VPN pro firmy — proč mít vlastní a co řešit
Firemní VPN (Virtual Private Network) zašifrovaně propojuje pobočky nebo zaměstnance z domova s firemní sítí. Po roce 2020 se z VPN stal standard pro hybrid work a vzdálený přístup. Tento průvodce vám ukáže, jaké typy VPN existují, kdy si VPN postavit sami a kdy zvolit managed řešení od operátora.
Dva základní typy firemní VPN
Site-to-Site VPN (S2S)
Propojení dvou poboček zašifrovaným tunelem přes internet. Nahrazuje drahé MPLS okruhy. Z pohledu uživatele oba kanceláře vidí jednu společnou síť — tiskárna v Praze je dostupná z Brna stejně jako lokální.
Vyžaduje: Statickou veřejnou IP na alespoň jedné straně (lépe na obou), kompatibilní VPN bránu na každém konci (router/firewall).
Typické použití: Centrála + pobočka, propojení datacentra s kancelářemi, hybridní cloud (AWS Site-to-Site VPN do AWS VPC).
Remote Access VPN (RA)
Zaměstnanci se připojují z domova, hotelu nebo z cest do firemní sítě. Každý zaměstnanec má VPN klienta v notebooku/mobilu, který naváže šifrovaný tunel na VPN bránu firmy.
Vyžaduje: Statickou veřejnou IP firmy, VPN klient na zařízeních (WireGuard, OpenVPN, Cisco AnyConnect, FortiClient).
Typické použití: Home office, přístup k internímu CRM/ERP z cest, přístup ke sdíleným diskům, vzdálená správa serverů (RDP/SSH přes VPN).
VPN protokoly — který vybrat
| Protokol | Rychlost | Bezpečnost | Kompatibilita | Doporučení |
|---|---|---|---|---|
| WireGuard | Vynikající | Moderní (ChaCha20, Curve25519) | Vše od 2020+ | 🏆 Nový standard, doporučeno |
| OpenVPN | Dobrá | Spolehlivá (AES-256) | Univerzální, i staré OS | Standard, mature |
| IPsec/IKEv2 | Vynikající | Robustní | Hardware bránami, vendor lock | Pro S2S mezi pobočkami |
| L2TP/IPsec | Průměrná | Slabší (zastarává) | Windows nativní | Nepoužívat pro novou instalaci |
| PPTP | Rychlý | Prolomený (NESPOUŠTĚT) | Legacy | NIKDY nepoužívat |
Pro nová nasazení v roce 2026 doporučujeme WireGuard pro Remote Access (jednodušší konfigurace, lepší výkon, perfektní na mobilech) a IPsec/IKEv2 pro Site-to-Site (lepší podpora v enterprise routerech).
Vlastní VPN brána vs managed služba
Vlastní (samosprávná)
Příklady řešení:
- MikroTik RouterOS (IPsec, WireGuard, OpenVPN) — investice 5 000–25 000 Kč jednorázově
- OPNsense / pfSense na vlastním hardware — 8 000–20 000 Kč jednorázově
- Sophos XG / Fortinet FortiGate — 25 000–80 000 Kč + roční licence
- Cisco Meraki — subscription model, 1 500–5 000 Kč/měs
Plus: Plná kontrola, žádné měsíční poplatky operátorovi, vlastní logging, libovolný počet uživatelů.
Mínus: Vyžaduje IT správce s kompetencí, vlastní patching, řešení výpadků na vás.
Managed VPN (operátor)
Typická cena: 1 500–4 000 Kč/měs za firemní VPN řešení s 10–50 uživateli.
Plus: Operátor řeší konfiguraci, patching, monitoring, eskalace. Žádný interní IT specialista není potřeba.
Mínus: Vendor lock, omezená konfigurovatelnost, vyšší TCO při větším počtu uživatelů.
Zero Trust Network Access (ZTNA) — alternativa ke klasické VPN
Místo otevírání celé sítě jednomu zaměstnanci nabízí ZTNA přístup jen ke konkrétním aplikacím podle identity a kontextu (zařízení, lokace, čas). Řešení:
- Cloudflare Zero Trust — od $7/uživatele/měs, integruje s Okta/Google Workspace
- Tailscale / Twingate — postavené na WireGuard, $5–18/uživatele/měs
- Microsoft Entra Private Access — součást M365 E5 licence
- Zscaler Private Access — enterprise tier, vyžaduje custom pricing
ZTNA je vhodné pro firmy s 20+ vzdálenými uživateli, kde klasická VPN brzdí (latence, single point of failure). Pro 5–10 zaměstnanců je tradiční VPN ekonomicky výhodnější.
Bezpečnostní pravidla pro firemní VPN
- 2FA povinné — TOTP (Google Authenticator), FIDO2 klíče (YubiKey), nebo Push notifikace (Duo). Heslo samo nestačí.
- Per-user certifikáty — místo sdíleného hesla každý uživatel vlastní X.509 certifikát, který lze samostatně revokovat při ukončení pracovního poměru.
- Split-tunneling — jen firemní provoz jde přes VPN, ostatní (Netflix, web) jde přímo. Šetří bandwidth, ale snižuje viditelnost provozu.
- Logging a audit — kdo se připojil, kdy, z jaké IP, jaké zdroje navštívil. Při bezpečnostním incidentu zásadní.
- Pravidelná rotace klíčů — WireGuard klíče 12 měsíců, OpenVPN certifikáty 1–3 roky, IPsec PSK ideálně nahradit certifikáty.
- Geo-blocking — pokud firma operuje jen v ČR/EU, blokujte přihlášení z asijských a afrických IP rozsahů.
Často kladené dotazy
Potřebuje malá firma vlastní VPN?
Pokud zaměstnanci pracují z domova nebo mají vzdálený přístup k firemním datům (sdílené disky, CRM, ERP), ano. Pro firmy zcela v cloudu (Microsoft 365, Google Workspace, cloudový účetní systém) lze místo VPN použít ZTNA řešení nebo nic.
Kolik stojí postavit firemní VPN?
Vlastní řešení na MikroTik routeru: 5 000–25 000 Kč jednorázově. Managed VPN od operátora: 1 500–4 000 Kč/měs. Cloudové ZTNA (Cloudflare, Tailscale): 5-18 $/uživatele/měs.
Co je rozdíl mezi WireGuard a OpenVPN?
WireGuard je novější (od 2020), 3-5× rychlejší, jednodušší konfigurace, lepší podpora na mobilech. OpenVPN je starší standard s univerzální kompatibilitou. Pro nová nasazení doporučujeme WireGuard.
Mohu mít VPN bez statické IP?
Site-to-Site VPN vyžaduje statickou IP alespoň na jedné straně. Remote Access VPN vyžaduje statickou IP na straně firmy (klienti se k ní připojují). Bez statické IP je řešením ZTNA (Tailscale, Cloudflare Zero Trust) — nepotřebuje statickou IP.
Je VPN bezpečnější než ZTNA?
Klasická VPN po přihlášení otevírá uživateli přístup k celé síti (lateral movement risk). ZTNA dává přístup jen ke konkrétním aplikacím s kontinuální verifikací — bezpečnější přístup zejména pro hybrid work. Pro firmy s 20+ vzdálenými uživateli je ZTNA modernější volba.
Vyberte B2B internet s podporou VPN
VPN brána vyžaduje statickou IP a B2B tarif s NAT/firewall kontrolou. Pro detailní průvodce výběrem firemního internetu si přečtěte Internet pro firmy 2026 — kompletní průvodce, nebo ověřte dostupnost B2B tarifů na vaší adrese.