У конторы несколько филиалов в разных частях города. Один филиал = 1 компьютер (не сеть). Сейчас используется распределёнка с автообменом, но оперативность страдает. Хотелось бы, чтобы база была одна, а компы подключались бы к нему через RDP, для этого надо связать их виртуальной сетью, кажется это называется VPN. Кажется есть софтины, которые это умеют, и где-то я слышал что вроде бы есть роутеры, которые тоже позволяют решать такую задачу. В общем, владельца я послал к провайдеру заказывать статический IP адрес на компе, где будет центральная база, а мне надо научиться это делать. Обозначьте плз направление для поиска, или может уже есть готовые инструкции по настройке такого хозяйства.

>как проще всего

Нанять специалиста (админа). За денежку.

https://lanmarket.ua/stats/obedinenie-lokalnyh-setey-na-oborudovanii-Mikrotik

>владельца я послал к провайдеру заказывать статический IP адрес на компе, где будет центральная база

Это не обязательно

(0) У фирмы свой сайт есть? На чем он? Кто админит?

(0) https://bozza.ru/art-248.html

https://lantorg.com/article/nastrojka-vpn-cherez-mikrotik-pptp-i-pppoe

Слушайте вы уже надоели эти хакнутые https://xakep.ru/2018/08/03/mikrotik-under-attack/ микротики всем совать/советовать.
Они же реально отстой и понты для тех кто ничего лучше не смог освоить ))

(7) его можно ронять на пол, а кинетик сломается

(8) Сломанный кинетик можно заменить другим из ближайшего магазина.
Заказанный микротик задолбаешься ждать и настраивать заново.

(7) ну тогда так https://firstwiki.ru/index.php/Настройка_Windows_Server_2008_R2_VPN-сервера

(7) "ничего лучше не смог освоить "

А что у нас "лучше"? циска?

(7) дыру заделали больше года назад.
Микротики сейчас без проблем продаются в магазинах - https://www.dns-shop.ru/search/?q=mikrotik

(11) Ну кинетик умеет Cisco like CLI

(12) Ценник не гуманный за тоже самое по функционалу или нет в наличии обычно

(14) как раз за то же самое по функционалу ценник отличный. Потому как альтернатива в виде какой-нибудь минимальной циски или zyxel zywall - танцует где-то около тридцатки

если, конечно не рассматривать варианты взять бушку на авито и поднимать на нем wrt.

(15) Хочешь сказать что микротик умеет из коробки больше чем openwrt?

(16) Причем тут бушка, если кинетик OPKG пакеты понимает.
Микротик кстати вроде тоже в последних это может.

Короче это все фигня и спор ни о чем.

ТС надо искать того кто будет делать и тот уже сам выберет железо с которым умеет.

Или долго-долго изучать с матами самому и пробовать на разном железе.

(18) Быстро и без матов не получится? По идее задача-то типовая совершенно

(17) речь идет о том чтобы взять что-то приемлемое для решения задачи и не городить городушки. Кинетик гига, кстати, тоже скорее всего сойдет, потому как IPSec VPN сервер в нем, кажись, есть. Хотя я его не поднимал.

но он не сказать чтоб дешевый, гига

(19) Для спеца да, дел на поехать в магазин, купить железку, приехать и за 10 минут настроить.
Вопрос в том что надо знать и уметь как.

Без белого ip на точках я vpn банально на VPS/VDS там же где сайт разворачиваю.

У вас сейчас обмен по РИБ как? Через FTP или через облака бесплатные?

(20) Любой VPN пойдет.
Я обычно да L2TP IPSec VPN делаю, ибо оно практически везде пашет и есть из коробки почти везде.

