Дано, есть офис и сервер терминалов у хостера. Дабы обезопасить соединение и данные, хочу сделать vpn между сервером и офисом.
Но вот вопрос, везде где я читаю все говорят не делать VPN на win server, а ставить линукс, роутер ос и т.д.
Чем так ужасен впн на виндоусе что надо делать отдельную виртуалку для подключения к серваку?
И какое вы предложили бы подключение для такой конфигурации?
Ужасно настраивать виртуалку в качестве впн шлюза под виндой, потому что винда жрёт много даже в core варианте.
Если ты уже используешь винду для иных целей - ничего страшного в том, чтобы впилить туда впн-сервер для подключения к ней удалённо, нет.
Тем что он не гибкий... Тем что винду лучше вообще не выпускать в "мир" без фаерволла перед ней
Поставьте ВПН сервер в офисе.. если там есть статика
А еще лучше как вариант внедрите Zeroiter... и на клиентские ПК в офисе тоже. Получится быстрее чем ВПН, т.к. траффик пойдет p2p
Ну либо шлюз с Zerotier офисе поднять, если ПК много)
Поставьте ВПН сервер в офисе.. если там есть статика
Дык так и хочу, соединение офисный роутер -терминалка у хостера. Но наверное таки придется что-то колхозить с виртуалкой.
Сейчас посмотрю что такое Zeroiter и тогда буду точно понимать что делать. Спасибо.
Drno, блочится наружу. Например у меня перестали работать соединения из России в Калифорнию. А в обратную сторону работает нормально. И между компами внутри страны думаю нормально будет.
Но сам Tailscale у меня не прижился, так как клиент часто сбрасывает аутентификацию и сервер выпадает из сети.
Вам как таковой VPN здесь вероятно не нужен. Достаточно сделать файрвол и закрыть для подключения извне порты для любых IP, кроме офисного (надеюсь, что он "белый" и постоянный).
Любой VPN - это достаточно высокая нагрузка на шифрование и соответственно если много клиентов - нужно серьезное оборудование.
Дополнительной мерой безопасности может стать двухфакторная авторизация на терминале. Например бесплатный MultiOTP.
Тут либо на стороне офиса поднимать vpn-сервер (а он так или иначе нужен для удалённой работы хотя бы системного администратора) и к нему подключаться со стороны терминального сервера.
Ну или наверно извращённый вариант: на терминале запускать hyper-v и в нём запускайте routeros
Да вот как раз такого извращения с hyper-v и хочу избежать, лишний узел, задержки, ну и костыли какие-то.
Тогда уж можно поставить проксмокс, на него винду, и роутер ос, но все равно не очень как-то.
Если вы специалист по Windows Server, и понимаете как работает WFW и что нужно делать для защиты в WS - то развертывание VPN на самом Windows Servers - довольно хорошая идея для того, чтобы обезопасить его даже в случае его прямого подключения к Интернет.
Желательно использовать для VPN стороннее ПО, а не доступные в роли RAS.
Да вот как раз ищу сторонние решения.
Думал в сторону Wireguard, но для винды сервера не нашел.
Openvpn даст задержки терминалам, RAS такое себе.
Если подскажите хорошие варианты, буду благодарен.
Для защиты данных при передаче в интернете.
Офис в одной локации, хостер в другой. А в облаке 1с, почта, и другие данные которые хотелось бы дополнительно защитить.
