Forum
Nezkousel jsem to jeste (moc prace). Chci to mit co nejjednodussi a chci aby to fungovalo (proto všichni máme iOS). Neznám ale ten rozdíl mezi těma vpn. Můžes to trošku popsat ? Díky
@Dáda Jako fungují obě diskutované varianty, obecně se o OpenVPN tvrdí, že netrpí známými slabinami. Pokud Ti nedělá problém doklikani se k připojení k VPN, což u Jabka je o krapet rychlejší než u Androidu, protože to není tak debilně vnořený hluboko v menu, tak je jedno jestli jedes na ios nebo android a když pominu teoretickou vyšší bezpečnost OpenVPN, tak i obě VPNky makaj, nastavení nativniho klienta je u L2TP/IPsec hodně jednoduchá, u OpenVPN s appkou klienta jen podstrcis konfiguracni soubor a jedes, takze je to taky easy.
V kontextu s Unifi USG je vytvořeni L2TP/IPsec serveru mozny v GUI a je to par kroku podle navodu. OpenVPN server je sice taky součástí USG, ale jaksi soudruzi zatim nedorobili GUI, takže Tě čeká poměrně složitější konfigurace v CLI.
Obojí jsem vyzkoušel jak na iPhonu tak na Androidu, nastavení je na klientu prakticky identický.
Na androidu je přidaná hodnota řešení OpenVPN ve dvou výhodách, lze si dát na plochu zástupce připojení VPNky i odpojení a mit tak rychlou cestu k jejímu ovládání. Další plus je možnost za použití Taskeru udělat automatické připojení VPN on demand per app, kdy po kliknuti na Loxone appku Tasker nejdriv připojí VPNku a pak pustí Loxone app, analogicky by mělo fungovat i odpojení po ukončení Loxoapp, ale s tím zatím zápasím. Ale i tak se mi líbí aspoň to automatický připojení.
Na všechno zmíněný jsem schopnej splodit návod, ale možná to jde zmaknout podle tech postupů z odkazů, případně se tu poradit.
Díky. To že je jedno VPN o trosku bezpečnější mě nejak netrapí (nejsem Babiš).
Takze urco pujdu cestou toho jednoduššího. a iOS se tedy neda udělat, aby se to po zapnutí Loxone samo připojovalo přes VPN a nemusel přes menu ? Návod zatím nemusíš, nejdřív to vyzkouším a otestuju.
Otázka dva. Udělat hostovskou a domáci wifi + tiskárna připojena skrze LAN, aby jen ta tiskárna byla viditelná i v hostovske ?
@Dáda
Kdybys nechtěl tu tiskárnu a zůstáváme ve světě Unifi, bylo by oddělení WiFi na tu pro domácí, co vidí vše v LAN a hosty co mohou jen na gateway ven do Internetu, řešitelné hravě jen na úrovni Unifi AP, protože tam lze nastavit pro jednotlivá SSID (tedy pro každou více WiFi sítí na jednom AP), zda a jaká guest pravidla pro ně platí, kde můžeš nastavit leccos, počínaje právě omezením přístupu do vybraných subnetů, tedy např nepustit je do LANky, ale jen ven do světa, až k sofistikovanějším přesměrování a portálovým řešením, jaké známe z obchoďáků, hotelů a firemního prostředí.
Pokud ale chceš hostům dovolit tiskat, buď by to možná šlo ještě vyfiltrovat zase těmi omezeními v subnetech (jen nápad, nikdy jsem tuhle krkolomnost nezkoušel) a nebo Tě čekají VLANy - oddělní síti na L2 vrstvě, což obnáší trošku chytrej hardware, kdy jasně definuješ co kterým portem routeru/switche pustíš (kterou/é VLAN tím portem pustíš) a stejně tak lze nastavit pro jednotlivá SSID do které VLANy patří. A mezi VLANama pak nastavíš pravidla, tedy např. to, že GuestVLAN pustí traffic do DomácíVLAN na IP adresu tiskačky. Velice obecně řečeno.