(19) покупаешь три микротика, публикуешь типа заказ где нибудь "настроить звезду на трех одинаковых микротиках", тебе его делают, берешь телефончик того кто делал и всё. Склонировать и поменять пару цифр сможешь сам, спец на подхвате, если не пожмотились в начале

(22) Сейчас обмен по почте на mail.ru
И они раз в три месяца стабильно блочат адрес, когда через веб заходишь говорят что похоже ваш пароль скомпрометирован :(

(25) Извращенцы хотя бы бесплатное https://cloud.mail.ru/ заюзали

(0) Какая у вас конфигурация? Не рассматривали вариант с использованием сервиса ГРМ от 1С?

(23) похоже, в последних кинетиках IPSec-сервер воткнули даже в младшие модели, во всяком случае на keenetic.com заявлено что есть. Интересно, Shrew в качестве клиента подойдет? Надо будет попробовать.

(25) есть РИБ на 10.3 работают уже много лет через DropBox, нафига почту мусолить.

(24) То есть чтобы зайти в базу с ноутбука из Египта надо будет микротик с собой брать? Не пойдёт, хотелось бы ограничиться сертификатом в ноутбуке

(13) причем тут cli, я про функционал. (если уж на то пошло у циски есть ios и есть asa, какой из них кинетик "повторяет"?)

Кинетик это балалайка для домашних юзеров, типа потыкал и получился тоннель или еще чего а если копать дальше типа кастомных ключей или всяких извращений с вланами и маршрутизации внутри них в зависимости от авторизации через IEEE 802.1X то ой.
Микротик гораздо ближе к циске в данном вопросе, при этом имеет функционал который у цисок по разным железкам обычно разделен лицензиями и софтом

(31) Последние кинетики это по сути "линукс на чипе с оболочкой".
Они даже исходники выкладывают для желающих допила.

(32) вспотеть можно это все в линуксе настраивать, давно прошли времена когда "роутер на фрюхе" собирали

(30) нет. Чтобы подключить локальную подсеть с подводной лодки - надо. Чтобы войти с одного компа нужен этот один комп

(33) C нуля да, а так там парой команд все делается скриптами для такой же системы

Самое простое, поставить терминальный сервер, в центре и в филиалах сделать белый ip, выставить его "жопой наружу", но ограничить подключения на него по ip адресам филиалов, даже VPN поднимать не надо, ну или как вариант веб морду

(0) Если интересно то 250 рублей в месяц стоит аренда VPS сервера с белым IP, на нем поднимается VPS сервер и настраивается маршрутизация.

Тогда в отделах в т.ч. где база на роутерах только прописать ip или dns этого сервера и логин пароль.
Далее или маршрутизация на роутерах или банальная проброска требуемых портов на сервере.

Проброска это значит даже VPN клиента не обязательно настраивать, если конфа УФ то простой заход откуда угодно по ip или dns адресу правильному, ввод логина/пароля и мы в базе.
Тонкий или веб-клиент. Там же удаленный доступ через браузер по noVNC.

(37) *на нем поднимается VPN сервер

(35) для типовых задач, одна-две подсети, три тоннеля со стандартным шифрованием, шаг в сторону- пипец

(39) Шаг в сторону просто уже немного знать линукс надо.

Зато я прикольно сумел для разных vpn входящих интерфейсов поднимаемых задать присвоение статических имен от имен пользователей vpn.
И на этих статических именах интерфейсов уже маршрутизацию по портам через iptables.

Попробуйте такое на vpn сервере на роутере даже на микротике провернуть или на циске.

(40)+ Вместо ppp0, ppp1, ppp2 и т.д. поднимается SkalMos10, OfficeNag и т.д.

https://www.zerotier.com/

(42) По сути тоже самое что у меня (37)(40) только готовый настроенный VPN сервер дают (вместо поднятия своего на VPS), бесплатно до 100 девайсов.
Вопрос где сервера через который пойдет трафик и какие ограничения по скорости/трафику?

(0) OpenVpn

(44) Ну давай расскажи как настроить. Особенно если белого ip нет или роутер его не понимает из коробки.
И чтобы на компе он не глючил. И чтоб маршрутизация работала как надо.

