Pronajímám si kancelář v budově, kde majitel ovládá ISP, modem a směrovač. Chci izolovat stroje v mé kanceláři od ostatních uživatelů v budově. Také bych rád přistupoval ke svým kancelářským strojům z domova.
Je režim vzdáleného přístupu VPN na Firewalla vhodný pro tento účel (přičemž kancelář by sloužila jako server)? A bude to vyžadovat nějaké přesměrování portů nebo speciální nastavení na směrovači budovy?
Vím, že budu potřebovat dvě zařízení Firewalla. A vzdálený přístup funguje pouze jedním směrem.
Doufám, že nebudu potřebovat žádné speciální věci od směrovače budovy tak, aby to fungovalo.
Můžete použít site-to-site nebo vzdálený přístup. Vzhledem k tomu, že jedna strana má dostupnou veřejnou IP. To znamená, že je velmi nepravděpodobné, že máte na straně kanceláře, protože je úplně pod jejich správou. Pokud na druhé straně můžete mít veřejnou IP a řídit přesměrování portů, můžete ji použít jako uzel. Pak bude fungovat jak site-to-site, tak vzdálený přístup.
Pokud chcete, aby mnoho počítačů doma používalo stejnou VPN, ano, je snazší s 2 zařízeními Firewalla, jedno v kanceláři, kde povolíte VPN server Firewalla (site-to-site), a druhé doma, kde aktivujete klienta a nastavíte zařízení, která potřebujete k přístupu k této VPN. Bohužel, ano, budete muset přesměrovat port VPN na VPN server v kanceláři, můžete zkusit ho zakrýt pomocí běžného portu (například 443), když požádáte majitele, ale pokud vám není dovoleno vytvořit jakkoliv přesměrování portů, pak jste bohužel bez šance.
Nejsem si jistý, jestli je vaše otázka úplně možná.
Domnívám se, že byste musel připojit Firewalla mezi modem a směrovač. Firewalla bude fungovat jako nový směrovač (distribuovat DHCP) a váš současný směrovač by měl být nakonfigurován jako přístupový bod. To zašifruje celou síť.
Možná existuje způsob, jak oddělit/particionovat podsíť na aktuálním směrovači přes Firewalla, ale to je trochu mimo mé schopnosti.
Firewalla vám určitě umožní vzdálený přístup do kancelářské sítě.
Těžko říct, jestli bych přesvědčil majitele, aby mi otevřel port. Ale pokud bych měl druhé zařízení doma a nastavím veřejnou IP, bude to fungovat pro site-to-site? nebo potřebují obě strany veřejnou IP?
Dobře. Zajímavé. Mám minimální znalosti o síťování, takže mohu špatně chápat, jak to funguje. Doufal jsem, že použiji Purple v režimu Bridge s připojeními v tomto pořadí:
Považuji za nejlepší přístup, když považujete Cat kabel, který přichází do vaší kanceláře, jako “ISP”. Představte si, že přichází přímo od poskytovatele internetu. Pak použijte FWP v režimu směrovače a vše za ním na LAN straně jako vaši interní síť. Takže:
Kabel budov → FWP → Switch TP-Link → to bude vaše kancelářská podsíť.
Toto oddělí všechna vaše zařízení od zbytku budovy.
Nejsem si jistý, jestli nebude problém s dvojitým NAT, doufám, že někdo má znalosti v této oblasti.
Dříve jsem měl směrovač připojený k Cat6 v budově a používal jsem ho k vytvoření své podsítě. Ostatní lidé v budově to také dělali tímto způsobem.
Směrovač budovy měl nějaké divné problémy, které zmizely, když jsem nahradil svůj individuální směrovač switch.
Mé porozumění bylo, že můj směrovač zasahuje do hlavního směrovače. S oběma snažit se přidělovat IP na síti. Mám špatné porozumění toho, jak to funguje?
To mi dává smysl. Ale nebude hlavní směrovač rozpoznat stroje za firewallem a snažit se jim přidělit DCHP také? Vyvolá to konflikt mezi DCHP firewally a hlavním směrovačem?
Zní to jako amatérská sestava od strany budovy. Nicméně, jsem viděl, jak velký IT provoz v podniku úplně zastavil, když tam je “podvodný” směrovač/DHCP server. Když přijde DHCP žádost, většinou je nejrychlejší odpověď ta výhra. Pokud podvodný server podává jinou CIDR, budou problémy. Pokud podvodný server podává stejnou CIDR, dostanete se překryvné IP. Každopádně to určitě způsobí spor.
Vlastně nebude potřeba dvou zařízení! Všechno, co potřebujete, je jedno v kanceláři. Toto zařízení vytvoří VPN server, ke kterému se přihlásíte vzdáleně pomocí VPN klientského softwaru na vašem domácím PC.