Podle mne, co jsem tu vyčetl, tu v rámci chytrýho domu VLANy používá kde kdo, tak třeba někdo hodí svoji vyzkoušenou reálnou vizi v chytrým domě v praxi. A jestli máš Unifi výbavu, taky jsem tu postřehl, že ji někteří využívají, takže o reálný ukázky nebude jistě nouze 😛
edit: na Iphone nevim jak vyresit per app on demand VPN, udajne to ma umet od verze ios7, ale nikde jsem nenasel jak to udelat, zrejm epres nejakej ten jejich konfiguracni nastroj, ale ten jsem nenasel pro Widle a Maca ted nemám. Obecně max co snad by se dalo je VPN on demand, což ale znamená, že se Ti prostě VPNka pustí pokaždý, když začneš něco dělat s founem a to není to co chceme.
Ok, děkuji. Jeste mi bude chvili trvat, než to dám vse dohromady ale napíšu jak jsem pokročil
Mozno sa niekomu moze hodit - po reflashi mikrotiku som prisiel o konfiguraciu vpn a nechcelo sa mi to znovu rozchadzat, takze som najprv dostal napad zacal pisat vlastnu reverznu proxy s ssl-kom pre loxone, ktora by mi umoznila aspon spustit web loxone z kadekolvek na svete cez zabezpeceny kanal bez akejkolvek konfiguracie. V medzicase ma ale nadsenie preslo a kedze sa mi furt nechcelo rozchadzat tu vpn-ku (mal som pptp *1, daval by som openvpn, co by zabralo o kus viac casu), dumal som ci to nepojde nejak jednoducho ochcat len nejakym ssh tunelom do mobilu.
Long story short - na android existuje pekna appka Ki4a, ktora robi ssh tunely (ci uz port forward, alebo route celej siete). Na mikrotiku som spravil len jedneho neprivilegovaneho usera, ktoreho pouzivam len na tunely a momentalne to par hodin testujem. Appka nema problem s reconnectom, prehadzovanim wifi a lte (narozdiel od pptp vpn-ky co som mal predtym, ktora sa vzdy odpojila a bolo to na 4 kliky a dva supania prstom) a spojenie sa da vytvorit na jeden klik a zda sa ze vydrzi do restartu telefonu Este budem musiet najst nieco podobne na tu bielu krabicku pre dusevne slabsich z ameriky, aby to fungovalo aj zene, ale za mna rychle jednoduche free riesenie.
*1 ano som IT-ak a viem ze pptp je davno prelomene, lenivost, kovarova kobyla, whatever ...
@msk - sice polovině věcí co píšeš nerozumím, ale já používám l2tp ipsec VPN na mikrotiku, protože pptp Apple už Apple nepovažoval za bezpečné, a zatím to tedy funguje snad v pohodě. Open VPN používám jen u routeru, který přistupuje do internetu přes ADSL modem, který neumím přemluvit ke spolupráci. 🙁
l2tp mal tusim problem, ze nemozu byt dvaja klienti za rovnakym natom. Co sa mne so zenou obcas stava. Idealne je openvpn, ale nemal som cas to konfigurovat a potreboval som to rozchodit narychlo, okrem toho ma zarazilo, ze ta appka vie cez ssh tunel preroutovat celu siet (malo ludi o tejto feature ssh-cka vie). Konfiguracia nebola potrebna veskera zadna - stacilo vytvorit usera na mikrotiku a nastavit v appke siet kde mam miniserver).
Chlapi vam chodi teda pushup notifikace, ikdyz nemate MS vystrceny do Inetu? Samozrejme bez VPNky pripojene.
Me fungujou.
Byt teda nekdy se stava, ze jsou lehce opozdene (coz je dost naprd).
Hmm, me fungovali jen kdyz jsem mel MS vystrceny ven, ted uz ne. Resp jedna mi zahadne dosla, ale dalsi uz ne...
Divny.
Já se normálně připojuju přes VPN (na MS) ale když nejsem tlf. připojen tak VPN vypínám a notifikace mi chodí pořád.
Mel jsem neustale problem s notifikacema na androidu z loxone, proveril jsem uplne vse a nakonec pomohlo az factory reset telefonu, po tom zacli notifikace z loxone chodit i kdyz miniserver do internetu vystaveny nemam.
Mmm, tak uz jsem asi nasel chybu, ten zelenej bordel, si pamatoval IP jeste od stareho ISP. Na helpdesku mi rekli, ze to chvili trva, nez se to propise. Ale ze to muze trvat i vice jak 18 mesicu, jsem opravdu netusil 😀