Я тоже когда то про этот звон слышал, на практике OpenVPN бесполезная ненужная хрень кроме редких особо вывернутых но по сути простых случаев, требующих бесплатно высокую надежность с шифрованием.

а просто опубликовать базу не пойдет?

(45) Ты просто не умеешь. А работает он отлично, хоть на чём. Статика у него будет. Да даже если и нет, нужен хотя бы динамический, лишь бы не серый IP. На роутер ставить ничего не надо. Сервер ставится на винду, с роутера только проброс, на машинах удалённых клиент. Главное уметь!

(46) Эээ спасибо за гениальную идею, попробую реализовать на выходных.

По сути онлайн сервис публикации УФ базы 1С, даже без белого IP за NAT.

(48) Издевка, или реально помог?)

(47) Это я то OpenVPN не умею? Ну может и не умею.

Потому что задолбаешься настраивать и ключи-сертификаты делать а затем как то их еще и на клиенты засовывать.

(49) У меня по сути эта штука сейчас работает.
Осталось админку с регистрацией прикрутить и программку/обработку настройки vpn написать для сервера где 1С и апач/iis.

Тогда желающим типа ТС останется только зарегаться на страничке, выбрать свободный домен 3-го уровня, скачать прогу или внешнюю обработку для 1С и запустить ее, далее оно само заработает.

На сервере (пока сделаю только винда) vpn соединение поднимается до моего сервера и входящие на ВашДомен.МойДомен.ru:80 будут попадать на апач/iis и можно заходить через инет в 1С тонким или веб- клиентом откуда угодно по инету.

(50) Не знаешь потому что.

(51)+ Т.е. сейчас у меня эта хрень в ручном режиме, вручную все настраивается а не автоматом.

(49) Реально помог потому что придумал как это может выглядеть.

Внешнюю обработку в 1С базе запускаем, оно пишет есть связь с сервером публикации или нет.
Если есть то вводим имя своего домена 3го уровня, если занят просит выбрать другой.
Затем создать VPN подключение (Кнопка "Опубликовать") создает и база опубликована по сути через инет.
Еще туда же засунуть скачивание, установку и настройку апача заодно.

Все очень просто,в офисе белый адрес,там же комп с openvpn,к нему проброс с любого роутера,только vpn порт.
остальные компы к нему клиентами цепляются,и все должно работать из коробки.
конечно,с железными роутерами возможностей больше,но,если не уметь настраивать,то и дыр тоже больше будет.

(45)да вроде бы нормально с OpenVPN получалось работать, но масштабы правда не огромные были, в пределах 15 точек, и еще несколько задач было с меньшим числом точек, но работало годами стабильно.
а сейчас VPN не запретили использовать? ФСБ? чтобы не обменивались защищенными от них данными? нет еще такого запрета?

+(56)вдруг по VPN каналу идет переписка о том, как теракт устроить

(56) Сами настраивали или кто то другой. Много матов сложили в процессе первой настройки?
Точно есть сложная маршрутизация?

(56) У меня только одна была с ним проблема. Особо жадный клиент использовал винду десктопную. Она засыпала ночью, просыпаясь утром а сервис OPENVPN не работал. В остальном уж лет 10 пользуюсь.

(58) Один раз научиться. Сложная маршрутизация это какая?

(58)сам по советам на форуме ixbt, много лет существует соответствущая тема, где консультируют https://forum.ixbt.com/topic.cgi?id=14:56078-133

(61)помню, что в итоге стабильно заработало по udp. про сложную маршрутизацию просветите, не настолько глубоко в теме, к сожалению.

(62) да UDP лучше

(40) на каком дистре делал?

