הגדרת שירות VPN
- פותח הנושא nando
- פורסם בתאריך
איך לכל זה קשור בכלל נושא של Active Directory? וגם על איזו..
איך לכל זה קשור בכלל נושא של Active Directory? וגם על איזו תשתית רגילה של בזק מדובר, האם זה תשתית תמסורת רגילה של בזק, האם זו תשתית METRO NGN רגילה של בזק, האם זו תשתית IPVPN רגילה של בזק או שזה בכלל תשתית VC ישיר רגילה של בזק? וגם מה נדרש בכלל? יש כבר שרת VPN קיים? מה הוא? ועל מה בכלל מדובר, על VPN Site To Site ? על VPN Road Warrior ? על קישור של שני תתי רשתות דרך VPN?
בכל מקרה הפתרון החינמי המומלץ הוא OpenVPN לפרוטוקול ו PFSense לשרת, ללקוח ולמערכת ניתוב ו FW. היא יכול להתממשק גם עם AD דרך שרת RADIUS או לעבוד בצורה עצמאית. גם את ה CA הוא יכול לקחת מ AD וגם לנהל אותם עצמאי. מצורף תרשים של מימוש החיבור נדרש לדוגמה, במקרה של צורך חיבור של שני תתי רשתות כ Site to Site VPN.
איך לכל זה קשור בכלל נושא של Active Directory? וגם על איזו תשתית רגילה של בזק מדובר, האם זה תשתית תמסורת רגילה של בזק, האם זו תשתית METRO NGN רגילה של בזק, האם זו תשתית IPVPN רגילה של בזק או שזה בכלל תשתית VC ישיר רגילה של בזק? וגם מה נדרש בכלל? יש כבר שרת VPN קיים? מה הוא? ועל מה בכלל מדובר, על VPN Site To Site ? על VPN Road Warrior ? על קישור של שני תתי רשתות דרך VPN?
בכל מקרה הפתרון החינמי המומלץ הוא OpenVPN לפרוטוקול ו PFSense לשרת, ללקוח ולמערכת ניתוב ו FW. היא יכול להתממשק גם עם AD דרך שרת RADIUS או לעבוד בצורה עצמאית. גם את ה CA הוא יכול לקחת מ AD וגם לנהל אותם עצמאי. מצורף תרשים של מימוש החיבור נדרש לדוגמה, במקרה של צורך חיבור של שני תתי רשתות כ Site to Site VPN.
אנסה להסביר את הצורך ולהתנסח טוב יותר
המטרה המבוקשת
לאפשר גישה מרוחקת לעובדים למידע ולמערכות הארגון , תוך יצרית גישה מובחנת (דיפרנציאלית למידע הארגוני) וגם לאפשר עבודה מרוחקת על תוכנות המותקנות על המחשב הספציפי שמוצמד אל כל אחד מהם בארגון. המשמות רק אותו. למשל חשבשבת - נחות להנה"ח.
ציון העובדה שאין Active Directory נובעת מן ההנחה שהדרך לאפשרהתחברות ב RDP בצורה אוטומטית לתחנת עבודה מסויימת (וכך להשיג את היכולת לתפעל מרחוק את מחשבו), על- סמך ההזדהות של המתחבר מרחוק, אפשרית רק ה AD, אבל יתכן שאני טועה.
ציון עניין סוג התשתית, נבע מן המחשבה שיתכן ש service אולי מגיע מובנה בראוטר של ספקי התשתית
עשיו משניתן הרקע התשתיתי,
אשמח לדעת או לקבל הצבעה למדריך מסודר לפתרון חינמי אשר יאפשר הגדרת VPN Server חינמי על מכונת Windows .
תודה!
המטרה המבוקשת
לאפשר גישה מרוחקת לעובדים למידע ולמערכות הארגון , תוך יצרית גישה מובחנת (דיפרנציאלית למידע הארגוני) וגם לאפשר עבודה מרוחקת על תוכנות המותקנות על המחשב הספציפי שמוצמד אל כל אחד מהם בארגון. המשמות רק אותו. למשל חשבשבת - נחות להנה"ח.
ציון העובדה שאין Active Directory נובעת מן ההנחה שהדרך לאפשרהתחברות ב RDP בצורה אוטומטית לתחנת עבודה מסויימת (וכך להשיג את היכולת לתפעל מרחוק את מחשבו), על- סמך ההזדהות של המתחבר מרחוק, אפשרית רק ה AD, אבל יתכן שאני טועה.
