我正在寻找一些有关通过互联网安全提供 CIFS 共享的建议。文件服务器将托管在云服务(例如 DigitalOcean)上。最多有 100 个远程设备需要访问共享,尽管它们在每个连接上传输的数据不会超过 30MB。这些设备每天都会连接,但不一定同时连接。
远程设备通过具有4G移动接入的M2M路由器连接到互联网。
允许远程设备访问共享的最有效和安全的方法是什么?我的想法是使用站点到站点的 VPN?
我最初发布此文时没有提到的一个问题是,所有远程站点都位于同一子网 (192.168.1.0/24)。将它们配置为远程用户 VPN 是否比执行站点到站点 VPN 更容易?
因此,我设置了一个站点到站点 VPN(StrongSwan),它运行良好。我现在遇到的问题是 SMB 服务器位于 DigitalOcean 上,这意味着该服务器只有一个公共 IP。远程设备只会允许服务器使用 IP 地址(即无 FQDN)。目前,我可以将 IP 地址设置为 DigitalOcean 服务器的 IP。我只是在长期考虑,如果我出于某种原因需要更改该服务器,或者该 IP 已更改,我无法绕过 100 个设备并更改文件服务器的 IP 设置。
我最好的选择是什么?VPN 服务器和文件服务器是相同的。
答案1
站点到站点。如果远程设备都位于同一位置或至少位于几个固定位置,则站点到站点 VPN 将是理想的选择,以防止每台设备都有自己的 VPN 客户端并对其进行身份验证。在这种情况下,似乎所有设备都位于不同的远程位置。您可以让它们直接连接到云,也可以通过您的本地网络连接到云。
由于 M2M 4G 路由器上的所有内部网络都是相同的192.168.1.0/24,因此您的 VPN 无法直接在所有网络之间建立路由,但您需要 NAT。我猜客户端之间的连接是不需要的,只需要每个客户端和服务器之间的连接。
安全。如果这种安排的目标是将数据放在异地或利用云可以提供的可扩展性,我会使用只允许在私有云网络内进行连接而不是直接通过互联网进行的云解决方案。
效率。使用 VPN 通常不会导致网络使用率过高。恰恰相反:即使原始文件共享解决方案中未压缩连接,也可以配置 VPN 来压缩连接。无论如何,云解决方案可以很好地处理每天几次从 100 台设备进行的 30MB 传输;而 4G 连接可以处理每个分布式传输。您的要求相对较低。
可用性。您的 M2M 路由器是否具有建立 VPN 连接的内置功能?尤其是对于 BYOD 设备,这对用户来说是最简单的方法,但代价是密码验证软件 VPN 客户端所提供的安全性。