(0)"Хотелось бы, чтобы база была одна, а компы подключались бы к нему через RDP", " владельца я послал к провайдеру заказывать статический IP"

про отказоустойчивость с владельцем обсуждали? его устраивает, что в случае, если сервер ляжет, или инет-каналы центрального офиса, то у всех точек одновременно работа прекратится? неспроста же в массовой рознице (например, продукты) POS-ы автономные, хотя казалось-бы единая локалка, ничего сложного в плане загнать всех в общую базу. однако в массовой рознице важнее автономная работоспособность, даже если ляжет сервак и сеть, каждая POS продолжит работу автономно сама по себе.

(65) микротик умеет много ван и с 3г тоже

(65) remote random
рбд они не хотят. В принципе можно 2 сервера использовать. Срок замены будет очень мал.

У розницы база локальная для того,чтобы цену быстрее находить,а остатки на выходе из магазина не особо то и нужны.

(56) запрет есть ещё с хрен-знает-какого лохматого года, вроде 2002. И гласит он, что нельзя на линиях связи общего пользования применять несертефицированные средства шифрования с длиной ключа более скольких-то там немногих бит, кажется, 64. Так что формально все эти ваши випиэны никогда законными и не были, если вы пользуете богомерзкий AES вместо православного ГОСТа.

(69)упс, то есть существуют риски за реализацию подобной "схемы"? тогда стоит ли рисковать (0)? посадят еще.

(69) А ответственность для кого наступает за применение богомерзких vpn ?
И для чего применение?

Т.е. физиков то надеюсь не касается?

(69)"запрет есть ещё с хрен-знает-какого лохматого года, вроде 2002."

а я в последние годы краем уха в новостном фоне что-то слышал, что то ли ответственность повысили, то ли нормы более конкретно прописали, в том духе, что раньше тоже нельзя было, а вот теперь то уж точно нельзя-нельзя. что то допиливали в последние годы по части запретов VPN.

Это не пугайте с запретом VPN а то я уже и сайтик поднял с доменом

И изобретаю rest api для внешней обработки чтобы поддомены создавать

(73)+ Проверьте кста кому не влом ping до 1cvpn.ru там пока голый nginx и больше ничего

(73)похоже речь в другом ключе, о VPN-сервисах
https://habr.com/ru/company/pochtoy/blog/405827/
"6 августа 2017 в 13:56
В России запретили Tor и VPN.
.....
Сотрудники ФСБ и МВД станут следить за VPN, анонимайзерами и браузерами, через которые россияне получают доступ к запрещенным сайтам. Интернет-провайдеры будут обязаны собирать информацию о руководстве VPN- и прокси-сервисов, вычислять их владельцев, определять адрес офиса и местонахождение серверов. Если какой-то сервис для обхода блокировок не перекроет все сайты из списка Роскомнадзора на своей стороне в течение 30 дней, его могут запретить. Это значит, что доступ к его серверам перекроют, а сайт – заблокируют. Или даже внесут в реестр запрещенных сайтов (сейчас там их уже около 80 тысяч, и от добавления пары сотен сайтов ничего не изменится).
Вероятность того, что все VPN-сервисы послушно предоставят ФСБ всю информацию о себе и станут перекрывать каждый новый сайт, который впал в немилость к Роскомнадзору, практически равна нулю. Но это значит только то, что сами эти сайты попадут под блокировки со стороны интернет-провайдеров. Так что если вы хотели установить себе пару VPN-сервисов, но еще этого не сделали, сейчас самое время. Почти все нормы нового закона вступают в силу с 1 ноября 2017 года. Некоторые для провайдеров уже начали действовать с момента публикации. Времени мешкать нет."

(76) Фу, у меня доступ не к запрещенным сайтам а для доступа к своей 1С за NAT без белого IP.

Т.е. банально поднимается vpn и можно снаружи (из инета) в 1С стучаться "ИмяДомена.1cvpn.ru/ИмяБазы"

(75)ping норм
(77)"VPN сама по себе – не только легальная, но и абсолютно полезная технология. Ей пользуются и частные добропорядочные пользователи, и большие компании. Она позволяет защитить информацию от киберпреступников. Изменение IP-адреса – не цель, а побочный эффект шифрования трафика, происходящий из-за того, что данные обрабатываются через сервер поставщика услуги. Понимая то, что VPN нужен для кибербезопасности, в новом законе есть особый пункт про использование такой технологии в корпоративных целях."

