Consigli per VPN

[MirkoNetit]

Salve a tutti, ho due uffici che dovrebbero lavorare sugli stessi dati. L'idea è quella di creare una VPN per permettere ad ognuno di lavorare sui files in maniera "diretta".
Ho visto che il sito suggerisce il RS814 .
Gli utenti che potrebbero collegarsi ai files dovrebbero essere una quarantina in complesso.

Quello che vorrei capire è se mi basta un solo RS814 per permettere a tutti di vedere i files su un disco "mappato" o devo usare un hardware per creare la vpn ed un altro come "disco condiviso".

Visto che poi gli uffici non hanno una banda internet elevata mi chiedevo se non fosse il caso di scegliere di installare RS814 in una farm dove non avessi problemi di banda.
L'idea è che sia l'ufficio A che il B si colleghino alla farm per gestire i dati su un disco.

Spero di essermi spiegato, ringrazio per l'aiuto.

[dMajo]

Salve a tutti, ho due uffici che dovrebbero lavorare sugli stessi dati. L'idea è quella di creare una VPN per permettere ad ognuno di lavorare sui files in maniera "diretta".
Ho visto che il sito suggerisce il RS814 .
Gli utenti che potrebbero collegarsi ai files dovrebbero essere una quarantina in complesso.

Come sono distribuiti gli utenti? Lavorare sui stessi dati può esser molto diverso: ad esempio se un database con milioni di record una query eseguita server-side che restituisce un piccolo insieme di risultati (record) pesa poco sulla connettività (mentre potrebbe impegnare severamente il server che pubblica il database). Se i dati invece sono file cad, presentazioni power point, montaggi video e/o contenuti multimediali in genere allora il dato potrebbe essere molto pesante e l'accesso potrebbe risultare lento in accesso remoto al file fisico (mentre il file server generalmente non è un servizio avaro di risorse).
Forse un terminal server nel sito locale potrebbe aiutare trasmettendo cosi in remoto solamente il video/tastiera e non i file stessi che verebbero accessi velocemente dallo storage così rimasto locale al terminal server. Per molte sessioni remote dal sito locale la banda in up di una adsl risulterebbe comunque problematica.

Se i 40 utenti sono windows potrebbe essere comodo avere due domain controller nelle due sedi. Si gestirebbe cosi l'autenticazione centralizzata, la configurazione dei PC (diritti, dotazione sw) via GPO (Group Policy). Il WSUS è un toccasana in quanto può scaricare gli aggiornamenti SW (Microsoft e non solo) durante la notte per poi distribuirli ai PC evitando che ognuno consumi banda scaricandoli autonomamente). Il banning centralizato di siti quali youtube, facebook (ed altri non consoni all'ambiente lavorativo) e la rimozione dei banner pubblicitari dal resto delle pagine web aiuta anche enormemente a non sprecare banda inutilmente.
Quindi si potrebbe pensare eventualmente ad un server "vero" anziché un NAS e purtroppo sotto questo aspetto il maggiore concorrente taiwanese di synology ha fatto un passo avanti (ultimamente) dando la possibilità di virtualizzare altri sistemi operativi sui propri NAS unendo così i ridotti consumi/costi e grande capacità di storage di un NAS (rispetto ad un server tradizionale che molte cose le realizza anche con sw terzi di natura commerciale) con la possibilità di fruire anche di applicazioni/servizi (vedi Active Directory su MS Windows Server) ancora non disponibili/replicabili in ambiente linux (base dei sistemi operativi dei NAS: DSM e QTS) ... speriamo che i prossimi annunci sui nuovi prodotti attesi per la prossima settimana da Synology colmino queste lacune (assieme a SMB3 che ai possessori di win8 e superiori farebbe fare anche un salto di transfer rate sulla rete).

Quello che vorrei capire è se mi basta un solo RS814 per permettere a tutti di vedere i files su un disco "mappato" o devo usare un hardware per creare la vpn ed un altro come "disco condiviso".

Il RS814 potrebbe sia fornire i dati che realizzare la VPN ma ad ognuno il suo. Non serve però un secondo nas, ma un apparecchiatura dedicata, nativamente preposta, a gestire le VPN. Generalmente routers e/o firewall hardware
Le VPN per esser correttamente gestite in termini di flessibilita, prestazioni e sicurezza vanno sempre fatte sui device border/edge (di confine) della rete, ovvero router/firewall: quindi fra i due router dei due siti o i due firewall a valle in caso tu utilizzi puri router e firewall hw quali watchguard, sonicwall tanto per citarne alcuni che non siano cisco.

Visto che poi gli uffici non hanno una banda internet elevata mi chiedevo se non fosse il caso di scegliere di installare RS814 in una farm dove non avessi problemi di banda.
L'idea è che sia l'ufficio A che il B si colleghino alla farm per gestire i dati su un disco.

La banda è sicuramente importane specialmente se la connettività è asimmetrica (ADSL) in quanto il sito remoto soffrirebbe delle restrizioni in upload del sito locale. A meno che i due uffici no siano ad esempio roma/milano dove ad un prezzo di poco superiore alla adsl c'è il fornitore in "fiber to the home" (100M/10M) che ultimamente sembra dia IP pubblici ed anche statici alle soluzioni business.

