Forum » Pomoč in nasveti » Nasvet - VPN in router
Nasvet - VPN in router
Legon ::
Imam specifično situacijo in bom vesel predlogov/nasvetov kako pristopit. V kratkem se zaradi službe za par let selim v državo, ki je zelo agresivna glede cenzure in blokad na internetu, tako da iščem optimalno rešitev kako si v stanovanju postavit sistem, da bo deloval s kar se da malo moten.
Moje poznavanje področja je precej osnovno, tako da se že v naprej opravičujem, če bom vprašal kakšno neumnost.
Osnovna ideja, ki sem jo imel je, da si v Sloveniji postavim VPN server (konkretno bo to Synology AC2600, ker je to hardware do katerega imam dostop), potem pa vzpostavim stalno povezavo med routerjem na novi lokaciji in tem v Sloveniji, ter speljem ves promet tja. Če do tukaj prav razumem bi to pomenilo, da bodo vse naprave, ki bodo v stanovanju avtomatično mislile, da so v Sloveniji.
Naprej bi pa rad imel dve stvari. Eno je, da imam failsafe, da bi mi v primeru ko pade moj privat VPN preklopil na komercialnega ponudnika in kot drugo bi poleg povezave v Slovenijo rad imel še eno lokalno linijo (to ni problem) in pa ločeno linijo za na drug VPN (druga geografska lokacija zaradi geoblockinga.
Router moram kupit in trenutku kolebam me Synology AC6600 (ker pač poznam sistem) ali pa novi Mikrotik ax3, o katerem pa po pravici povedano nimam pojma, je pa seveda pol cenejši.
In tukaj pridem do težave, ker Synology, ki sem ga vajen ne podpira 2 hkratnih VPN povezav. Ravno tako ne more avtomatično preklopit na drug VPN, če prvi pade (kar je manjši problem). Ali bi to rešil z Mikrotikom ax3?
Torej, da bi nastavil
a. port 1 – VPN v Slovenijo in failover na komercialni VPN v sloveniji, če povezava pade.
b. port 2 – lokalna povezava.
c. port 3 – VPN v tretjo državo.
Synology mi tega žal ne omogoča, ker je hkrati lahko aktivna samo 1 VPN povezava.
Ali bi alternativno lahko zadevo rešil tudi z managed switchom? Ali recimo CSR326 omogoča, več povezav na zunanje VPN? Ali je VPN preveč za switch?
Druge rešitve in predlogi vsekakor dobrodošli.
Moje poznavanje področja je precej osnovno, tako da se že v naprej opravičujem, če bom vprašal kakšno neumnost.
Osnovna ideja, ki sem jo imel je, da si v Sloveniji postavim VPN server (konkretno bo to Synology AC2600, ker je to hardware do katerega imam dostop), potem pa vzpostavim stalno povezavo med routerjem na novi lokaciji in tem v Sloveniji, ter speljem ves promet tja. Če do tukaj prav razumem bi to pomenilo, da bodo vse naprave, ki bodo v stanovanju avtomatično mislile, da so v Sloveniji.
Naprej bi pa rad imel dve stvari. Eno je, da imam failsafe, da bi mi v primeru ko pade moj privat VPN preklopil na komercialnega ponudnika in kot drugo bi poleg povezave v Slovenijo rad imel še eno lokalno linijo (to ni problem) in pa ločeno linijo za na drug VPN (druga geografska lokacija zaradi geoblockinga.
Router moram kupit in trenutku kolebam me Synology AC6600 (ker pač poznam sistem) ali pa novi Mikrotik ax3, o katerem pa po pravici povedano nimam pojma, je pa seveda pol cenejši.
In tukaj pridem do težave, ker Synology, ki sem ga vajen ne podpira 2 hkratnih VPN povezav. Ravno tako ne more avtomatično preklopit na drug VPN, če prvi pade (kar je manjši problem). Ali bi to rešil z Mikrotikom ax3?
Torej, da bi nastavil
a. port 1 – VPN v Slovenijo in failover na komercialni VPN v sloveniji, če povezava pade.
b. port 2 – lokalna povezava.
c. port 3 – VPN v tretjo državo.
Synology mi tega žal ne omogoča, ker je hkrati lahko aktivna samo 1 VPN povezava.
Ali bi alternativno lahko zadevo rešil tudi z managed switchom? Ali recimo CSR326 omogoča, več povezav na zunanje VPN? Ali je VPN preveč za switch?
Druge rešitve in predlogi vsekakor dobrodošli.
Legon ::
Hvala, pogledam. Podvprašanje: Je močan hardware bolj pomemben na strani klienta ali serverja?