(77)+ Так сказать фреш для бедных, но ключи 1С это дело пользователей у меня просто проброска порта

Кстати как пробрасывать http (80 порт или 443) я придумал

Но вот как RDP порn 3389 в линуксе пробросить с разных поддоменов на некий внутренний ip vpn'а?
Я пока только другие порты умею мапить в нужный на требуемый ip.

Например стучатся на
1cvpn.ru:13389 и попадают сервер1:3389
1cvpn.ru:23389 и попадают сервер2:3389
Это легко.

Но как сделать
ИмяДомена1.1cvpn.ru:3389 и попадают сервер1:3389
ИмяДомена2.1cvpn.ru:3389 и попадают сервер2:3389
большой вопрос

(80) Хотя придумал но услуга будет только если платная, ибо дополнительный ip адрес стоит 90 руб. в месяц.

официально платный впн , точко , иначе это будет не единая сеть , и договора совместного участия

(82) Можно расшифровать?

(80) тебе ns службу надо поднимать. а потом nginx правильно настроить

(84) ну и делегировать корневой домен на свой ns сервер

(84) (85) Не обязательно, могу просто поддомены (A записи DNS) с нужными полученными ip через api хостера добавлять для своего домена.

(86) так ты ж автоматизировать весь процесс хочешь

(86)+ Причем пока это даже не планирую автоматизировать.
Сейчас ваяю автоматическую качалку апача, его установку и настройку, публикацию базы на нем.
Публикация через webinst осталась

(87) Это в далеком будущем если клиенты будут на платные услуги.
Пока для себя делаю и единичных случаев.

Но прикольно, 1С от имени администратора (иначе апач как службу не может поставить) запускаем (пока все для файловой), обработку внешнюю открываем, данные вбиваем, кнопочку нажимаем и оно все само делает...

(86) у хостера количество записей ограничено скорее всего

(91) Для HTTP(S) это не требуется, там через nginx на ура.
Для RDP это в будущем далеком

(92)+ Обычно если есть RDP то есть и админ уже, который и сам сможет если захочет.
Тем более сервисы оказывается есть типа (42)

Сейчас самая загвоздка на чем на сервере апи реализовать, для поддоменов и настройки проброски через nginx и vpn.
Вручную у меня уже все работает, осталось автоматизировать.

Я в раздумьях, то ли nodejs, то ли старый добрый php, то ли 1С поставить файловую )) на VPS (уже делал давно это).
Последний вариант самый прикольный но не факт что оно нормально на линуксе с файлами и перезапуском служб будет.
Еще вариант попроще  но интересный с http://oscript.io/docs/page/http

(94) node конечно

(71) Ответственность не за VPN, а за применение несертефицированного шифрования на линиях связи общего пользования. Если вы используете относительно слабое шифрование вроде DES-56 - вы ничего не нарушаете. Сейчас уже не вспомню, какие там санкции, но вроде как конфискация железки и штраф на эксплуатанта оборудования.

(72) весь вопрос в том, что в любом случае реализовать работу подобного закона крайне трудноисполнимая задача. Шифрованный трафик - это просто белый шум. Визуально трафик, порожденный сертифицированным и несертифицированным шифрованием, ничем не отличается. Поэтому другого варианта доказать несертефицированность шифрования, кроме как смотреть в настройки оборудования - вообще говоря, не видно. То есть это надо к каждой железке приставить специально обученного полицейского. Кто это будет делать?

ИМХО на D-link ВПН настраивается в разы проще чем на микротике, как для новичка.

