Jag har ett nätverk baserat på UDM Pro hemma och ett UCG Ultra-baserat nätverk hemma hos mina föräldrar. Jag är “ägare” på mitt nätverk och “superadmin” hos mina föräldrar.
Vad är den bästa/säkraste VPN-anslutningen mellan dessa två platser (i olika länder)? Det finns några olika alternativ, och jag är inte säker på vilken jag ska välja. Jag vill kunna hoppa in på deras nätverk när de har problem med sina datorer och kunna hjälpa till när de behöver det.
Båda nätverken är 192.168.1.x. Kommer jag behöva ändra något till exempel 192.168.10.x?
Några förslag, detaljer eller guider? Tack!
Ja, du kommer att vilja ändra ett av standardnäten till ett annat intervall.
Om dina föräldrar tillåter dig att ta ägarskap över deras, kan du använda site-magic, som är baserat på WireGuard, där du bokstavligen bara klickar några gånger för att koppla samman platserna och välja vilka nätverk som ska vara tillgängliga över länken.
Din utrustning är modern, så använd site magic. Om den vore äldre skulle jag rekommendera IPSec – vilket är krångligt att sätta upp. Jag gör detta 3-vägs mellan mitt hem och mina föräldrar, varje i ett annat tillstånd, a:b, a:c, b:c, så att det är mycket sällsynt att ett blir helt isolerat. Var och en har också en grundläggande Synology NAS som jag kan komma åt via Cloudflare-tunnel om något går fel med s2s, och jag använder dem för offsite-backup. Mitt hem (lokalt a) är 10.0.0.0/16; (remote b) 192.168.1.0/24; (remote c) 192.168.0.0/24.
Ett av kraven är att driftsäkerheten och ägarskapet är likartat; du måste byta ägar- och superadminroller. Om de mot förmodan inte ville göra det, skulle IPSec fortfarande vara möjligt då det kräver utbyte av delade nycklar och inte magiska bönor gömda i din UI-konto.
Snabb setupguide för site magic:
https://help.ui.com/hc/en-us/articles/16750417515159-UniFi-Gateway-Setting-Up-SD-WAN-with-UniFi-Site-Magic
Du måste definitivt få nätverken att hamna i olika IP-adressintervall.
Personligen har jag ett L2TP-VPN värd på min fars nätverk, och jag aktiverar den VPN:n från min dator när jag behöver den.
Av säkerhetsskäl låter jag inte nätverken vara bryggade till varandra helt och hållet, eftersom det inte finns något behov av åtkomst mellan nätverken förutom vid teknisk support för min far. Jag var tacksam för den inställningen nyligen när min far lyckades installera malware på sin dator, vilket lätt skulle ha kunnat sprida sig till resten av nätverket. Därför rekommenderar jag att göra VPN-anslutningar tillgängliga endast vid behov och med explicit åtgärd på din sida.
UPPDATERING: Jag har ändrat ett av platserna till 192.168.10.x
Jag kommer att arbeta på att göra mig till “ägare” för mina föräldrars plats, så jag kan fortsätta med VPN:n.
Tack (än så länge).
Om du tänker mer globalt och vill implementera olika nätverk (Hantera, produktions-LAN, IoT, Voice) på båda platserna bör du:
Definitivt bli av med 192.168.1.0/24-ipadresser.
Använd ett mindre vanligt område för att ha ett /16-intervall per plats. Jag skulle rekommendera 172.21.1.0/24 och 172.22.1.0/24 för de första standard-VLANarna på platserna. För produktions-LAN 172.21/22.2.0/24 etc.
Så alla nätverk på den första platsen adresseras i en rutt med 172.21.0.0/16 och på den andra med 172.22.0.0/16.
Om du är mer erfaren kan du också ha mindre nätverksintervall (t.ex. /25 för enskilda nätverk, /22 för platser). Jag ser inte det i ditt fall. 21 eller 22 kan också ligga inom området 16-31!!! 1, 2, … kan vara i intervallet 0-255!
Jag använder WireGuard och det fungerar felfritt. Min arkitektur är klient-server och det passar mitt specifika användningsfall.