Mám projekt, kde potřebuji, aby většina domácích uživatelů působila tak, jako by jejich provoz přicházel z jedné IP adresy. Hledám způsob, jak toho dosáhnout, aniž bych používal terminálový server.
Existuje nějaké řešení (ideálně v Azure), kde se uživatelé mohou připojit VPN do sítě a používat tu síť pro svůj internetový přístup?
OpenVPN AS v Azure.
Azure VPN nativně nepodporuje internetový provoz.
Tohle můžete udělat asi za 15 minut s tailscale, nastavte VPS jako výstupní uzel.
Linux VPS za 11 USD ročně od racknerd funguje skvěle.
Možná existují nativní řešení v Azure, ale pokud už žádné nemáte, můžete také použít virtuální zařízení (např. Cisco, Fortinet) v Azure a nastavit plný tunel SSLVPN, podobně jako na místě.
Toto se nazývá proxy.
To je rozdíl mezi split tunnelingem a jeho absencí.
Split tunneling pošle provoz, který určíte, přes VPN (možná vaše pod-sítě), zatímco vše ostatní půjde přes výchozí bránu zařízení. U mnoha (většina?) VPN byste měli být schopni nakonfigurovat, zda použit split tunneling nebo ne.
S vypnutým split tunnelingem veškerý provoz prochází VPN a je směrován podle brány VPN routeru.
Dokonce to můžete vyladit tak, že pokud potřebujete, aby vendor A viděl správnou IP, použijete směrování v klientovi VPN k odeslání veškerého jeho provozu přes VPN a vše ostatní po výchozí bráně. Takto nezatěžujete připojení zbytkem surfování.
Používáme Watchguard/Authopoint pro VPN s MFA. Je poměrně jednoduché upravit směrování na zařízení klienta tak, aby určilo, jaký provoz jde přes VPN a jaký ne.
Je ten projekt opravdu jen „udělat, aby se většina domácích uživatelů jevila, jako by jejich provoz pocházel z jedné IP adresy“?
Jednoduše je zařadit za router s DHCP.
Jo, tailscale se mi objevil při hledání, jak toho dosáhnout. Vypadá to, že to bude cesta.
Nepotřebuji moc peněz, takže raději zvolím něco, co bude fungovat jako služba, než abych provozoval vlastní hardware.
Domácí uživatelé jsou rozptýleni po celé USA, takže to není možnost.
Stále používáte jejich službu pro síťové spojení a směrování, VPS je jen proto, abyste měli něco s statickou IP pro hostování výstupního uzlu.
Můžete ho také hostovat lokálně, pokud chcete, aby měli stejnou externí IP jako vaše kancelář.
Rozumím, SD-WAN provider toto dokáže pomocí síťové abstrakce a směrování veškerého provozu přes jejich statickou IP. VPN by však byla pravděpodobně levnější, pokud není potřeba přerušení připojení.
Rozumím, takže tailscale je prostě služba. Ještě musím někde hostovat výstupní uzel?
Ano. Služba zajišťuje orchestraci a směrování pro overlay síť, takže nemusíte otevírat žádné porty ve firewallu - uzly a klienti navazují spojení navenek, aby umožnili peer-to-peer spojení.