ציון עניין סוג התשתית, נבע מן המחשבה שיתכן ש service אולי מגיע מובנה בראוטר של ספקי התשתית
עשיו משניתן הרקע התשתיתי,
אשמח לדעת או לקבל הצבעה למדריך מסודר לפתרון חינמי אשר יאפשר הגדרת VPN Server חינמי על מכונת Windows .
תודה!
טוב, עדיין לא סיפרת מה סוג התשתית הקיימת של בזק ומה...
טוב, עדיין לא סיפרת מה סוג התשתית הקיימת של בזק ( חלק מהתשתיות לדוגמה של בזק כבר מניתי, בשביל להסבר על מה בכלל מדובר ) ומה בכלל רוצים לעשות ( מה היא טופולוגייה של VPN הנדרשת, כפי כבר שאלתי, האם רוצים להקים מערכת Site To Site VPN בין אתרים מרוחקים או שרוצים לבצע קישור בין תתי רשתות קיימות בעזרת VPN או שבכלל רוצים מערכת של road warrior vpn ) ?. גם אתה צריך לקחת בחשבון את התכנון של משאב רוחב פס שנדרש לצרכים שלך בתלות בכמות של משתמשים והמשימות שלהם. למשל ל SESSION בודד אחד של לקוח RDP מומלץ להקצות החל מ 15M רוחב פס, וזה גם, אם לא משתמשים ברזולוצייה גבוהה מדי ולא בעומק צבע מקסימלי. עכשיו בקשר למערכת ההפעלה של השרת VPN . אם מדובר על Windows גרסת desktop , אז מערכת הפעלה זו לא מתאימה לשמש כפלטפורמה של שרת וזה למרות שקיימות כל מני קומבינות עקומות שמתיימרות לבצע את זה. למשל יש כל מני משחקים לילדים או לשימוש ביתי, למשל SoftEther VPN Project או יש את OPENVPN שניתן להתקין אותו ישירות על WINDOWS גם כשרת, רק שכל זה מאוד לא מומלץ גם מבחינת הייציבות, גם מבחינת הביצועים וגם מבחינת האפשרויות שלניהול של מערכת כזו ובטח שלא מבחינת אבטחת מידע. מצורפים קישורים לשני הדברים הלא ממלצים המדוברים:
https://www.softether.org/
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide
עכשיו בקשר למה כן מומלץ, אז כפי שכבר הסברתי, מומלץ למשל להתקין את PFSense שהיא חינמית ומצריכה רק חומרת שרת נדרשת ואת חלק מהתפקידים שלה כבר הסברתי לפני זה וגם את זה שהמערכת זו היא חינמית ובמקרה הצורך או בעתיד יכולה להתממשק עם המערכות שרת של MICROSOFT. מערכת זו יכולה לשמש לדרישות שלך של: "יצרית גישה מובחנת (דיפרנציאלית למידע הארגוני) וגם לאפשר עבודה מרוחקת על תוכנות המותקנות על המחשב הספציפי שמוצמד אל כל אחד מהם בארגון", וזה בעזרת הגדרות כללים פשוטים של FW , כך שכל משתמש יוכל מרחוק להתחבר רק למשאבים המיועדים ומותרים לו בארגון. ואני יכול לצרף גם קישור למדריך פשוט, מסודר והתחלתי של ההגדרות שרת VPN בה:
https://www.netgate.com/docs/pfsense/vpn/openvpn/openvpn-remote-access-server.html
טוב, עדיין לא סיפרת מה סוג התשתית הקיימת של בזק ( חלק מהתשתיות לדוגמה של בזק כבר מניתי, בשביל להסבר על מה בכלל מדובר ) ומה בכלל רוצים לעשות ( מה היא טופולוגייה של VPN הנדרשת, כפי כבר שאלתי, האם רוצים להקים מערכת Site To Site VPN בין אתרים מרוחקים או שרוצים לבצע קישור בין תתי רשתות קיימות בעזרת VPN או שבכלל רוצים מערכת של road warrior vpn ) ?. גם אתה צריך לקחת בחשבון את התכנון של משאב רוחב פס שנדרש לצרכים שלך בתלות בכמות של משתמשים והמשימות