje tak, jak má. Stačí mi jen přijít na to, jakou změnu nastavení, a kde, potřebuji udělat, aby se to nekolidovalo s mojí firemní VPN na stroji v mé cílové síti.
Může jít o jednoduchý problém s podsítí. Těžko říct.
Nejisté je, proč bys chtěl nechat svůj pracovní počítač doma, protože pokud se cokoli stane s tvým připojením, jsi úplně v háji a nic neděláš.
Jsem si jistý, že Tailscale by ti jednoduše fungoval bez problémů. Tailscale byl speciálně navržen jako nástroj, který ti umožní připojení zpět do tvé domácí sítě, když jsi na jiné síti.
Ahoj, zvažuji práci na tomto přesném nastavení. Mám již Raspberry Pi, Wireguard, cestovní routery - zvažoval jsem cestování s pracovním notebookem (také potřebuji přistupovat k GlobalProtect jednou týdně) a připojovat se přes VPN na klientský router, ale myslím, že je lepší jednoduše nechat pracovní notebook doma a vzdáleně se na něj připojit. Také zkoumám možnost použití třeba Spider KVM. Je možné skrýt vzdálenost do mého pracovního stroje, aby to nevyvolávalo upozornění od IT?
Důvody mého nastavení: Odpovědnost, abych nepřevážel žádný pracovní majetek nebo data; můj pracovní počítač je výkonný desktop, který předčí notebooky, a nechodím s ním na služební cestu, nechci používat pracovní stroj pro osobní záležitosti během cestování, nechci tahat dva notebooky všude… je to z mnoha důvodů, proč mám toto nastavení.
Mám redundantní systémy, takže pokud bych mohl pracovat z domova (třeba když nejsou žádné výpadky proudu nebo internetu v mém domově), budu schopen se připojit a pracovat. UPS ho stále napájí, BIOS je nastaven na automatické zapnutí po výpadku proudu (když se UPS vybije), když se obnoví napájení, mohu provést tvrdé vypnutí pomocí SmartHome zásuvky mezi UPS a PC, a mohu vzdáleně spravovat své VPN, routery a vše ostatní. V podstatě mám svůj domov jako vzdálené datové centrum.
Nemyslím si, že by Tailscale v tomto pomohl, protože jde o kolizi mezi dvěma fungujícími VPN. Tailscale je stále WireGuard pod pokličkou.
Nerozumím proč by Tailscale představoval kolizi. Jak říkáš, je to opravdu Wireguard pod pokličkou.
Vlastně to, co potřebuji vědět, je, jak vypadají IP adresy z WireGuard (jak jsem říkal dřív, vím, že OpenVPN zvyšuje třetí segment o 1), abych mohl vytvořit správná pravidla směrování, aby moje firemní VPN věděla, kam směrovat provoz.