Локалка между 2-мя офисами или VPN на Keenetic-АХ

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.056
Репутация
9.908
Реакции
15.252
RUB
1.045
Сделок через гаранта
18
Начну с лирического отступления... Лет 10 назад у меня в аське была отдельная группа с названием Ойтишнеги. И когда надо было задать какой-нить дурацкий вопрос, 2-3 человека всегда были в онлайне и можно было быстро обсудить то что не получалось и устроить коллективный мозговой штурм.. Шли годы. Железом, настройкой, сетями интересуется народу всё меньше... Дата центры стоят, а вокруг одни программисты)) Вот и некоторое время назад возник у меня относительно банальный вопрос, я заметался, а обсудить его и не с кем. Винду переустановить специалистов полно, настроить iptables без мануала еще больше, а так чтобы чуть попроще, там прям провал. Ну, либо я не там ищу)) Короткий вывод по вступительной части - 10 лет назад воздух был чище, баш смешнее, а публика сообразительнее))

Итак, дано: офис на 20 рабочих мест, файлопомойка на 2008 виндосервере и идейный (параноидальный) руководитель, который задумал идею вывезти серв-файлопомойку из офиса. Казалось бы, вывози, заказывай там где вывез внешний ip, давай всем обезьянкам RDP и кури бамбук. Ан нет. Обезьянки бы гарантированно взвыли. Так как привыкли работать с сетевыми дисками в обычном проводнике. И надо было придумать решение, которое бы позволило оставить для обезьянок прежний вариант юзания файлопомойки. В первую очередь мне подумалось про WebDav. Подумалось, и полез я щупать его на тестовой виртуалке. По начала ещё удивлялся, а чо по настройке WebDav сервера так мало материалов. Поясню, 2008 виндосервер с добавленными юзерами и разграничением доступа к каталогам убивать не хотелось. Хотелось вообще делать лишний движений минимум. А под винду WebDav сервер можно поднять средствами самой венды, а именно IIS. И вот тестовая виртуалка, IIS, и прям всё заработало достаточно быстро, если бы не одно, но весьма весомое "НО!". Ограничение размера файла в 30Мб. В 30, Карл! Да, есть пара способов увеличить этот размер, но тогда клиент перестает банально видеть каталог на сервере. О_о и тут я стал понимать почему файлопомойка на WebDav виндосервера так не популярна. А тут и вторая проблема подвалила, провайдер, в том месте куда я вывез сервак, не смог/не захотел подключать мне внешний IP. И тут началось оппа-па, потому что сервер уже нужно вывозить, а еще не придумал как сделать обезьянкам доступ. Выдув литр сладкого чая в ночи, сел я думать. И вот что надумал. Что в офисе, что в том месте куда я вывез сервак стоят роутеры KEENETIC. А они умеют из коробки быть и VPN сервером и VPN клиентом. И это хорошо. Но внешнего ip там куда я вывез сервер нет. И это опять плохо. Но, внешний ip есть в офисе. Это как бы хорошо, но нам надо бы наоборот... Ладно, матёрые сетевики, хорош уже ржать и делать из меня кэпа очевидность, все когда-то с чего-то начинали)) Так вот.... Раз у нас в офисе есть внешний ip и роутер в офисе умеет быть VPN сервером, значит он им и будет, а роутер2 в свою очередь будет подключаться к нему по внешнему ip адресу уже как VPN клиент. Как я и писал выше, в кинетиках все работает из коробки. VPN сервер подняли, клиентом подключились, а дальше что? Как сделать так, чтобы рабочие станции обезьянок видели файлопомойку как и прежде в своей локалке? А вот как. Статическая маршрутизация.... Лет 15 я её избегал, потому что не понимал. А тут пришлось вникать. Ну и, как всегда, всё оказалось вообще не сложно и не страшно. А так как повторение у нас - это мать заикания, распишу я тут еще разок со скринами.

Роутер в офисе имеет адрес 192.168.1.1
Роутер в месте где стоит сервер 192.168.50.1

На роутере в офисе мы прописываем следующий статический маршрут

2020-11-27_12-47-02.png

p.s. Забыл уточнить, что роутер2, цепляясь к VPN серверу роутера1, получает от него статический адрес 192.168.100.2 Таким образом мы говорим в этом статическом маршруте что все обращения из сети офиса к сети 192.168.50.0 должны идти через шлюз 192.168.100.2 коим является роутер2 по VPN

Ну и чтобы ходить в морду роутера по адресу 192.168.1.1 из сети2 на роутере в сети2 мы пропишем следующий статический маршрут

2020-11-27_12-50-51.png

Таким образом мы говорим в этом статическом маршруте что все обращения из сети2 к сети 192.168.1.0 должны идти через тот же шлюз
192.168.100.2 коим является роутер2 по VPN


И еще одно действие, которое нужно сделать на межсетевом экране роутера2 - это разрешить соединения "оттуда" и "туда" то есть в сеть 192.168.1.0 из из сети 192.168.1.0

2020-11-27_12-52-30.png


Понятия не имею насколько тема сетей популярна на нашем форуме, попробую задать неочевидный вопрос... Так как документы, которые таскают обезьянки из файлопомойки и кладут в нее, являются обычной рабочей лабудой, не содержащей ни коммерческой тайны, ни каких-либо других важных сведений, чтобы не городить не нужный огород я поднял самый банальный PPTP VPN. А вопрос в следующем. При включенном шифровании скорость не выше 5Мб/с. Документы весят копейки и не критично, но сам факт. А если шифрование отключить, то скорость поднимается до 20Мб/с. Интернеты в обоих случаях по сотне, но тут явно дело в железе роутеров, которые играются между собой в виртуальную частную сеть. И тут вот дилемма. Что определяет наличие или отсутствие шифрования трафика в случае когда VPN нужна не для того чтобы втихаря от провайдера ходить на пробив или порнхаб, а тупо чтобы файло таскать через интернеты. Напомню, файло вообще не интересное ни для органов, ни для конкурентов. Только то что содержимое файлов могут читать 2 провайдера? Дак и пусть читают на здоровье, там муть. Или есть еще какие-то нюансы? Поделитесь пожалуйста кто понимает))
 
Сверху Снизу