100+1 VPN csoport kezelése (Wireguard?)
Sziasztok!
A segítségetekre volna szükségem.
3 hónapja próbálok összehozni egy saját VPN szervert, amivel kb 3-400 klienst kellene kezelni 100+ csoportba rendezve,
+1 csoport kellene, amivel az én eszközeim lennének, és azokról el kellene érni minden másik klienset. (windows-ról + Android telefonról)
- Egy kliens sem mehet ki netre a szerveren keresztül, és
- csak egymást láthatják a csoportokban.
(A mostani OpenVPN szerverhez nincs hozzáférésem és az üzembentartója fél év alatt 2x emelt árat +50% +70%)
A Debian VPS + Webmin telepítése egyszerű volt.
A SoftEther menedzser programja elsőre nagyon tetszett, de később kiderült, hogy:
- Minden egyes kliens-nél kb 50 dolgot kell konfigurálgatni, hogy NE menjen ki internetre a VPN-en keresztül a kliens,
- Ha egy switch-re 2 gép van rákötve, és mindkettőn van SoftEther kliens, akkor azok nem hajlandóak többé direktben kommunikálni egymással a LAN-on, hanem minden minden átirányítódik a VPN-re !!! A fórumuk fő-gurujai sem tudtak rá megoldást.
- lehetetlen tartós FIX IP-t hozzárendelni a kliensekhez. :-(
(Hiába adományoztam komolyabb összeget nekik, akkor sem javították a belső DHCP fixálást.)
Az OpenVPN-nel is szakítani szeretnék, mert:
- 1 új csoport + pár kliens generálása, letelepítése, konfigurálása több órás folyamat, mert valamit mindig sikerül elszúrni a kb 60 beállítás közül. (Még a kényelmes Webmin modulból is)
- Senki sem tudott segíteni abban, hogy az 1 mestercsoport lássa a többit.
- Állandóan változtatnak a klienseken, és az 1 évvel ezelőtt generált (másik szerver) kulcsait már nem hajlandó elfogadni. Mindezt 2 év alatt másodszor úgy, hogy kb már 400 órám ráment a kulcs-cserékre és csak a felével vagyok meg.
Régebbi kliens nem működik már Win10/11 alatt, hiába volna még 8 év a lejáratból.
A napokban felfedeztem a Wireguard-ot,
aminek sikerült egy .sh szkript-tel felrakni egy nagyon klassz UI -ját is, így gyerekjátéknak tűnt elsőre a konfigurálás. :-)
Igen ám, de:
- egyszerűen itt sem tudom beállítani, hogy a "mester csoport" gépei rálássanak a többire.
- ... és az imént olvastam itt egy hozzászólásban, hogy nagyon veszélyes lenne a csoportok (pizzériák) tulajainak mobiljaira telepíteni. Főleg, ha csak csak egyetlen wg0
- Továbbá nem látom annak akadályát sajnos, hogy valahol valamelyik gépen átírják a .conf fájlt, ezáltal másik IP-t / hozzáférést kreálva maguknak, ergo nagyon komoly, több-100 féle tűzfalszabályt kellene létrehozni.
Jól gondolom?
- Ráadásul az az .sh szkript durván belepiszkált az iptables tűzfal beállításokba, és most már úgy tűnik, hogy van egy "legacy" iptables beállításom is... :-( ... de ez már egy másik topik lesz.
Mit tanácsoltok?
- Tovább (100+1 VPN csoport kezelése (Wireguard?))