Ruter bak ruter/dobbel NAT og NAS over VPN - dårlig idé?

[C₈H₁₀N₄O₂]

Scenariet er følgende:

Lite kontor (2-4 pers) i et mellomstort kontorfellesskap (13 rom, ca 30-40 pers totalt) – kontorfellesskapet har én felles ruter («Svive Cirrus», hva nå enn det er for noe) og de aller fleste på huset bruker felles trådløst nett fra den ruteren.

Vi har strukket Cat5e til vårt rom og har satt opp en enkel Asus-ruter der inne, for å få vårt eget nettverk separert fra fellesgreiene. WAN på den er tilkoblet en LAN-port på fellesruteren. Vi er på 10.0/16, fellesnettverket er 192.168.1/24. Dette fungerer forsåvidt greit – folk på fellesnettverket kan ikke uten videre snoke i våre ting, men vi kan se det som er på fellesnettverket (noe som er nyttig innimellom).

Nå skal vi oppgradere litt. Dette foranlediges av at vi skal skaffe en NAS, og da trenger vi litt bedre infrastruktur. Har ikke bestemt nøyaktig hva enda, men ser litt på denne ruteren, denne svitsjen og denne NAS-en. (som gir oss 10 gigabit mellom NAS og et par maskiner)

Vi trenger å kunne komme inn på NAS-en over Internett, og det er her jeg begynner å bli usikker på om dette med LAN-til-WAN/dobbel NAT er noe lurt. Tanken er å bruke VPN (kontorfellesskapet har statisk IP), og jeg ser det er flere som hevder at VPN-server bak dobbel NAT ikke fungerer. For å teste har jeg skrudd på OpenVPN-server på den nåværende Asus-ruteren vår og satt opp portvideresending på fellesruteren, og så vidt jeg kan se fungerer det helt fint, men dette er bare et eksperiment, så vi har ikke prøvd å bruke det til noe seriøst.

Følgende spørsmål melder seg:

1) Er det rein flaks at VPN-eksperimentet fungerer nå, eller er det ikke så vanskelig som folk skal ha det til?

2) Er det noe jeg har oversett som gjør at oppsettet jeg ser for meg er en dårlig idé? Bør jeg heller se på VLAN, DMZ eller andre løsninger?

og forsåvidt 3) noen innspill til utstyret jeg linker til over? Det er jo ikke akkurat «enterprise», knapt nok «SMB», men så er vi jo ikke et stort firma heller …

Endret 13. mai 2021 av C₈H₁₀N₄O₂

[Gjest Slettet+6132]

Det ser for meg ut som du trenger å få en nettverkskonsulent til å se på det. Etter min mening er dette for mye til å ta på et forum. 

[The Jackal]

Hadde det ikke vært mer fornuftig og heller kjøpt en litt mer enterprisey kontorfelleskapsrouter som f.eks du kan sette opp til å gi forskjellige subnet på forskjellige porter og bytte ut Svive Cirrus? Så kan du bruke eksisterende egen router som AP og andre porter som en ren switch. Med forskjellige subnett så kunne det blitt satt opp at ingen kan aksessere ditt subnet, men det kan være felles subnet og andre små firmaer kan også få egne subnet, sette opp egne APer, dagens Svive kan settes opp som felles AP osv. Tror ikke dere trenger å legge så mye mer i en slik løsning men få en løsning som er mer profesjonell.

[root]

Dobbel-NAT er ikke det optimale, men det funker, så det er ikke flaks at eksperimentet ditt fungerte. Jeg har en "privat site" hvor jeg ikke kommer unna dette. Der er det en router med portforward til en router, som igjen har en portforward til en NAS-boks. Det fungerer og jeg opplever ikke noen merkbar reduksjon i hastighet sammenlignet med en enkel router.

Hvis jeg kunne velge, ville jeg på fellesrouteren segmentert inn i to VLAN og satt opp brannmurregler for å hindre tilgang fra det ene til det andre.

Endret 25. august 2021 av root