שלהם. למשל ל SESSION בודד אחד של לקוח RDP מומלץ להקצות החל מ 15M רוחב פס, וזה גם, אם לא משתמשים ברזולוצייה גבוהה מדי ולא בעומק צבע מקסימלי. עכשיו בקשר למערכת ההפעלה של השרת VPN . אם מדובר על Windows גרסת desktop , אז מערכת הפעלה זו לא מתאימה לשמש כפלטפורמה של שרת וזה למרות שקיימות כל מני קומבינות עקומות שמתיימרות לבצע את זה. למשל יש כל מני משחקים לילדים או לשימוש ביתי, למשל SoftEther VPN Project או יש את OPENVPN שניתן להתקין אותו ישירות על WINDOWS גם כשרת, רק שכל זה מאוד לא מומלץ גם מבחינת הייציבות, גם מבחינת הביצועים וגם מבחינת האפשרויות שלניהול של מערכת כזו ובטח שלא מבחינת אבטחת מידע. מצורפים קישורים לשני הדברים הלא ממלצים המדוברים:
https://www.softether.org/
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide
עכשיו בקשר למה כן מומלץ, אז כפי שכבר הסברתי, מומלץ למשל להתקין את PFSense שהיא חינמית ומצריכה רק חומרת שרת נדרשת ואת חלק מהתפקידים שלה כבר הסברתי לפני זה וגם את זה שהמערכת זו היא חינמית ובמקרה הצורך או בעתיד יכולה להתממשק עם המערכות שרת של MICROSOFT. מערכת זו יכולה לשמש לדרישות שלך של: "יצרית גישה מובחנת (דיפרנציאלית למידע הארגוני) וגם לאפשר עבודה מרוחקת על תוכנות המותקנות על המחשב הספציפי שמוצמד אל כל אחד מהם בארגון", וזה בעזרת הגדרות כללים פשוטים של FW , כך שכל משתמש יוכל מרחוק להתחבר רק למשאבים המיועדים ומותרים לו בארגון. ואני יכול לצרף גם קישור למדריך פשוט, מסודר והתחלתי של ההגדרות שרת VPN בה:
https://www.netgate.com/docs/pfsense/vpn/openvpn/openvpn-remote-access-server.html
התייחסות לפרמטרים שאתה מבקש בכדי לתת תשובה מדויקת
- המטרה ליצירת VPN היא: יצירת ךאפשר למשתמשים בתחברות מרחוק שינותבו אוטומטית ל RDP Session המתחבר למחשב ספציפי המוגדר כ"מחשב של אותו משתמש במשרד".
- הפעלת ה-RDP תאפשר למשתמשים לגשת גם לתוכנות מיוחדות שיש להם בתחנת העבודה הקבועה שלבם תכן שואין להם בבית ולא רק אל קבצים שאיתם הם יכולים למשוך לעבודה מקומית בבית, כשמדובר בקבצי תוכנות שיש כיון בכל מחשב.
כמו כן, הדבר יחסוך של תהליך מפוי כפול של ההרשאות גישה לקבצי נתונים, מתקף זה, שהמשתמש שלהם ב VPN איננו אותו אחד שמוגדר להם בתוך המחשב במשרד (אפרופו לשאלתך מדוע אזכרתי קודם את העובדה שאין AD באותה חברה).
אשמח לדעת האם ניתן לממש את המנגנון שתואר קודם, באחד מדגמי הראוטר שבזק מספקת (כולל יכולת להריץ סקריפט התחחברות אוטומטי האמצעות RDP לתחנת עבודה ספציפית). ואם לא , אשמח למדריך מפורט להגדרת VPN Server, על גבי PC המריץ Windows 7/10.
אני יודע שזאת אפשרות הקיימת בראוטרים כגון Linksys שהותקן בהם Firmwares חלופיים כגון (DD-WRT או Tomato ) שנותננים שירותים כאלה כמו VPN.
- המטרה היא להמנע מצורך להתעסק בהתקנות של תוכנות ובהגדרות כמו IP Pulls ודברים אחרים, בשרת VPN שידרש אחרת להתקין ב PC שיוקדש במיוחד לזה. מסובך יחסית לי (אם אין מדקיך מפורט וברור) וגם יקר.
תודה עבור התשובה ושבת שלום!
