Jag är förlorad. Vi har installerat ett nytt HVAC-system och varje av de 4 enheterna har en intern IP (statiskt konfigurerad - inget DHCP). HVAC-leverantören har specialiserad (och mycket dyr) programvara på sin laptop som behövs för att konfigurera/utvärdera/med mera.
Förfrågan är att ge honom fjärråtkomst för att undvika kostnad och restid för att han ska komma till platsen. Jag använder en Ubiquiti UDM-Pro-router och har skapat ett VPN. Jag kan lägga till skrivbord till detta VPN (inklusive hans), men det finns inget sätt (som jag vet) att lägga till de 4 enheterna till detta VPN-nätverk genom att bara konfigurera deras NIC:er.
Jag övervägde att skapa en VLAN med eller utan egen offentlig IP. Det skulle lägga all HVAC-utrustning på sitt eget privata subnet, men stöter på samma problem hur man ger hans fjärrarbetsstation tillgång till detta IP-nätverk? Jag kan bara tänka mig att VPN:a routern själv givet de begränsningar jag har för att ändra utrustningen.
Hoppas jag missar något uppenbart. Tack på förhand.
Jag har inte arbetat med Ubiquiti förut, men om dess VPN-möjligheter är i linje med många andra leverantörer kan du helt enkelt aktivera split tunneling för det subnet av HVAC-enheterna och sedan skapa en brandväggspolicy för att tillåta anslutning till dessa specifika IP-adresser. Naturligtvis kan du också konfigurera en DMZ och DMZ-subnet för opålitade enheter som IoT och HVAC och liknande, och skapa VPN-policys därifrån också.
Målet gick ner på grund av HVAC-åtkomst…
Det bästa rådet jag ger är att begränsa åtkomsten om inte X inträffar.
Du bör skapa en vlan för HVAC-utrustningen och konfigurera VPN för split tunnel och bara tillåta åtkomst till HVAC-vlanen. Du kan behöva ändra några IP-adresser för HVAC-utrustningen för att flytta till ett nytt VLAN, men det är det korrekta sättet.
Kolla in OpenZiti eller NetFoundry Teams för ett litet nätverk (gratis för små nätverk, permanent). Edge Router-programvaran kan installeras på en Ubiquiti-routern (jag har inte gjort det, men jag har en kund som har) och du kan specificera IP-adresserna för HVAC-systemet som tjänster, vilket ger leverantören identitetsåtkomst till dessa och endast dessa IP-adresser till porten, om du väljer. Det har den sekundära fördelen att du kan slå på eller av åtkomsten via konsol eller API, i realtid.
Skapa en vlan för HVAC-utrustningen och konfigurera VPN för split tunnel och bara tillåta åtkomst till HVAC-vlanen
Det är den allmänna enheten. Jag testade hela dagen och en grundläggande L2TP VPN är inte isolerad från huvudnätet. Så, jag skapar en isolerad VLAN och - förhoppningsvis - kan VPN:en associeras med den.
Du nämnde “split tunnel”. Får jag be om en länk till en guide om detta med UDMP?
Tack.