Design Philosophy
Od trenutka kada je rad na daljinu postao globalni standard, prelazak iz kancelarije u kućno okruženje doneo je ogromne izazove. Bilo da ste agencija, arhitektonski biro ili programerska firma, suočavate se sa dva velika problema: bezbednost osetljivih podataka i produktivnost.
Kada velike korporacije rešavaju ovaj problem, one na to bacaju ogromne količine novca. Kupuju se glomazna hardverska rešenja, plaćaju se stotine evra mesečno za razne VPN licence, i po pravilu se računari ostavljaju upaljenim 24 sata dnevno.
Mi smo odlučili da stvari postavimo drugačije. Želeli smo infrastrukturu koja pruža korporativni nivo bezbednosti, nulti mesečni trošak za licence, i pametan ekološki pristup gde hardver radi samo onda kada je to zaista potrebno.
Globalni standardi naspram našeg ekosistema
Pre nego što zaronimo u tehničke detalje, evo jasne paralele između onoga što nudi tržište kao "standard", i onoga što smo mi implementirali kreirajući sopstveni zatvoreni ekosistem:
| Karakteristika | Korporativni standard | Naš pristup |
|---|---|---|
| Mrežni prolaz (Ruter) | Enterprise hardver sa skupim licencama. | pfSense – Open-source softver bez licenci na Mini PC-ju. |
| VPN | Zastareli IPSec klijenti koji usporavaju rad. | WireGuard / Tailscale – Najbrži kriptografski VPN protokoli. |
| Energija | Kompjuteri rade 24/7. Ogromno rasipanje energije. | Kompjuteri spavaju. Bude se na klik preko UpSnap-a. |
| Pristup računaru | Plaćeni alati (TeamViewer) ili skupe Cloud mašine. | Microsoft RDP – Besplatan, nativan Windows alat. |
| Kontrola podataka | Podaci idu preko eksternih cloud servera trećih lica. | 100% kontrola preko našeg privatnog kriptovanog tunela. |
Korak 1: Centralni mozak operacije - Hardver i pfSense Ruter
Običan kućni ruter nema kapacitet da obradi kompleksna bezbednosna pravila niti naprednu VPN enkripciju. Zato smo nabavili Mini PC sa dva LAN porta (jedan za WAN, jedan za LAN). Na njega smo instalirali Microsoft Hyper-V (hipervizor) kako bismo pokretali virtuelne mašine. (Odlična besplatna alternativa ovome je Proxmox).
Kao glavnu mašinu podigli smo pfSense – najmoćniji open-source ruter i firewall, preko kojeg kontrolišemo celokupan protok. Pored njega, pokrenuli smo i mašinu za Docker (potreban za 3. korak).
Korak 2: Bezbedan ulazak - WireGuard i Tailscale
Kada radite od kuće, potreban je VPN za bezbedan pristup lokalnoj mreži kancelarije. U sklopu pfSense-a instalirali smo WireGuard, najbrži moderni VPN protokol. Brzina transfera je gotovo identična radu u firmi. Setup podrazumeva generisanje ključeva na ruteru i na klijentu.
Tailscale (ili ZeroTier) predstavlja još lakšu alternativu. On koristi WireGuard ispod haube, ali eliminiše potrebu za manuelnim podešavanjem rutera, otvaranjem portova i DDNS-om. Instalirate aplikaciju i računari komuniciraju kao da su u istoj sobi.
Korak 3: Prekid rasipanja resursa - Docker i UpSnap
Ostavljanje računara uključenim 24/7 je neisplativo. U našem sistemu, svi kompjuteri odlaze u "Sleep" mod. Za njihovo buđenje, na Docker platformi pokrenuli smo UpSnap.
To je jednostavna web aplikacija kojoj pristupamo kroz VPN, koja pokazuje da li kompjuter spava ili je online, njegovu IP adresu, i omogućava buđenje putem tzv. Magic Packet-a (Wake-On-LAN).
Korak 4: Direktno spajanje - Microsoft RDP
Pošto smo preko WireGuard-a već prisutni u lokalnoj mreži, zaobišli smo plaćene komercijalne alate za remote pristup. Umesto toga, koristimo nativni Windows Remote Desktop Connection (RDP).
U klijent unesemo IP adresu iz UpSnap-a, ukucamo svoju Windows lozinku i ekran iz kancelarije se prikazuje u punoj rezoluciji sa nultim kašnjenjem.
Mane našeg sistema i prostor za unapređenje
1. Single Point of Failure: Čitava mreža zavisi od jednog Mini PC-ja. Rešenje: Imati rezervni običan ruter u slučaju kvara hardvera.
2. Manuelni Onboarding: Postavljanje WireGuard-a za nove radnike je sporije (generisanje ključeva) od jednostavnog logovanja. Rešenje: Prelazak na Tailscale u potpunosti otklanja ovaj problem.
3. Problem dinamičke IP adrese: Pošto nemamo fiksnu IP adresu, koristimo besplatan DDNS preko no-ip.com. Njegova mana je obaveza mesečne manuelne obnove putem emaila. Rešenje: Pretplata na DDNS, fiksna adresa od provajdera, ili prelazak na Tailscale kom adresa ni ne treba.
Biti u toku sa najboljim svetskim praksama ne znači slepo kopirati korporacije, već razumeti principe po kojima one funkcionišu i implementirati ih na pametniji i agilniji način.