Daniel ::
Na Mikrotiku se skoraj zagotovo da nastaviti kaj takega. Težava je zgolj v tem, če nimaš nekih osnov se boš precej dolgo lovil v iskanju pravilne konfiguracije.
brbr21 ::
Na Mikrotiku gre to npr z uporabo TTL-a.
Vzpostaviš lahko VPNjev kolikor jih portebuješ in v FW nastaviš, da v kolikor je odzivni čas za določeno ruto predolg, avtomatsko preklopi na drugo (izbereš drug interface).
Ni 100%, vendar bi šlo. Lahko pa še kak stručko kaj primernejšega doda.
Vzpostaviš lahko VPNjev kolikor jih portebuješ in v FW nastaviš, da v kolikor je odzivni čas za določeno ruto predolg, avtomatsko preklopi na drugo (izbereš drug interface).
Ni 100%, vendar bi šlo. Lahko pa še kak stručko kaj primernejšega doda.
Voluharr ::
Sicer ne vem ali ima Mikrotik v dovoljšni meri podprt OpenVPN, da se v celoti poveže na vse željeno kar si omenil, bi pa rekel, da je Mikrotik še najbolša izbira.
Da bi ti uspelo to vse skonfigurirat, boš verjetno rabil uporabit VRF in nekaj svojih vrstic skript.
Bolje pa je, da daš to nekomu skonfigurirat, ki se na to spozna.
Jaz osebno bi se sicer nekako potrudil, da bi to spravil na Mikrotika, ker bi pa sigurno prav prišla še kakšna virtualka, bi pa verjetno vzel nek mini board in gor postavil par virtualk.
Da bi ti uspelo to vse skonfigurirat, boš verjetno rabil uporabit VRF in nekaj svojih vrstic skript.
Bolje pa je, da daš to nekomu skonfigurirat, ki se na to spozna.
Jaz osebno bi se sicer nekako potrudil, da bi to spravil na Mikrotika, ker bi pa sigurno prav prišla še kakšna virtualka, bi pa verjetno vzel nek mini board in gor postavil par virtualk.
Backup, VPS, kolokacija: https://reavisys.si
Legon ::
Hvala za vse nasvete. Bom šel po mikrotik poti. Glede na to, da se selim šele čez ca pol leta bo trajalo preden bom lahko dal kak uporaben feedback kako dobro mi je uspelo.
Info s terena, ki sem ga dobil, je da so klasične metode kot je wireguard in openVNP praviloma neuspešne, ker jih zaznavajo z DPI. Trenutno naj bi bila najbolje delujoča stvar Soft Ether SSTP.. Problem, pa je da njihov protokol sicer temelji na SSTP, ni pa identičen, tako da direktna povezava mikrotik - softether server naj ne bi bila možna.
Vsekakor bo zabavno, ker bom očitno moral precej bolj naštudirat networking kot sem mislil, da bom kdaj rabil.
Info s terena, ki sem ga dobil, je da so klasične metode kot je wireguard in openVNP praviloma neuspešne, ker jih zaznavajo z DPI. Trenutno naj bi bila najbolje delujoča stvar Soft Ether SSTP.. Problem, pa je da njihov protokol sicer temelji na SSTP, ni pa identičen, tako da direktna povezava mikrotik - softether server naj ne bi bila možna.
Vsekakor bo zabavno, ker bom očitno moral precej bolj naštudirat networking kot sem mislil, da bom kdaj rabil.
Daniel ::
Potem je za preveriti še Zerotier, ki tudi dela na Mikrotiku, ostale stvari pa lahko poskusiš implementirati preko Container funkcije (Docker). Uporabi vsaj AX3, ker naprave z 256 Mb RAMa hitro ostanejo brez njega, če uporabljaš Container.
https://forum.mikrotik.com/viewtopic.ph...
https://help.mikrotik.com/docs/display/...
https://help.mikrotik.com/docs/display/...
Morda tudi kaj takega:
https://github.com/v2fly/v2ray-core
https://forum.mikrotik.com/viewtopic.ph...
https://help.mikrotik.com/docs/display/...
https://help.mikrotik.com/docs/display/...
Morda tudi kaj takega:
https://github.com/v2fly/v2ray-core
Zgodovina sprememb…
- spremenil: Daniel ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Usmerjevalnik Mikrotik (strani: 1 2 3 )Oddelek: Kaj kupiti | 13723 (5282) | miko22 |
| » | Synology, mikrotik, t-2, raidrive - oddaljen dostop - port forwarding, network driveOddelek: Omrežja in internet | 898 (524) | max00slo |
| » | NAT reflexion v Mikrotiku?Oddelek: Omrežja in internet | 557 (360) | poweroff |
| » | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 24542 (10390) | Daniel |
| » | Mikrotik multisite IPSecOddelek: Omrežja in internet | 1145 (940) | damirj79 |