Как лучше организовать vpn?

Question

[stereo12]

Здравствуйте, задача дать доступ директору к общим папкам на работе, с ноутбука. Дом, дача, командировки.
Поднял vpn на windows 2008 r2 ( лицензия). Пока искал какие порты прокинуть/ как дать доступ через роутер ( микротик), узнал, что сам микротик может быть vpn-сервером.
Поэтому прошу помощи по таким тупым вопросам:
1. Как лучше, как правильно, как принятно делать: vpn на windows сервере за роутером или vpn на самом роутере Mikrotik или без разницы?
2. Если, допустим победит windows server 2008r2, то какие все таки порты пробрасывать? udp 500 и 4500 достаточно?
Тип vpn l2tp/ipsec

ps или может вообще не мучаться с этой темой и дать доступ к шарам по RDP?

Comments

[Nik-admin]

Почитай там все на русском и с картинками.

Answer 1

[20ivs]

на Микротике L2TP+IPsec сервер, на ноуте из дома\командировки и т.д. стандартный L2TP+IPsec клиент. ничего пробрасывать дополнительно не надо, будете подключаться непосредственно к рабочей сети.
Вот, например.

Comments

[stereo12]

По мне так полностью исчерпывающий вариант настройки под мою задачу по вашей ссылке. Спасибо!

Answer 2

[d-stream]

Во избежание кривых блокировок (например на курортах) - наверное стоит посмотреть в сторону SSTP - уж 443 порт никакой админчег не залочит.
Микротик вполне умеет это штатно в пару кликов.

Comments

[stereo12]

Да я выбрал l2tp из-за простоты. Да и вроде как уже морально настроился, читал именно про него.

[d-stream]

stereo12, разницы - в общем-то никакой, в количестве кликов - тоже

из плюсов - собственно трафик малоотличим от серфинга (ибо сейчас везде https), разве что соотношение прием/передача несколько удивит админов
из минусов - вроде как чутка помедленнее, ну и наверное будут сложности на андроидах и айфонах

[20ivs]

d-stream, и секс с сертификатами, который можно отнести разве что к минусам.

[d-stream]

20ivs, в чем заключается секс? или это страх неведомого?

Answer 3

[constnw88]

Если используется 1С в файловом режиме и документы будут редактироваться прямо на шаре, то лучше RDP. Надёжнее для файлов будет при обрыве связи. Кроме того легко работать со смартфонов и планшетов, что тоже иногда бывает.
А VPN лучше на 443 порт вешать, как писали ранее. В гостиницах за границей часто порты по белому списку и vpn туда не входят.

Answer 4

[Stanislav]

Я себе упросил задачу в примерно аналогичной ситуации.
Взял VPN с белым ай-пишником от vp-next.com. Это по сути та же VPS, только уже преднастроенная, с vpn сервером ( softether ). Можно конечно самому, но так проще. Опять же за безопасностью следить не надо и ничто не светит открыто в интернет. Сервер подключен к этому впн и директор с бухгалтером подключается из любых мест. Для них этот сервер как во внутренней сети получается. Обход блокировок - бонусом.
Цена та же, что и VPS в аренду.
Вот тут у них статья https://vp-next.com/remote-pc-connection/ про подключение через vpn. Там конечно больше воды. Но и так всё понятно и просто. Манагеров еще так же периодически подключаю, когда в командировке или болеет кто.