Как сделать VPN туннель только для связи удаленных локалок, С ИНТЕРНЕТОМ, но пользаки используй СВОЙ белый IP адрес?

Question

[bassoon48]

Здравствуйте. Достался в наследство pfsense на котором крутится OpenVPN через tun (L3) и UDP.

Задачу свою выполняет, даёт удалённым пользакам гулять по локалке предприятия. Но в интернет выходят со своих IP адресов.

Так и надо и должно быть.

Загорелся вопросами:
1) Возможно ли провернуть тоже самое на голом Debian + OpenVPN? (как и где почитать?)
2) Возможно ли то же самое на ikev2 + debian?

3) Если нет то какие решение есть кроме pfsense + OpenVPN?

Настроить тупо VPN это и васёк может, а вот с такой заковыкой чтоб белый IP сервака не юзать?))

Answer 1

[Rsa97]

1. Split Tunneling.
2. StrongSvan. На клиентах Split Tunneling.

Comments

[bassoon48]

то есть возможно сделать ikev2 + debian чтоб клиенты видели локалку удалённую но был у них свой белый IP? ЧТоб дик пики и порнуху с торрентами не гнали через мой шлюз, а гнали через свой.

Какие самые нормальные связки?

OpenVPN+pfsense, OVPN+debian, IKEV2+debian....

Может я чего не знаю

[Rsa97]

bassoon48, Возможно. Читайте по указанной ссылке.
Для клиентов windows лучше ikev2, он значительно шустрее, чем OpenVPN.

Answer 2

[Alexey Dmitriev]

1) да
2) да
3) гугл в помощь

Comments

[bassoon48]

щас уже гугл не в помощь. с 4пда уже все гайды потёрли. Но не суть. Гайды тут не нужны.

Вопрос в реальном использовании.

Допустим если ты параноик и кибертеррорист юзай v2ray +CDN + европейский хостинг с оплатой по битку

А если я работник Вася и мне нужен максимально быстрый и безопасный доступ к локалке предприятия? ТО IKEv2 мастхэв? или?

[Alexey Dmitriev]

bassoon48, если вы работник Вася, то правильнее будет изучать сети и технологии ВПН и делать осознанный выбор, соответствующий требованиями заказчика или обращаться к специалистам. Если есть системный администратор на предприятии - то к нему.

Answer 3

[Drno]

Да. В опенвпн есть спец настройка. Плюс маршруты.

В ikea - не использовать как шлюз по умолчанию. Плюс маршруты. В разных дистриб по разному

Но вообще - это всё заблокируется скоро. Посмотрите в сторону zerotier или nebula slack

Comments

[bassoon48]

дак если не использовать шлюз у пользаков не будет интернета не?

[bassoon48]

задача то состоит в том, чтоб был доступ к локалке, но дик пики и торренты качать через свой Ip а не удалённый.

Я как понял надо гуглить Split Tunneling

щас сижу курю под debian

То есть инет должен быть, но не от удалённого сервака а через себя

[Drno]

bassoon48, метрики шлюза используются. Кто то первичный, кто то вторичный. Плюс маршруты. Хоть 10впнов делай…
Если указано что это шлюз для опр набора подсетей - то только для них и будет использоваться