VPN klient na router
Resim takovyhle problem: z bezpecnostnich duvodu nase firma blokuje pripojeni na firemni VPN z nekterych zemi.
Uvazoval jsem nad tim, ze bych vzal router, na nem spustil nejakeho VPN klienta a pres komercni VPN vytvoril sit, ktera se z pohledu pocitace pripojeneho k tomu routeru bude tvarit, ze je treba v Nemecku. Svym notebookem bych se potom pripojil na router, takze by se muj pocitac tvaril, jako ze je v Nemecku, a na nem bych pak spustil klienta firemni VPN a pripojil se k firemni siti.
Muze to fungovat? Predpokladam, ze si zaplatim nejakou tu NordVPN, to me nezruinuje. Jaky router pouzit, bude stacit RasPi (2/3)?
(je to nouzove reseni na par tydnu v roce, takze Mikrotik za 20 klacku mi prosim nedoporucujte)
Dik!
Domluv se na řešení s firemním IT oddělením, ať nespácháš bezpečnostní incident.
„Vy mluvíte podobné jako klempíř Pokorný v Budějovicích. Ten, když se ho lidi optali: ‚Koupal jste se už letos v Malši?‘, vodpovídal: ‚Nekoupal, ale zato bude letos hodné švestek.‘ Nebo se ho zeptali: ‚Jed jste už letos hříbky?‘ a von na to vodpověděl: ‚Nejed, ale tenhle novej sultán marockej má prej bejt moc hodnej člověk.‘“
Preco to riesis na urovni routera?
Ved to pories na urovni pc.
No, to si vubec nedovedu predstavit - mit dva VPN klienty a prinutit jeden fungovat pres druhej?
Hlavne nechci riskovat, ze si rozdrbu konfiguraci toho firemniho a pak se nedostanu nikam :)
Zalezi, ci ti VPNka firemna pridavaj aj default routu alebo nie.
Standardom by malo byt skor, ze nie, pretoze do firmy ma smerovat len firemny traffic a ten mimofiremny nech ide cez tvoj obycajny net.
Otazka aj je, co robia komernecy vpn klienti, ci nerobia len nejaku web proxy, pretoze to by ti bolo naprd.
Nepises aky mas router, takze tazk povedat, co tvoj tajny router podporuje, RPI by malo stacit, otazka je, ci nativnych linux klientov bude podporovat aj tvoj komercny vyber.
Firma pouziva OpenVPN klienta. Tajny router - no, to se prave ptam, kterej router by na to byl vhodnej, protoze se budu pripojovat budto z domu (optika od Telekomu, router netusim), nebo cosi, co ma dcera v nahradnim byte (netusim).
Proto je muj plan vozit si vlastni router, kterej pripojim do site, ve ktere zrovna budu - takze moje normalni domaci sit nebo dcercina sit bude z pohledu meho routeru WAN. Router bude pouzivat komercni VPN a vnitrni sit se bude tvarit, ze je v Nemecku, a tim padem se potom muj firemni klient (OpenVPN) na mem notebooku pripoji na firemni VPN server jako kdybych byl v Nemecku.
Treba o NordVPN se tvrdi na Wiki, ze "K dispozici je i manuální nastavení pro bezdrátové routery, zařízení NAS a další platformy." - takze to beru tak, ze minimalne tenhle komercni poskytovatel nepotrebuje specialniho klienta. Ja bych to asi nejak nakonfiguroval sam, ale moc tomu nerozumim, takze kdyby mi nekdo napsal "Kup si router XY nebo nainstaluj HCHK na RasPi, zaplat si komercni VPN od WZ, na routeru nastav BFLM", tak by mi to celkem usnadnilo praci :)
Moje predstava HW konfigurace:
[laptop s firemnim VPN klientem] ----- [tajny router s XXX-VPN] ------ [domaci router kdekoliv na svete]
Pokud firma používá OpenVPN, tak můžeš použít Mikrotik - pokud se trefíš s podporou pro konfiguraci (Mikrotik myslím neumí vše, ale v ROS7 něco přidali AFAIK). Do něj se pak připojíš pomocí WireGuard. Pokud chceš vozit další Mikrotik, klidně můžeš, funguje to i z něj.
Jakejkoliv MikroTik?
https://www.alza.cz/mikrotik-rb941-2nd-tc-d3040967.htm
ten je už za zenitem. S ROS7 nefunguje dobře. Ber alespoň toto:
https://www.i4wifi.cz/cs/285257-mikrotik-hap-ax-lite
Fajn, zkusim, diky!
Princip máš Ok, problém je ve dvou věcech:
1. firemní VPN ti bude muset běžet na tom routeru
2. firemní security admin tě fak nebude mít rád.
1) no tomu se prave chci vyhnout, proto to reseni s routerem za routerem - na routeru by bezel NordVPN a na mem laptopu firemni
2) blokovani (Slovenska) je kvuli castym DoS utokum - admin rikal, ze pokud mam pevnou IP, klidne mi ji povoli, takze to beru tak, ze problem neni "Kubik se pripojuje ze Slovenska". Z meho laptopu by DoS prijit nemel a nikdo jinej se preze mne nepripoji
Není kvůli tomu nutné pořizovat nový hardware, natož kupovat "placené vpn" - to že to doporučuje 12 z 10 youtuberů není známka kvality, spíš je to ubohost a snaha prodat předražený produkt s v akci s 90% slevou i tak draho.
Stačí si na router přidat vpn a naforwardovat port.
Záleží, zda máš veřejnou IP na routeru, to je docela zásadní podmínka, pokud se chceš připojovat ze všech koutů každý den.
Ta veřejná IP jde vyřešit i jinak, růžnýi tunely ,případně VPS.
libi se mi, ze clovek, ktery sem imrvere chodi jen se svymi bezcennymi vymyslenymi problemy, najednou pise nesmyslny komentar, kde chce nekomu jakoze "radit".
vrat se mezi deti na zive, mezi ne zapadnes.
Přehlédl jsem tvou radu.
necetl jsi pozorne, byla tam.
kdyz jsou polovina firmy kancelarske krysy a polovina z nich vyuzije externi pripojeni, fak neni mozne spolehat na pevne ip. musi to resit placeny sw.