С чего начать настройку защищенной vpn сети?

Question

[Сергей]

Поставленные задачи:
1. Скрыть реальный ip и не в коем случае его не палить
2. Что бы все клиенты в сети работали через vpn по сертификату
3. Чтобы шлюз в сети (debian) так же подключался к vpn серверу на vds хостинге и при зависании или обрыве vpn пк из сети не палились в мире по белому ip.

Answer 1

[CyrusHarding]

Сергей, вопрос надо ставить более широко. От какой угрозы вы конкретно хотите защитится? Защита от точного определения адреса/расположения офиса?

Comments

[Сергей]

работа в сети через vpn, для того что если кто то попадет в сеть, не смог вынести корпоративную очень важную документацию

[CyrusHarding]

Сергей: эта задача не решается VPN и вообще не может быть решена чисто технически , только комплекс затруднящих и профилактических мер.

[Сергей]

CyrusHarding: я знаю что не решается эта задача через vpn, но это костыль который нужен заказчику)

[Армянское Радио]

Сергей: Потом костыль "сломается", заказчик будет расстроен.

[Сергей]

Армянское Радио: заказчик осведомлен о рисках, и о том что это костыль, да и за те $ что выделены, это решение)

Answer 2

[Сергей]

полностью скрыть любое упоминание о том что офис связан с РФ, и находится в крыму!

Comments

[CyrusHarding]

для этой задачи достаточно действительно стандартно поставить любой линукс из коробки, стандартно настроить vpn и запретить форвардинг на интерфейс провайдера. ( через iptables )

[CyrusHarding]

кроме этого в компах надо будет выключить иные средства обнаружения координат ( например gps, wifi в ноутбуках ). например при использовании wifi и если рядом будут ходить люди - достаточно быстро ваш mac wifi попадет в публичную базу данных с geoip и потом любой ваш комп увидав около себя этот wifi скомпрометирует свои координаты. так что или wifi роутер с скриптом ежедневно меняющим mac или совсем без него. ну и.т.п. -- не втыкать в эту сеть смартфоны по wifi - спалят сразу же.

[Сергей]

CyrusHarding: спасибо, учту, уже настраиваю сервер vpn взятый в нидерландах)

[Сергей]

CyrusHarding: еще такой вопрос, в дальнейшем нужно будет пусть роутер на debian и всех клиентов через этот vpn, как это реализовать?

[CyrusHarding]

Сергей: Это не нужно никак специально реализовывать. И если вы совсем начинающий лучше поставьте ubuntu server. Просто создаете vpn-туннель и делаете его "шлюзом по умолчанию" -- это в настройках при создании тунннеля. Я же вам написал выше - единственное отличие от стандартной конфигурации - при помощи iptables запретить форвард через сетевую плату связанную с провайдером. остальное - стандартно как из коробки.

[xorvester]

CyrusHarding: при помощи iptables запретить форвард через сетевую плату связанную с провайдером. Не могли бы вы написать эту команду, заранее благодарен.