Мне нужен совет по безопасному размещению акций CIFS через Интернет. Файловый сервер будет размещен в облачной службе (например, DigitalOcean). Будет до 100 удаленных устройств, которым потребуется доступ к общему ресурсу, хотя они не будут передавать более 30 МБ при каждом подключении. Эти устройства будут подключаться ежедневно, но не обязательно в одно и то же время.
Удаленные устройства подключены к Интернету через маршрутизатор M2M с мобильным доступом 4G.
Каков наиболее эффективный и безопасный способ разрешить доступ удаленных устройств к общему ресурсу? Я думаю использовать VPN типа "сеть-сеть"?
Одна проблема, о которой я не упомянул при первоначальной публикации, заключается в том, что все удаленные сайты находятся в одной подсети (192.168.1.0/24). Не проще ли настроить их как VPN для удаленного пользователя, чем использовать VPN типа "сеть-сеть"?
Итак, я установил межсайтовый VPN (StrongSwan), который отлично работает. Проблема, с которой я столкнулся сейчас, заключается в том, что сервер SMB находится в DigitalOcean, что означает, что у сервера есть только общедоступный IP-адрес. Удаленные устройства будет только разрешить IP-адрес для сервера (т.е. без FQDN). На данный момент я могу установить IP-адрес на IP-адрес сервера DigitalOcean. Я просто думаю о долгосрочной перспективе, если мне нужно сменить этот сервер по какой-либо причине или этот IP-адрес изменится, я не могу перейти к 100 устройствам и изменить настройку IP для файлового сервера.
Какой для меня лучший вариант? Сервер VPN и файловый сервер одинаковы.
С сайта на сайт. Если бы все удаленные устройства находились в одном месте или, по крайней мере, в нескольких фиксированных местах, VPN типа «сеть-сеть» была бы идеальной, чтобы не допустить, чтобы каждое устройство имело собственный клиент VPN и аутентификацию для него. В этом случае кажется, что все устройства находятся в разных удаленных местах. Вы можете подключить их напрямую к облаку или через локальную сеть.
Поскольку все внутренние сети на вашем маршрутизаторе M2M 4G одинаковы 192.168.1.0/24, ваш VPN не может устанавливать маршруты напрямую между всеми сетями, но вам нужен NAT. Я предполагаю, что соединения между клиентами не понадобятся, только между каждым клиентом и сервером.
Безопасность. Если целью этого механизма является передача данных за пределы площадки или масштабируемость, которую может предложить облако, я бы использовал облачное решение, которое разрешает соединения только в частной облачной сети, а не напрямую через Интернет.
Эффективность. Использование VPN обычно не вызывает накладных расходов при использовании сети. Напротив: VPN можно настроить на сжатие соединения, даже если оно не сжато в исходном решении для обмена файлами. Как бы то ни было, облачное решение может обрабатывать ваши 30-мегабайтные передачи со 100 устройств пару раз в день; и соединение 4G может обрабатывать каждое из них по мере их распределения. Ваши требования сравнительно низкие.
Юзабилити. Есть ли в ваших маршрутизаторах M2M встроенная возможность устанавливать VPN-соединение? Это был бы самый простой способ для пользователей, особенно для устройств BYOD, за счет безопасности, которую может предложить программный VPN-клиент с парольной аутентификацией.