VPN-шлюз только чтобы получить статический IP для удалённых сотрудников?

У нас есть клиент, который хочет, чтобы мы работали с их Azure SQL Server, и им нужен статический IP для внесения в белый список.

Компания, которой я управляю — полностью удалённая команда примерно из 60 сотрудников. У нас нет локальных ресурсов. У нас нет никакого VPN-продукта. Всё, к чему мы имеем доступ, — это Microsoft 365 и SaaS-продукты.

Только один или два пользователя должны работать с этим клиентом, но у них динамически присвоенные публичные IP дома.

Я рассматривал Azure VPN Gateway, и в теории, всё кажется правильным. Пользователи устанавливают клиент Azure VPN, подключаются к нашей VNET в Azure, и весь исходящий трафик маршрутизируется через статический публичный IP, напрямую присоединённый к VPN-шлюзу. Но я не уверен, что это самый экономичный вариант за $130 в месяц плюс оплата исходящего трафика.

Я рассматривал ZScaler, Cloudflare и Twingate, но всё это было очень сложно для меня. многое из этого казалось тем, что мне нужно на поверхности, но при более детальном изучении — не так. Я попробовал Twingate, но не смог найти способ управлять моим публичным IP. Cloudflare предлагал защищённый веб-шлюз, но для получения выделенного IP для исходящего трафика требовался план для предприятий + дополнительная опция.

Я рассматривал NordVPN. Они предлагают решение с выделённым статическим IP, но оно присваивается для каждого пользователя и ограничено двумя устройствами. Это кажется самым дешевым, простым и быстрым в развертывании решением для моего текущего случая. Но это потребует общего аккаунта (если двум людям нужно его использовать) и не масштабируется.

Я чувствую, что я зациклился и буду признателен за любые дополнительные мнения или варианты, которых я пропустил, потому что на данном этапе я немного overwhelmed информацией.

Дешёвая виртуальная машина Azure b1ms с статическим IP.
Разверните Wireguard и настройте туннелирование.

Я бы просто спросил, хотите ли вы инвестировать и настроить VPN или вам просто нужен статический IP для клиента?

Предлагаю рассмотреть вариант оплатить вашим 1-2 удалённым сотрудникам статический IP через их интернет-провайдера. Это должно стоить около $10 в месяц за статический IP, может меньше.

Если клиенту нужно, чтобы они использовали VPN, у них, возможно, уже есть соответствующий сервис. У нас есть подрядчики, которым мы предоставляем ограниченный доступ по VPN.

Это ещё один вариант.

Самая маленькая виртуальная машина Linux с open VPN и pip обойдётся примерно в 20 долларов.

P2S VPN с VPN-шлюзом — ваш вариант.

Вы уверены в стоимости 130 долларов в месяц? Это не должно быть так дорого.. В основном это один публичный IP и трафик, особенно если это только 1 или 2 сотрудника время от времени.

Я настроил один в тестовой аренде, используя кредиты, и он работал немного, стоил мне пару центов. Через несколько дней без трафика — около 1$.

Откуда у вас такие расчёты? Учтите, что Azure VPN — это другая услуга.

Если целевой SQL-сервер не использует private link (что, вероятно, работает через межарендный доступ), вам понадобится VPN типа «точка-точка» и брандмауэр для предоставления доступа к интернету. Сам по себе виртуальный сет — не имеет выхода по умолчанию. (Подключение SQL осуществляется через публичный интернет)

Самое экономичное решение — развернуть виртуальную машину с публичным IP и дать его клиенту. Позволить сотрудникам добавлять их IP в разрешённый список для RDP на виртуальную машину. Если бы я делал, я бы использовал виртуальную машину SQL Server Developer Edition (просто убедитесь, что всё идёт в каталог C:, чтобы не платить за ненужные диски). Использование этой VM обеспечит наличие всех инструментов для подключения к Azure SQL для вашей команды.

Я использую ehvpn.ca, у них нет переадресации портов, но есть открытый статический IP, который хорошо работает для моего домашнего сервера, у меня был сервер, хостинг обходился дороже, а так — дешевле, и мой сервер дома.

Привет! Думаю, стоит упомянуть о вашем тестировании Twingate, потому что это именно тот продукт, который его предназначен. В вашем случае Twingate отлично справляется, но как подрядчик, желающий безопасно получить доступ к их удалённым ресурсам, они должны настроить Twingate, создав аренду и удалённую сеть, затем добавив ресурс (в данном случае Azure SQL Server) в эту сеть, добавив вас как пользователя и развернув коннектор внутри их удалённой сети для установления связи. После этого вам нужно просто установить клиента Twingate и подключиться к ресурсу. У них появляется полный контроль и видимость вашего доступа.

Twingate работает иначе, чем традиционный VPN, его настройка проще и он более безопасен, так как не требует открытия портов. Можно быстро запустить и бесплатно протестировать, если клиент захочет попробовать. Возможно, он так понравится, что они захотят отказаться от VPN!

Если хотите, можете предложить это им, воспользуйтесь этим быстрым руководством для создания прототипа.

Это статья, объясняющая разницу между Twingate и VPN.

Это статья, объясняющая, как работает Twingate.

Надеюсь, что это поможет!

Я сегодня потратил время на это решение. Мне удалось подключить клиента к серверу, но у клиента не было доступа к интернету. Возможно, перенесу это в /r/wireguard.

Да, честная опция, я выберу этот путь, если у меня закончится время на настройку собственного VPN-сервера. Спасибо.

Знаете ли вы, требует ли OpenVPN такой же технический уровень для развертывания, как Wireguard?

Возможно, вы смотрите на уровень Basic, но для использования VPN Gateway с статическим IP, там сказано, что нужно использовать как минимум уровень VpnGw1. FAQ

Хотя мы вряд ли можем делать рекомендации клиенту, я обязательно рассмотрю настройку для наших собственных Azure SQL Servers. Спасибо за объяснение!

Я не понимаю, что вы спрашиваете?

Нет, я использовал VpnGw1 — базовый IP и базовый VPN Gateway сейчас устарели.

Извините, я считаю, что Wireguard и OpenVPN — конкурирующие продукты. Я пытался настроить Wireguard на VM с Ubuntu и не смог. У меня не было достаточно знаний в Linux и сети. Думаете, у меня будут похожие проблемы с OpenVPN? Или его настройка довольно проста? Может, это субъективный вопрос.

Вы не сможете осуществлять уходящий трафик через Azure VPN Gateway.
По умолчанию он использует split tunnel и не может делать полный туннель, если не купить ещё один ресурс вроде Azure Firewall, стоимость не будет оправдана.
Лучше запустить небольшую VM в Azure с OpenVPN и выключать её, когда не нужен.
Также посмотрите Pritunl VPN в Azure Marketplace.
Обеспечивает GUI и всё, что нужно.

Хорошо, тогда цена за VpnGw1 составляет $138.70 в месяц USD. https://azure.microsoft.com/en-au/pricing/details/vpn-gateway/#pricing

Это субъективно, да. Я бы сказал, что это просто, но не знаю вашего уровня навыков. Если вы боитесь командной строки, посмотрите opensense — это фаерволл с установленным OpenVPN, и он может быть проще для начала. Там есть графический интерфейс, ею можно управлять, и в интернете много информации. Также есть Windows VPN-сервер, который можно запустить на VM в Azure. Но тогда, возможно, лучше дать домашним пользователям статический WAN IP от ISP.

Спасибо за информацию! Это точно было бы проблемой.