בגלל שעדיין לא שמענו עוד מה סוג התשתית בזק שקיימת בעסק...
בגלל שעדיין לא שמענו עוד מה סוג התשתית בזק שקיימת בעסק ולא את הרוחב פס הקיים או הנדרש או את הסוג ה VPN הנדרש, כפי שכבר הסברתי מההתחלה, נשאר רק לענות על השאלות האפשריות.
1. את החיבור למחשב ספציפי למשתמש ספציפי במשרד ניתן לאפשר כפי שכבר הסברתי מקודם על ידי הגדרות כללים מתאימים ב FIREWALL ולכל משתמש ניתן לתת כתובת IP קובע מתת רשת של VPN , ז הגם מתבצע בהגדרות של שרת VPN. ואת הקיצור דרך לחיבור RDP המתאים מהמחשב המרוחק ניתן לשלוח למחשב מרוחק כקיצור דרך שכולל כבר את כל ההגדרות הנדרשות.
2. כמובן שכל זה לניתן לבצע גם בעזרת נתבים שבזק מספקת ללקוחות העסקיים, למשל בעזרת נתבים של CISCO, רק ששם מדובר על מחירים שיהיו בסדרי גודל גבוהים יותר, גם מבחינת גמישות פתרונות אלה יהיו מוגבלים יותר ומסובכים יותר וגם רוב האפשרויות בנתבים אלה יהיו נעולים לשימוש בגלל מדיניות של בזק. כפי שכבר הסברתי, מערכות הפעלה של WINDOWS 7 או 10 לא נועדו לשימושי שרת כלל, אבל את הקישורים למשחקים כאלה, שלא יכולים לשמש ליישומים עסקיים כבר נתתי לפני זה.
3. אין דרך פלא או קסמים ובכל מקרה נדרש להגדיר את כל המערכת, או שמבצעים את זה לבד או שמשלמים לאיש מקצוע שיבצע את כל הפרוייקט המדובר. בכל מקרה, את המערכת PFSense לא מתקינים על ( PC שיקדש במיחד לזה ), אלה על חומרה מתאימה לדברים כאלה. החומרה יכולה להיות גם שרת של יצרן מוכר או מערכת משובצת X64 של יצרן סיני כלשהוא.
בגלל שעדיין לא שמענו עוד מה סוג התשתית בזק שקיימת בעסק ולא את הרוחב פס הקיים או הנדרש או את הסוג ה VPN הנדרש, כפי שכבר הסברתי מההתחלה, נשאר רק לענות על השאלות האפשריות.
1. את החיבור למחשב ספציפי למשתמש ספציפי במשרד ניתן לאפשר כפי שכבר הסברתי מקודם על ידי הגדרות כללים מתאימים ב FIREWALL ולכל משתמש ניתן לתת כתובת IP קובע מתת רשת של VPN , ז הגם מתבצע בהגדרות של שרת VPN. ואת הקיצור דרך לחיבור RDP המתאים מהמחשב המרוחק ניתן לשלוח למחשב מרוחק כקיצור דרך שכולל כבר את כל ההגדרות הנדרשות.
2. כמובן שכל זה לניתן לבצע גם בעזרת נתבים שבזק מספקת ללקוחות העסקיים, למשל בעזרת נתבים של CISCO, רק ששם מדובר על מחירים שיהיו בסדרי גודל גבוהים יותר, גם מבחינת גמישות פתרונות אלה יהיו מוגבלים יותר ומסובכים יותר וגם רוב האפשרויות בנתבים אלה יהיו נעולים לשימוש בגלל מדיניות של בזק. כפי שכבר הסברתי, מערכות הפעלה של WINDOWS 7 או 10 לא נועדו לשימושי שרת כלל, אבל את הקישורים למשחקים כאלה, שלא יכולים לשמש ליישומים עסקיים כבר נתתי לפני זה.
3. אין דרך פלא או קסמים ובכל מקרה נדרש להגדיר את כל המערכת, או שמבצעים את זה לבד או שמשלמים לאיש מקצוע שיבצע את כל הפרוייקט המדובר. בכל מקרה, את המערכת PFSense לא מתקינים על ( PC שיקדש במיחד לזה ), אלה על חומרה מתאימה לדברים כאלה. החומרה יכולה להיות גם שרת של יצרן מוכר או מערכת משובצת X64 של יצרן סיני כלשהוא.
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.