Можно для попробовать просто пробросить порт есть на любом роутере.
Только не забудь в настройках прописать конкретный ИП которым это то порт доступен. Обычно даже не статические ИП изменяются не так часть у меня пров их раз в месяц меняет. Чаще раза в сутки не встречал. Для по экспериментировать и понять, а нужно ли оно тебе более чем достаточно.
Часто бывает что на точках инет оказывается и не такой стабильный как казалось. И в итоге оперативность страдает еще больше. 10 секундное пропадание интернета выливается в восстановление соединения по ВПН потом в восстановление сеанса РДП, а очередь из покупателей стоит и матерится. 5 таких 10 секундных обрывов в день на точке и стабильный поток жалоб на прога гарантирован.

(97)"То есть это надо к каждой железке приставить специально обученного полицейского. Кто это будет делать?"

я о другом сценарии. пришли в офис фирмы, даже если с плановой проверкой. провели анализ оборудования, выявили функционирующий VPN. подтянули и фирму и того, кто реализовывал. то есть нет цели ловить в режиме онлайн. вопрос скорее в ключе, нужно ли при плановых проверках на время уничтожать VPN и следы его использования?

(100) За что?

http://www.fsb.ru/fsb/science/[email protected]

(101)+
"Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети «Интернет», на соответствие требованиям по безопасности информации не требуется."

(101),(102)значит предположение (96) неверно, что хорошо

"Ответственность не за VPN, а за применение несертефицированного шифрования на линиях связи общего пользования. Если вы используете относительно слабое шифрование вроде DES-56 - вы ничего не нарушаете. Сейчас уже не вспомню, какие там санкции, но вроде как конфискация железки и штраф на эксплуатанта оборудования."

(103) Угу неверно

https://bankir.ru/publikacii/20090714/mif-49-v-rossii-zaprescheno-ispolzovat-nesertificirovannie-sredstva-shifrovaniya-2228626/
https://roskomsvoboda.org/19189/

Там есть тонкость с ПД по 152-ФЗ, там
«средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

(104) Если вы внимательно прочтете первую ссылку, а в особенности перечисление внизу статьи, то вы не найдете в приведенных примерах совпадений для шифрования с приличной длиной ключа, которое на постоянной основе применялось бы на проводных (не радио) линях связи. Отсюда следует, что сертификация или хотя бы разрешение в этом случае таки нужно. И это не только мое частное мнение. Cisco в начале десятых годов официально переставало продавать серию K9 своих продуктов в России - я самолично пытался купить и мне выписывали болт. По этой вот самой причине. А другие производители в то же время, в частности Zyxel, в своих прошивках для России в VPN из алгоритмов шифрования оставляли только DES-56.

А вот вторая ссылка более интересна. Возможно, она говорит о том что недавно были поправки, которые действительно чего-то разрешили.

(105) У нас законодательство регламентирует не длину ключа а линиях, а цели применения шифрования.

Там в свое время некто сильно умный пролоббировал обязательные отчисления (по сути допналог) "на шифрование" но на это всегда почти все клали большой и толстый, если зацепить не могли.
Потом когда дошло что ситуация немного странная, с несоблюдением законов потому что они глупость решили слегка привести в порядок.

Поэтому и надо OpenVpn,так как это никакое не оборудование,а программное обеспечение.
к винде ведь претензий нет,хотя в ней есть встроенные модули,которые поддерживают несертифицированные алгоритмы шифрования.

(0) Если еще актуально то готово простое решение.

Все программно без доп.железок и работает через NAT (без белых ip).
Вот через прокси не работает и скорее всего никогда не будет.

(0) Наймите админа, не надо скакать по граблям.

(109) база через веб-это хорошо,но если у них УПП или Ут10?

просто,управляемые формы легко фрешуются.

(111) RDP тоже можно, сами сервер настраивают с меня только проброска через NAT.
Можно готовую виртуалку на линуксе (да там rdp сервер работает) на хорошем железе не так и сильно будет тормозить для упрощения разворачивания.

(112) Ценник негуманный и куча минусов с доработками.