Доступ к SMB снаружи

бест практис

https://tools.ietf.org/html/rfc5406

Нагуглил пока вариант с Nextcloud, вроде норм

Если под норм ты подразумеваешь заменить самбу на webdav, то окей. Но только ты не забудь, что под вендой просто так к nextcloud подключится будет нельзя, там проблемы с webdav-авторизацией без Kerberos-а, решение есть

Если же ты подразумеваешь что пользователи будут тыкать в веб-морду, тогда окей.

плюсую впн.

Таки OpenVPN + Tunnelblick (для OSX), OpenVPN Client (GUI для Win). А линуксята пусть сами разбираются.

Ну задача такая чтобы люди могли изредка подключаться к шарам извне с различных девайсов, если вдруг понадобится какой то файл. То есть тыкать в веб морду, да. Если так можно, то думаю этого хватит. Я с Nextcloud не знаком, поэтому пока только предполагаю как это будет работать.

Спасибо, это тоже рассмотрю.

OPVN уже есть, но не всем юзерам нравится что надо еще доп проги ставить.

Не нравится — пусть увольняются.

под вендой просто так к nextcloud подключится будет нельзя

Ничего сложного там тоже нет.

там проблемы с webdav-авторизацией без Kerberos

Нет там в этом месте проблем. Проблемы там в
1) дефолтном лимите на размер файла в 50мб, емнип. Выставляется в реестре.
2) в остановленном по дефолту на некоторых системах сервисе веб-клиента, отчего юзер видит невнятную ругань, а шара не монтируется.
3) возможны залипания клиента при попытке «прозрачно» править файл с шары каким-нибудь, например, вордом.
В целом - ничего страшного. Возможность быстро пошарить кому попало что угодно того стоит.

Да я и не говорю, что проблемы нерешаемые. Но они всё-таки есть и это надо учитывать. Про лимит на размер файла(по крайней мере в Win7) слышу впервые - заливал и сливал большие файлы(>4G) без проблем по webdav еще когда это был owncloud . А вот то, что basic-авторизацию надо включить - помню отчетливо.

Править что-то на живую с венды - не пробовал, так что тут хз.

Про лимит на размер файла(по крайней мере в Win7) слышу впервые - заливал и сливал большие файлы(>4G) без проблем по webdav еще когда это был owncloud . А вот то, что basic-авторизацию надо включить - помню отчетливо.

Забавно, у меня ровно обратный опыт. Венды 7+. В целом пофиг, конечно.

Я бы и Nextcloud голой попой наружу с доступом к корп. ресурсам не стал выставлять. Хз когда какая бага появиться... Так что vpn по любому.

А по поводу:

но люди как то косо на меня смотрели когда я им описывал последовательность действий для подключения

beastie правильно написал, не нравиться - идут лесом. Если же это требование биг босов, то предупредить что за данные после этого вы не отвечаете.

ЗЫ Если говорить про именно файловые облака, seafile мне понравился больше чем ownclowd (next не тестировал за ненадобностью)

Я бы и Nextcloud голой попой наружу с доступом к корп. ресурсам не стал выставлять.

Ну это естественно, я к любым веб мордам всегда basic auth хотябы прикручиваю с нормальным пассом + fail2ban. Правда насколько это спасет от распределенного брутфорса уже вопрос.

Но Nextcloud я пока наверное отложу. Посмотрю как людям с IPsec понравится. Уже пересобрал ядро шлюза на FreeBSD для этого. В общем то изначально я и выбрал OpenVPN только из за того что не надо было заморачиваться с ядром.

OpenVPN на роутере. Только роутеры нужны нормальные, иначе 10мбит/с будет потолком.

Посмотрю как людям с IPsec понравится.

Множественный за натом, будет проблема.

В общем то изначально я и выбрал OpenVPN только из за того что не надо было заморачиваться с ядром.

Удобно с занатными.

Вообще удобно держать и тот и тот вариант. Т.к. полного описания задачи нет, решайте сами.

будет проблема

Когда-то пробовал настраивать strongSwan на впске. Использовался nat-traversal - полет был нормальный в плане дружбы с натом, но там были косяки c MTU и приходилось костылять с tcp-mss через iptables. Посмотрю как сейчас получится. Кстати спасибо за seafile - гляну как нибудь.

Когда-то пробовал настраивать strongSwan на впске. Использовался nat-traversal - полет был нормальный в плане дружбы с натом

Проблемы могут возникнуть когда много клиентов через один нат. Один клиент будет работать.