作者主題: [求助]架設全公司員工使用之VPN的可行方案？ (閱讀 13391 次)

b7307024 · « 於: 2016-01-27 11:16 »

各位前輩好，目前有給員工使用VPN的需求，原本是想在防火牆上建立vpn，但主管告知會有人數限制的問題，要我去尋找解決方案！
我的想法分為兩個，要花費(買硬體)跟免費(自己架)，那因大家也知道現在是開源節流的時期，主管都會希望可以省點花費，所以就是選擇自己架囉~
我的問題如下：
1.自己架VPN給人數約25~30人用可行嗎？
2.若可行的話，推薦使用什麼VPN Server軟體呢？
-目前找到有OpenVPN、PacketiX VPN、SSL-Explorer(iThome有介紹)
3.可否用虛擬機器架設或屆時再移轉？
4.若是建議跟廠商買硬體的話，推薦用哪家廠商的？費用約多少呢？
以上還請給予建議喔~ 非常感謝！

kojj · « **回覆 #1 於:** 2016-01-27 12:21 »

坊間很多要錢與不要錢的方案
我玩過Juniper,FortiGate,OpenWRT,m0n0wall VPN同時在線數都有50+ 也都很穩定
軟體或硬體式的沒什好不好或對錯,重點是

1.你的技術到那?可以作到哪個程度
2.你的背景多硬 XD 有狀況,老闆會挺嗎?
3.你要離開現職時,這個VPN可以無痛交由其他人管理,自己不用再接到電話詢問嗎?

netman · « **回覆 #2 於:** 2016-01-27 13:41 »

如果您的需求還需要在大陸翻牆, 那最好找到能在當地上車的接入點, 然後經服務商自己的骨幹出來...
上次有一家叫CPC的廠商來簡報, 覺得聽專業的。

HaWay · « **回覆 #3 於:** 2016-01-28 16:00 »

要評估公司用什麼東西做帳號管控吧,
找一個方案可以跟你們公司的帳號管控連起來就可以了

譬如你們用 AD, 那就找可以連 AD 的 VPN
如果是 LDAP, 一樣,

可以串帳號管理系統的 VPN 才是能用的, 因為當公司帳號/密碼修改, 人員離職/報到等,
你都不用去設定 VPN.

b7307024 · « **回覆 #4 於:** 2016-01-29 18:46 »

引述: kojj 於 2016-01-27 12:21

坊間很多要錢與不要錢的方案
我玩過Juniper,FortiGate,OpenWRT,m0n0wall VPN同時在線數都有50+ 也都很穩定
軟體或硬體式的沒什好不好或對錯,重點是

1.你的技術到那?可以作到哪個程度
2.你的背景多硬 XD 有狀況,老闆會挺嗎?
3.你要離開現職時,這個VPN可以無痛交由其他人管理,自己不用再接到電話詢問嗎?

kojj大，您好
1.我是位只懂的皮毛的mis，認真向學~ ^^ 其實我是不知道要從何著手，但若是有答案出現，我就會朝那方向前進。
2.我的主管本身就是一位高手出身，有狀況他會頂下來！呵呵~
3.也是我主管就可以搞定了~

b7307024 · « **回覆 #5 於:** 2016-01-29 18:57 »

引述: HaWay 於 2016-01-28 16:00

要評估公司用什麼東西做帳號管控吧,
找一個方案可以跟你們公司的帳號管控連起來就可以了

譬如你們用 AD, 那就找可以連 AD 的 VPN
如果是 LDAP, 一樣,

可以串帳號管理系統的 VPN 才是能用的, 因為當公司帳號/密碼修改, 人員離職/報到等,
你都不用去設定 VPN.

