Имеется офис в крупном городе СНГ.
Парк ПК, около 20, есть файловая шара, сетевые принтеры. Практически все ПК - это толстые клиенты, которые будут подключаться по RDP к Windows серверу на Hetzner.
В офисе оборудование Mikrotik:
- роутер Mikrotik AH1100AHx4
- коммутаторы 3 шт Mikrotik CRS328-24P-4S+RM
Заказан сервер на Hetzner (32 core, 128 RAM, 2 Tb SSD). На Hetzner будет RDP сервер для пользователей из офиса, домен, файловый сервер, сервер баз данных 1С.
Прошу подсказать по вопросу: каким образом организовать сеть между офисом и удаленным сервером?
Допустим, для виртуализации установлю Proxmox.
Как обеспечить маршрутизацию? Средствами самого Proxmox? Или установить на Proxmox виртуальный Mikrotik Router OS? Какой VPN выбрать?
Интересует в общих чертах, какие есть варианты решения такой задачи.
Задача выглядит так: связать виртуальные сервера на Hetzner с офисом, включая доступ к сетевым принтерам, и сетевым шарам в офисе.
Дешевый вариант - VPN с windows сервера внутри Proxmox на роутер в офисе. Есть проблема защиты самого proxmox - он то будет наружу смотреть.
Красивый вариант - отдельная виртуальная машина на базе linux\mikrotik, на которой и будет висеть публичный адрес сервера у Hetzner и которая будет пересылать пакеты внутрь виртуальной сети, принимать VPN из офиса или даже напрямую от удаленных пользователей, защищать ваши виртуальные машины и proxmox.
Interfreight, с особенностями сети Hetzner сначала ознакомьтесь. Для доп. IP необходимо в панеле Робот сгенерировать виртуальный MAC адрес и испольовать его в настройках интерфейса гостевой VM.
Interfreight, да гостевая внутри proxmox. Зачем вам дополнительные ip?
У вас один публичный ip будет висеть на внешнем интерфейсе VM Mikrotik или что вы выберете в качестве файрвола\маршрутизатора.
А за ним будет своя виртуальная локальная сеть, куда будет смотреть внутренний интерфейс VM mikrotik, proxmox и сервер с RDP.
В ESXI это делается с помощью двух virtual switch и подвязанных к них vnetwork, почитал про proxmox - у него тоже есть подобный функционал https://pve.proxmox.com/wiki/Open_vSwitch
Есть вариант легче.
У proxmox есть свой файрвол - так что можно proxmox оставить снаружи, прикрыть правилами файрвола от взлома и поднять любой VPN напрямую или из офиса в RDP сервер или в обратную сторону (возвращаемся к дешевому варианту).
PS если вы спрашивали про дополнительные адреса - у вас возможно в голове зреет мысль дать публичный адрес серверу с RDP - категорически не советую :-) без защиты вам его просто заддосят пытающиеся подобрать пароль
Alexey Dmitriev, Меня интересует общая схема построения. Если будет необходимо - конечно, закуплю дополнительные ip.
На данный момент склоняюсь к варианту, чтобы сделать шлюз vpn в виде гостевой VM на Proxmox.
Чтобы сам хостовый Proxmox не трогать вообще.
Interfreight, тогда строите виртуальную сеть внутри proxmox из двух VM - сервер и VPN.
Если уж хотите отдельную VM под шлюз - разворачивайте не point-to-point, а site-to-site VPN - чтобы была свободная маршрутизация между двумя подсетями IP - офисной и виртуальной.
И стесняюсь спросить - вам зачем домен то? если сервер один - по факту креды создавать только на нем а пользователи пусть под "Пользователь" сидят.
Alexey Dmitriev, спасибо за ответы, это очень важная информация для меня.
Я планирую сделать и небольшой файловый сервер, чтобы самые важные файлы офисные не таскать туда-сюда через vpn. И мне было бы очень удобно рулить пользователями (50 шт) и правами доступа через домен.
Да и RDS gateway хочу попробовать сделать (если не ошибаюсь, для этого тоже домен не помешает)
В общем, с этим всем проблем нет, у меня "пробел" именно в построении vpn и общих принципах.
Interfreight, вместо файлового сервера в офисе можно использовать Branchcache.
Она может работать в serverless режиме ,кеши файлов будут на рабочих станциях размещаться.
А на чём её поднимать? Меня общий обзор интересует.
Поднять OpenVPN на Mikrotik AH1100AHx4 в офисе, а на Hetzner на чем? На самом Proxmox?
Или установить на Proxmox виртуальную машину допустим с centos и уже на ней поднимать OpenVPN?
На виртуальной машине точно будет нормально работать. Можете попробовать установить на хост. Только bridge сначала настройте.
У Hetzner сеть со своими приколами. Если достаточно до 5 IP, то покупайте отдельные и на гостевых не забудьте указать виртуальный MAC адрес.
