הבעיה היא זו:

4 משרדים של אותה חברה, בכל אחד מהמשרדים ישנו מכשיר "טיפש" המחובר לרשת (שעון נוכחות). אני צריך מהמחשב במשרד הראשי, לבצע קריאה מרחוק לכל אחד מההתקנים הללו.

הקריאה להתקן מתבצעת ע"י גישה לכתובת ה IP של ההתקן (שאותה ניתן להגדיר במכשיר) בפורט מסויים.

(מסיבה שאינה נהירה לי כעת, הפניית הפורט המתאים בראוטר להתקנים, עדיין לא מאפשרת גישה להתקן מרחוק, הגישה אפשרית רק דרך הרשת המקומית או מחשב המחובר לרשת המקומית ע"י חיבור vpn).

לצורך חיבור המחשבים בכל המשרדים למחשב במשרד הראשי, וליצירת חיבור בין כל המחשבים בכל המשרדים, השתמשתי ב openvpn, כל המחשבים בכל המשרדים מתקשרים ומתחברים למחשב הראשי, מתקשרים עימו ועם כל שאר המחשבים ברשת.

לא ניתן ליצור חיוג וחיבור vpn מההתקנים האחרים ברשת שאינם מחשבים.

מה למעשה הפתרון כדי לאפשר גישה להתקנים הללו מהמחשב במשרד הראשי, או אפילו מכל מחשב בכל משרד ברשת?

תודה מראש.

למה לא יצרת חיבור כללי, מנותב ומשותף, בין כל 4 המשרדים, באמצעות openvpn על גבי ה DGW?

ככה שכל מחשב יוכל "לדבר" עם כל מחשב באופן טבעי, מבלי לעשות כלום?

נמאס לכם לזכור סיסמאות? לחצו כאן!

מה כוונתך על גבי ה DGW?

(אין לי סרבר לניהול הרשת בכל משרד, אלא ראוטר פשוט).

קודם כל, אולי התמזל מזלך, ויש לך ראוטר שאפשר להתקין עליו firmware חלופי שעליו openvpn (יש כאלה...)

אבל בלי קשר, אתה יכול לגרום לכל מחשב כלשהוא במשרד ש"תמיד עובד" להיות "סרבר VPN" - זה לא ממש צורך משאבים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אם אני מבין נכון, הרי זה מה שיש לי כעת.

מחשב אחד במשרד הראשי משמש כ"סרבר VPN", כל המחשבים בכל המשרדים מתקשרים ומתחברים אליו.

הבעיה שלי היא אם אותם התקנים שלא יכולים להתחבר עם חיוג vpn, (וגם לא לקבל כתובת משרת DHCP).

לא, אני רוצה שיהיה סרבר VPN בכל סניף, והוא יתחבר למרכז, ומי שרוצה להגיע לרשת המרכז, יגדיר route קבוע מולו. במקרה של מכשירים "טפשים" (כמו שעון נוכחות למשל), שאני משער שאין להם סיבה לצאת לאינטרנט, אפשר יהיה להגדיר את מחשב ה VPN בתור ה DGW (הגדרה שכן אמורה להיות אפשרית בכל מכשיר שפוי שתומך ב IP), וכך זה יעבוד...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז למה לי שרת VPN בכל סניף, מה לא טוב בתצורה הנוכחית שכל מחשב מתקשר ומתחבר ישירות לסרבר VPN שבמשרד הראשי, וכך מתקשר בקלות מול כל שאר המחשבים שמחוברים אליו?

אבל לגבי ההתקנים האחרים, הבעיה למיטב הבנתי היא כזו:
אם כתובת המכשיר בטווח כתובות הרשת הפיזית, הרי שהוא יתקשר עם המחשבים ברשת הפיזית, ולא אם המכשירים ברשת הוירטואלית שנוצרה ע"י ה VPN.

ואם כתובתו בטווח הרשת הוירטואלית שנוצרה ע"י ה VPN, אם כן הוא לא יכול בכלל ליצור קשר עם המחשבים, כיון שלמעשה אין לו חיבור לרשת הזו.

אלא אם כן, באחד המחשבים בכל מיקום, יהיה כרטיס רשת פיזי מגושר עם כרטיס הרשת הוירטואלי, אבל אז אם הכרטיס יקבל את כתובתו משרת ה VPN, כיצד הוא יתקשר עם הראוטר המקומי לצורך גישה לאינטרנט (כשאינני רוצה כמובן לנתב את כל הגישה לאינטרנט של מחשב זה דרך ה VPN)?

זה מיותר מהרבה בחינות להרים ריבוי tunnel-ים בין אתרים. זה גם לא נוח במיוחד לבצע בקרת גישה ככה. ברגע שכל סניף מחובר דרך עמדת קצה אחת, אפשר לשלוט מה עובר שם ומה לא. כמו כן, לא צריך לתמוך בלקוחות קצה. דואגים שמכונה אחת תעבוד כמו שצריך, והמשתמשים לא צריכים להתחיל להרים קליינטים ושאר דברים, וליצור קריאות תמיכה כי הווינדווז שלהם החליט שככה וככה (מה לעשות, גם openvpn לא חסין מבאגים של חלונות...).

אני אומר לך את הנ"ל פשוט מנסיון של מי שמריץ רשת שכזו, וזה פשוט מעולה, שהכל עובד, יוזרים לא צריכים לעשות כלום, וכל מחשב יכול להגיע לכל מחשב בארגון בלי להתחיל להתעסק עם קליינטים (ומה תעשה שעובד עוזב כדי לוודא שהוא לא לקח את ה certificate איתו מאף אחד מהמחשבים?)

אם מחשב מקומי באותו מקום שנמצא המכשיר, יוגדר כך, שמופעל בו IP Routing, ובמכשיר יוגדר אותו מחשב כ DGW, ובשרת ה VPN המרוחק אתה תגדיר ב client-config-dir את ה certificate של אותו מחשב-שער, שאותו לקוח מנתב עבורך רשת מסויימת (שתכלול רק את המכשיר ב 32/) - זה יעבוד.

אבל יותר פשוט שיהיה site2site vpn שבו הכל עובד שקוף

נמאס לכם לזכור סיסמאות? לחצו כאן!