Mám dvě lokality s firewally Sophos XG ve verzi 20.
Chci vytvořit site-to-site VPN mezi několika počítači, ale v obou lokalitách nemám statické IP adresy. Používám běžný spotřebitelský internet v obou lokalitách.
Je nějaký způsob, jak to udělat? Možná pomocí červených tunelů nebo jiné techniky?
VPN v agresivním režimu a použití služby dynamického DNS.
Jen abychom byli na stejné vlně, máte alespoň routovatelnou veřejnou IP adresu na alespoň jedné straně správně?
Už je to nějaká doba, ale jsem skoro jistý, že můžete nastavit site-to-site pomocí DNS jména místo zadávání vzdálené IP adresy.
Máte jednu stranu, jejíž veřejná IP adresa se mění méně často než ta druhá? Pokud ano, nastavte tuto jako hlavní směrovač, který odpovídá, a druhou jako initiatora.
Výzvou bude, kdy a zda se veřejná IP adresa respondenta změní a jak rychle se aktualizuje jméno dyndns. Nikdy jsem neměl problémy s noip, ale je zde spousta faktorů. Možná budete muset upravit nastavení časových limitů VPN.
Mám site-to-site spojení mezi dvěma firewally XGS, používání DYNdns na obou stranách, žádné problémy. Může to chvíli trvat, než se spojení znovu naváže po výpadku napájení na kterékoliv straně (kdy se opravdu změní veřejná IP), ale je to odolné už několik let (číst jako od verze V18). Podstatně jednodušší nastavení, pokud se IP rozsahy na obou koncích liší, aby se předešlo komplikovaným pravidlům překladů.
Verze 20 nepovoluje použití DNS jmen pro site-to-site VPN. Verze 20.01, která nedávno vyšla, to řeší.
Stačí udělat site-to-site RED síť, pokud chceš jednoduchost.
Budeš stále muset nastavit dynamický DNS pro kteroukoliv stranu, která je tvůj „uzel“.
Pak při konfiguraci RED klienta zadáš místo IP adresy dynamické DNS jméno.
Další možností je hostovat ‘prostředníka’ v cloudovém poskytovateli podle tvé volby a mít XGs VPN k němu.
Mikrotik má dostupnou AWS AMI, která stojí málo, ale není úplně intuitivní na konfiguraci, pokud nejsi obeznámen.
Také virtuální cloud Mikrotiky vyžadují licenci, aby byly použitelné. Jsou levné (za základní licenci dáš jednorázově 45 dolarů), ale nezapomeň nejdřív na licenci, jinak se můžeš divit, proč je to pomalé. Neptám se, jak to vím…
Proč prostě nezměnit licenci na zařízeních na ‘Centrální orchestraci’, která by měla zvládnout nastavení site-to-site.
Nevidím možnost nastavit site-to-site IPsec VPN s DNS jmény. Nastavení žádá výběr poslouchacího rozhraní a to je zjevně místní IP. Ale pod tím jsou možnosti přidání typu místního ID a typu vzdáleného ID. Pokud zvolím DNS a zadám svůj no-ip dynamický DNS, bude to fungovat?
Musím zjistit, která strana má častější změny IP.
Díky
Lokálně:
Poslouchání: Port 2 (nebo tvá WAN port, pokud není výchozí), Typ ID: DNS, Tvé DYN DNS jméno pro tento konec
Vzdálené:
Adresa brány: vzdálené DYN jméno, Typ ID vzdálené: DNS, vzdálené ID: tvoje DYN DNS jméno pro vzdálený konec
Stejně tak na druhé straně, poslouchací port 2 a prohod oba DYN DNS názvy.
Nestihl jsem se podívat, kde nastavíš kontrolu a aktualizaci dynamického DNS.
Je nejjednodušší, pokud se rozsahy adres na obou koncích liší.