Что выбрать для VPN?

Question

[DuD]

Этот вопрос наверное задавали тут тысячи раз.

Есть несколько офисов и ДЦ с серверами.
Необходим доступ из офисов к серверам, а в будущем и между офисами.
+ роадвариоры, подключающиеся снаружи к серверу в ДЦ.

Требования:
- должен подниматься на Linux. т.е. не железячное решение.
- желательна нативная поддержка большинством OS включая мобильные

Пробовал strongswan, в принципе все поднялось и работает, но не устраивает отсутствие интерфейсов. Я ожидал увидеть нечто вроде ipsecX при подъеме тоннеля. Из-за этого проблемы с мониторингом трафика. Ну и не хватает умения это все дело роутить.

Много статей попадается про openvpn, но его пока отложил из-за необходимости установки клиентского приложения. Еще в одной из статей вычитал что не поддерживает топологии отличные от звезды(правда ли?).

Что посоветуете?

Answer 1

[ky0]

Softether - OpenVPN, L2TP (для ноутов и мобильников/планшетов), IPSec для туннелей. В одном флаконе. Приятный интерфейс управления, большое количество настроек.

Answer 2

[Sanes]

Чем OpenVPN не угодил? Настраивается в 1 клик, что сервер, что клиент.
https://git.io/vpn

Comments

[DuD]

Спасибо за скрипт! OpenVPN пока отложил по причине необходимости установки клиента. А для роадвариоров это не совсем удобно.

[Sanes]

DuD: Зато работает на всех платформах.

[younghacker]

DuD: Если будете ставить для офиса - поставите на роутере (например можно на перешитых OpenWRT роутерах tplink или микротик) и клиент не потребуется всем и каждому. Для мобильных (ноутбуков телефонов) клиент необходим но его установка проста, а настройка универсальна (один конфиг с небольшими изменениями будет принят на любой платформе)

Answer 3

[CityCat4]

Мониторинг трафика IPSec делается не через устройства типа ipsec0 - это немножко вчерашний день :) Когда-то они были, да.
Вам нужно найти схему прохождения пакетов через iptables - полную, включающую xfrm encode и xfrm decode - урл не дам, но вот передо мной лежит печатный вариант под названием "Packet flow in Netfilter". И тогда все становится на свои места. xfrm encode - шифрование пакета, xfrm decode - соответственно расшифровка. xfrm lookup - проверка, подходит ли пакет под политики IPSec.

Под Ваши задачи как раз идет strongswan - на iOS взлетит встроенный, на андроиде есть клиент strongswan (встроенный - отстой), на винде нужно пробовать ShrewSoft. На сайте strongswan зиллион примеров конфигов под все мыслимые случаи и под роадварриор тоже есть.

Решений, кроме как на IPSec и на OpenVPN, Вы вряд ли найдете. На самом деле с роутингом IPSec все не так уж и сложно - достаточно сделать один филиал, остальные клепаются по шаблону, разве только с роадварриорами могут быть вопросы - я-то как раз пробовал железячное решение на микротике и пока отложил в связи с тем, что не было у микротика поддержки IKEv2 - появилась только недавно.

Comments

[DuD]

Спасибо за развернутый ответ. А все же как мониторить трафик если не на интерфейсе?
Я тут накопал еще VTI, вроде сам strongswan его советует.

[CityCat4]

DuD: Что в Вашем понимании "мониторить"? Считать обьем? Контролировать кто, откуда, куда?

[DuD]

CityCat4: объемы считать. Банально повесить то же Zabbix.

[CityCat4]

DuD: https://www.opennet.ru/base/net/ulog_traf.txt.html - статья весьма старая, но может что из нее можно извлечь. Смысл в том, что обьемы можно снимать со счетчиков iptables

Answer 4

[SchmeL]

попробуйте openswan + x2ltpd