Complimenti perché forse hai centrato una buona soluzione, il nas in datacenter esterno: e comunque denota l'apertura mentale di natura professionale tenendo in gusta considerazione l'IT. Così il NAS non avrà problemi di banda e gli utenti mobili vi accederanno direttamente (senza contendersi la connettività dell'ufficio). In datacenter puoi generalmente scegliere (oltre ai tagli) fra due tipi di connettività: una è diretta su internet, mentre l'altra è firewallata dal datacenter ... ovviamente entrambe con ip pubblici statici seconda le tue esigenze (1/8/16). Con 8/16 ne perdi 2 in quanto ti viene assegnata una lan quindi primo ed ultimo sono ID e broadcast. La connettività firewallata costa di più in quanto paghi il servizio.
Qui non ti devi preoccupare dell'alimentazione in quanto i datacenter hanno svariati ups e gruppi elettrogeni (MW). Se non hai già acquistato il nas ti consiglio però un RS814RP+ in quanto oltre ad averne un po di più di cpu (e ram espandibile a 4G) ha il doppio alimentatore che potrai connettere alle due linee di alimentazione che il datacenter ti fornisce. Un eventuale RS814/RS214 potresti considerarlo (sempre in datacenter) per un eventuale backup dei dati dal nas primario oppure considerando che mai si guasteranno tutti gli hdd considerare un RS2414RP+ unico con piu volumi raid e gestire backup/storici internamente alla stessa unità.
Alla pari io sceglierei la connettività diretta (senza firewall) ed oltre al NAS in datacenter ci monterei una coppia di watcghguard/sonicwall in cluster (uno per linea di alimentazione). Potrai così configurarti tutte le VPN che vuoi sul firewall hw verso i tuoi uffici (vpn lan2lan)/dispositivi mobili (OpenVPN/SSL) ed i PC degli uffici vi accederanno trasparentemente senza alcuna configurazione, come se fosse nella lan locale ... ma un po più lento.
Negli uffici qual'ora l'ADSL non dovesse essere sufficiente, prima di passare a soluzioni molto più costose (HDSL) potrai eventualmente considerare l'aggiunta di una seconda adsl e farle gestire in bilanciamento di carico da un router tipo es Vigor2860 (che con il firewall in datacenter è in grado di gestire in bilanciamento di carico anche la VPN, una per ciascuna ADSL, praticamente affascinando i due tunnel). Altrimenti valuta la "fiber to the street cabinet" (fibra sino "al portone" e consegna via il classico doppino in rame VDSL) ora disponibile in molte città a costi ragionevoli (30Mdown/3Mup) e gestibile dal Vigor2860 (modem VDSL con fallback su ADSL integrato) direttamente o via l'interfaccia ethernet WAN2 collegata al modem/router fornito dal fornitore.

Nel caso la business-continuity sia un fattore importante ti consiglio di lasciare nel rack in datacenter un (paio) hdd ed eventualmente un alimentatore che in caso di guasto (in molti datacenter) potrai cortesemente chiedere di far hot-swappare al personale dello stesso, senza iniziare tutte le pratiche per l'accesso e dovervi accedere in fretta personalmente. Questi "favori" sono a mio avviso uno dei fattori di scelta del datacenter, assieme alla ridondanza e qualità delle connettività dello stesso, e la distanza fisica dal proprio luogo di residenza/lavoro. Un datacenter va visitato di persona prima di locarvi le proprie macchine.
Quello Telecom di Padova mi ha fatto veramente una buona impressione (ospita fra l'altro tutta l'infrastrutture TIM (gestione rete/traffico, fatturazioni, ricaricabili...) oltre che i database di molte ASL (con i loro dati sensibili)). Per accedere alla proprie macchine si entra scortati dalla sorveglianza. Puoi affittare una mattonella (armadio rack intero) oppure x unità di rack esistenti ed eventualmente (in caso di locazione di più mattonelle/spazio) far ingabbiare ulteriormente le tue apparecchiature ... ovviamente a costi diversi.
E' curioso da notare come anche li esistano atti di scaramanzia: ho notato che qualcuno ha attaccati ai propri server l'immagine di Padre Pio, qualcun altro ha una serie di cornetti ...


Rimarrebbe poi ancora un'altra soluzione (se la tipologia del lavoro e dei dati lo permette) ovvero quella del cloud storage. Ad esempio "Data Space Easy" soluzione business di Telecom offre anche TB di spazio che può essere usato sia come backup che sincronizzazione online. Esistono client sia in versione workstation che server, supporta la gestione utenti/gruppi (anche integrata in active directory o server LDAP) e l'utente (se abilitato dall'amministratore) può condividere parte del proprio materiale (o si possono creare delle share apposite) con altri utenti (eventualmente anche ospiti esterni/ pubblici). I dati in questo caso sono ospitati completamente nei datacenter italiani di Telecom e sottoposti a giurisdizione italiana.
Poi c'è GoogleApps che permette ad esempio di scrivere in gruppo un documento (Word) e per gruppo intendo che se un'altro modifica un capoverso io lo vedo cambiare mentre sto editando il documento in real-time (contemporanea).
Tutto questo (il costo/soluzioni alternative percorribili) va valutato e paragonato al costo dell'hardware non più necessario e del datacenter. Rimangono comunque l'esigenza di bande delle connettività dei singoli uffici e la considerazione dei servizi addizionali che una propria macchina in datacenter può offrire.


Ovviamente per pianificare al meglio la soluzione corretta (sia in termini di storage che frequenza e tipologia di backup) bisogna esser in possesso dei numeri: natura dei dati e loro tipologia, necessità o meno di lavorare sulla stessa copia (autori multipli) o può bastare un archiviazione centralizzata, quindi volume dei dati e frequenza della loro modifica (nel caso si opti per due storage distinti in sincronia continua) ....