Mikrotik VPN
Ahojte,
potrebujem prepojiť viacero vzdialených lokalít do jednej centrálnej siete.
Spojenie so vzdialenými lokalitami má byť trvalé a prístupné kedykoľvek z jedného "centrálneho servera" ???
Pojmy a dojmy by som prosil trošku objasniť.
Momentálne už existuje niekoľko lokalít (cca 10, neviem presne...), kde sú nasadené mikrotiky a je to funkčné, ale plánuje sa rozšíriť počet lokalít...
Je to prepojené ale spravované cudzou osobou mimo - firma to chce spravovať a mať lokálne u seba pod kontrolu - bude riešiť CyberSecurity....
Čo použiť Wireguard, IPSec VPN alebo niečo iné ? Správa celej siete by nemala byť "niekde u niekoho" alebo v cloude, ale priamo v centrále firmy.
Keďže Mikrotik je v tomto čo sa týka pomeru ceny a kvality asi jeden z top produktov, zrejme by som to už nemenil a nenasadzoval niečo iné, ale tá možnosť tu je.
Viem si to predstaviť výmenou za niečo iné, ale myslím, že to nie je potrebné a MikroTik je na toto stavaný...
Dočítal som sa, že takáto VPN sa dá spraviť a "easy" spravovať aj cez ZeroTier. Majú svoj vlastný Cloud, ale aj možnosť lokálnej inštalácie.
Samozrejme beží to iba na ARM/ARM64 - buď už to má Mikrotik v sebe alebo sa dá doinštalovať balíček. MikroTiky na vzdialených lokalitách ako routre už sú ....Netrvám na tomto riešení...
Poradíte, podelíte sa so skúsenosťou, čo funguje spoľahlivo a čo nie?
Jednoznačně WG - nastavení je velmi jednoduché, jde o nejrychlejší VPN a jediné dva požadavky jsou 1x veřejná IP na straně "centrály" a RouterOS v7.
ZeroTier není IMHO vůbec nutný (leda bys potřeboval komunikovat po ethernetu/Layer2), pokud si správně navrhneš jednotlivé LAN sítě v lokalitách, tak jediné, co budeš potřebovat navíc, je LAN vlastní WG sítě a protože WG za tebe řeší i routing, jde v podstatě jen o to, abys všechny sítě dostal do pěkně popsatelného subnetu, tj. např. WG LAN nasadíš jako 172.16.1.0/24 (až 252 poboček) a jednotlivé lokality pak budeš postupně číslovat v subnetech např. 10.1.x.0/24 (nebo 192.168.x.0/24 - to už záleží na tobě). Vtip je v tom, že do WG budeš směrovat vše pro 172.16.1.0/24 a 10.1.0.0/16 (tj. jen dva záznamy do konfigu WG/routovací tabulky prostřednictvím WG)
edit: rozhodni si samozřejmě, zda pobočky budou mít separátní přístup do netu, nebo budeš tlačit vše přes "hlavní" pobočku...
Super, ďakujem za odpoveď.
V centrále firmy je MikroTik ako hlavný router (model mám niekde napísaný, teraz z hlavy neviem, keďže už teraz fungujú -asi je to OK...). Verejná IP je samozrejmosť.
Bude treba nejaké ďalšie "železo" - hardware z hľadiska Cybersecurity?
čistě pro VPN ne, jen na centrále bych volil něco fakt hodně výkonného, protože ta zátěž tam bude celkem vysoká (začal bych na něčem jako L009).
Jenže konektivita a perimetr je jen první krok, pak musíš řešit věci jako aplikační bezpečnost, tedy (hlavně) zabezpečení webu a pošty, to se dá dělat buď na koncových strojích, nebo na úrovni sítě, ale to je už trochu dražší špás.