HaWay大，您好
您提的這個方案很好，我們公司也有用AD做帳號控管~
剛剛查了一下SSL-Explorer也有支援跟AD做整合
那你有其他的建議嗎？謝謝~

b7307024 · « **回覆 #6 於:** 2016-01-29 19:04 »

引述: netman 於 2016-01-27 13:41

如果您的需求還需要在大陸翻牆, 那最好找到能在當地上車的接入點, 然後經服務商自己的骨幹出來...
上次有一家叫CPC的廠商來簡報, 覺得聽專業的。

netman大，您好
敝公司的需求大致上就是ERP、電子簽核系統、Outlook收發信、內部網頁系統使用
應該不會需要到找對岸的服務商吧？

netman · « **回覆 #7 於:** 2016-01-29 20:48 »

那要不要考慮用 openVPN 呢？用 ssl 認證...

http://phorum.study-area.org/index.php/topic,71593.0.html

b7307024 · « **回覆 #8 於:** 2016-01-30 16:46 »

引述: netman 於 2016-01-29 20:48

那要不要考慮用 openVPN 呢？用 ssl 認證...

http://phorum.study-area.org/index.php/topic,71593.0.html

netman大，您好~ 非常感謝您的回覆~
openVPN我查了一下有支援AD，也有支援Windows及CentOS
安裝在哪個系統你會比較推薦呢？CentOS小弟沒用過，但我可以自學~ ^^

另外，SSL-Explorer您是否也有用過呢？兩者不知差異如何??
剛剛查詢一下支援IPSec部分，openVPN有，SSL-Explorer要到企業版才有
而如我之前出的需求，似乎只要SSLVPN就夠用了，請問netman大，您覺得呢？
謝謝~

netman · « **回覆 #9 於:** 2016-01-30 19:28 »

其實我沒有專門去比較過，就我“個人”使用上來說，openVPN就很夠用了... ^_^

b7307024 · « **回覆 #10 於:** 2016-02-02 16:55 »

引述: netman 於 2016-01-30 19:28

其實我沒有專門去比較過，就我“個人”使用上來說，openVPN就很夠用了... ^_^

哈~ 好的!! 那我只好先來研究CentOS怎麼安裝了!!!
話說也有其他網友推薦使用Windows Server的VPN
都不知道先該試用哪一種說~

akong · « **回覆 #11 於:** 2016-02-03 10:06 »

若不是你們有自己的防火牆，不然我會推pfsense這套。這套也不錯用

dark · « **回覆 #12 於:** 2016-02-17 17:37 »

引述: b7307024 於 2016-02-02 16:55

引述: netman 於 2016-01-30 19:28
其實我沒有專門去比較過，就我“個人”使用上來說，openVPN就很夠用了... ^_^

哈~ 好的!! 那我只好先來研究CentOS怎麼安裝了!!!
話說也有其他網友推薦使用Windows Server的VPN
都不知道先該試用哪一種說~

win server vpn 是 pptpd
2007 前 , 我都使用 pptpd
當時台灣的網路建設 , 只有跑學術網路時不慢

在網路差的環境 , ipsec > ssl-vpn > pptpd

現在大家網路都快 , pptpd 倒存在優勢
client to side 在 OS 中大多內建
還能輕易達到 side to side 不說
只要搭配 iproute2 指令 , 還能多線分流或備源
兩岸三地擋掉台灣海峽 , 一樣繞香港連的通

linux 下非常簡單
# yum -y install pptpd
# cp /etc/pptpd.conf /etc/pptpd.conf-back
# cat /etc/pptpd.conf | sed 's/^localip/localip 192.168.99.251 #/' >> /tmp/pptp_tmp
# cat /tmp/pptp_tmp | sed 's/^remoteip/remoteip 192.168.99.1-9 #/' >> /etc/pptpd.conf
# service pptpd start

# echo 'dark pptpd 1234 192.168.99.1' >> /etc/ppp/chap-secrets
# echo 'dark2 pptpd 1234 192.168.99.2' >> /etc/ppp/chap-secrets

一台用兩帳號不同線路 , 頻寬就合併了

b7307024 · « **回覆 #13 於:** 2016-05-19 18:02 »

感謝各位前輩的幫忙~

這個案子後來詢問主管確認是否有需求架設，結果居然答覆是"防火牆就有了，做這幹麻?"
原本是他提出說要做的，真是有夠圈叉~ Orz
所以我才會現在才上來回覆狀況，真是不好意思呢！

不過我還是有測試sslexplorer這套，很方便使用，整個VM都架好了，只要在透過Web設定即可~
目前測試使用正常，那也就只好當做個人使用囉~ 呵呵！

酷!學園

最新消息: