Как создать расово верный туннель VPN?

Question

[AOzhgibesov]

Скажу сразу, что никогда не занимался созданием подобной инфраструктуры, но по роду деятельности пришлось столкнуться.
Есть у нас офис A в одном городе. Есть офис B в другом городе.
В офисе A на CentOS поднять OpenVPN сервер. В офисе B стоит microtik. На нём поднято соединение до Офиса A с помощью сертификатов.
Теперь задача. Открывается Офис A-1 в этом же городе, необходимо настроить VPN до Офис A. Как это лучше всего реализовать? Доступ по VPN осуществляется только к 1c и серверу телефонии

Answer 1

[АртемЪ]

А что тут думать? Просто в офисе А-1 подключаетесь к серверу офиса А и работаете.
Т.е сервер у вас в офисе А, а клиенты могут быть где угодно, и сколько угодно.

Comments

[AOzhgibesov]

Я правильно понимаю, что нужно сделать на сервере open vpn ещё одну УЗ для подключения и настроить на microtik в офисе A-1

[АртемЪ]

AOzhgibesov: Я не совсем понимаю что означает аббревиатура УЗ.
Вам просто нужно с офиса A-1 установить еще одно подключение к серверу.

[Disen]

И в офисе B отказывайтесь от PPTP, переходите но openvpn.

[АртемЪ]

Денис: Зачем?

[АртемЪ]

Денис: Это весьма вредный совет в текущей ситуации.

[AOzhgibesov]

Артем: Артём, прошу прощения, я ошибься. Ранее было настроено по pptp, сейчас оpenvpn. Я правильно понимаю, что мне нужно сгенерировать новую пару сертификатов и подключить microtik в новом офисе по аналогии с филиалом. Могу я получить вашу консультацию в вк или skype?

[Disen]

Артем: у PPTP имеются серьезные проблемы с безопасностью. Считаю его использование в организации крайне нежелательным.
И чем же мой совет вреден в текущей ситуации?
Только лишь тем, что при переходе с PPTP на ovpn у топикстартера возможно набивание шишок по неопытности? Или в чем еще вредность?
Кроме того, тут имеется дополнительный профит в виде отказа от PPTP-сервера. Сопровождать одну систему всяко легче, чем две.

[АртемЪ]

Денис: А разве речь шла о безопасности?

[АртемЪ]

AOzhgibesov: Сейчас нет, с 5апреля и позже - запросто.

[Disen]

Артем: угу. Ну нафиг это шифрование. Даешь уязвимые протоколы и трафик между филиалами без шифрования, plaintex'ом по GRE/EoIP.
Таки в чем вредность моего совета?

[АртемЪ]

Ну с вредностью я переборщил, я думал у автора сделано на pptp и работает, а когда настроено и работает переезжать на другой протокол от нечего делать, это вредно.

А по поводу безопасности - она требуется далеко не везде.
В большинстве случаев при создании тоннелей в первую очередь важна скорость работы, и данные допустимо передавать в открытую.
Если где то требуется безопасность - это оговаривается отдельно, и уже на основании требований к безопасности выбирается решение.

[АртемЪ]

Денис: Просто безопасность это такая штука, которая решается комплексно. И она должна быть адекватна угрозам.
Нет смысла вешать сейфовый замок за 2тыс баксов на склад, в который можно легко зайти через дырку в стене. Так же нет смысла если в этом складе не хранится ничего ценного.

Answer 2

[valeg]

Если уже есть openvpn сервер в офисе А, то зачем еще что-то городить, ставьте и в офисе А1 openvpn

Answer 3

[Валентин]

Создай схему, если хочешь получить здесь квалифицированное решение.