CityCat4

ssh + mcedit :)

Возможно, опера побежала впереди паровоза и уже блочит сайты, которые "отмечены" РКН, хотя закон в силу вступает только с 1 ноября.

Приняты законы о мессенджерах и VPN в третьем чтении

UPD:
В силу вступают: закон о VPN - 1 ноября 2017 года., закон о мессенджерах - 1 января 2018 года

Провайдер будет видеть не только Ваш адрес, но и факт подключения к некоему VPN серверу. Как известно, у нас "на станке" закон о блокировке VPN, как в Китае, так что VPN превратится в "просто еще одного провайдера", который либо сольет логи по запросу...либо его заблокируют.

Это конечно, если Вы защищаетесь от г-на Закона. От соседа/жены/сниффера в публичной вайфайке даже и тор не нужен :)

От кого защищаетесь?

Толсто.

Учимся троллить.

MODE_CONFIG - режим динамической настройки VPN, при котором сервер выдает клиенту настройки. Используется при установлении туннелей с виндой в транспортном режиме, так называемый roadwarrior mode.

Встречный вопрос - от кого? В логах провайдера все равно будет настоящий IP, как ими не жонглируй. А вообще вопрос уже сто тыщ мильенов раз задавали. И сто тыщ мильенов раз был ответ - в зависимости от того, от кого пытаетесь защититься.

В винде обычно в таких случаях советуют убрать галочку "делать VPN маршрутом по умолчанию" - и все начинает работать.

Можно.

Есть аж два варианта, один требует более прямых рук, другой - денег.
- установить и настроить на компе VPN, по которому он будет цепляться к другому компу - и ходить через него
- купить у провайдера "белый" IP. ВНИМАНИЕ! Не статический IP, а именно "белый" - потому что хитро#опый оператор может Вам продать постоянный серый IP :D

В разделе маршрутизации. Микротик должен знать, что пакет, пришедший с 1.2.3.4 для 4.3.2.1 нужно направить в интерфейс [ifname0], пройдя по которому он достигнет либо 4.3.2.1 непосредственно, либо того, кто знает, куда этот пакет направить дальше. Ну и соответственно 4.3.2.1 должен знать, что если ему пришел пакет от 1.2.3.4, его не дискардить, а отправить тому, кто знает куда этот пакет девать. Тут настройки скорее всего придется делать на обеих микротиках.

Никак. Скоро начнут блокировать сами анонимайзеры.

1. Бюджет?
2. Скорости у филиалов?

Видеонаблюдение будет брать большую часть полосы тырнета, поэтому чем больше будет скорость тем лучше. Имейте в виду, что стоимость подключения для юриков может оказаться весьма неприятным сюрпризом.

А если логи сольет провайдер?

Начать надо с модели нарушителя - сто тыщ мильенов раз было сказано. От кого защищаетесь? От соседа Васи не нужно дабл-трипл и прочее VPN - хватит одного. "Люди в сером" возьмут сначала логи провайдера, а потом (возможно) - Вас за... руки. И подержат. И сами все расскажете.

В данных условиях - никак. Роутеры класса "все в одном для дома", в которых совсем нет IPSec. Как класса. Теоретически, связать сеть с динамическим IP с другой сетью с динамическим же IP можно (если конечно немного поизвращаться с DynDNS и т.д. - потому что как минимум одна сторона должна иметь постоянный адрес для подключения к ней). Но это не будет просто типа Next->Next->Next. Это pure IPSec, с сертификатами и немалой головной болью в виде "ну почему же эта щука не хочет связываться вон с тем пескарем?"

IPSec в настройке, если что, заметно сложнее. В Ваших роутерах возможно есть PPTP - его защита правда уже проломлена полностью, но если шифрование неважно, можно и попробовать.

Ну почему нельзя? Можно. Делайте. Только когда сломают - не говорите, что не предупреждали.

В Windows, если не использовать сторонние тулзы, все, что касается сертификатов невероятно запутано.

- Требуется ли AD для центра сертификации - не знаю, идея его разворачивать без AD никогда мне в голову не приходила. AD используется и очень широко.
- Весь выпуск сертификатов основан на шаблонах. Если сертификат должен иметь какие-то нетипичные OID - лучше сначала посмотреть - есть ли они в нужных шаблонах и есть ли такие шаблоны вообще, если нет - придется создавать.
- Отдельной программы создания CSR нет. Ну, в смысле, виндовой, графической со свистелками и пищалками, есть только текстовая программа, использующая текстовый ini-файл, называется, если не ошибаюсь certreq.exe Винда считает, что CSR должен генерится "на лету", запрос сразу попадать в центр сертификатции и сертификат выдаваться незаметно - так чтобы у юзера доступа к ключу сертификата не было :) Что разумеется, Вам не подойдет - сертификат же на яббл нужно будет ставить.
- Чтобы использовать сертификаты хоть где-нибудь, кроме как на компе, где генерился CSR, придется его (CSR) генерить сторонней тулзой и передавать в виде base64 в центр сертификации через веб-морду центра - сам так делаю, хоть это криво, неудобно и довольно нелепо. Но зато процесс формирования .p12 полностью подконтролен.

Запрос с устройства необязателен. Можно и на сервере генерить - если будет чем. Есть ли что-то такое в powershell - никогда не задумывался, может быть и есть

Мониторинг трафика IPSec делается не через устройства типа ipsec0 - это немножко вчерашний день :) Когда-то они были, да.
Вам нужно найти схему прохождения пакетов через iptables - полную, включающую xfrm encode и xfrm decode - урл не дам, но вот передо мной лежит печатный вариант под названием "Packet flow in Netfilter". И тогда все становится на свои места. xfrm encode - шифрование пакета, xfrm decode - соответственно расшифровка. xfrm lookup - проверка, подходит ли пакет под политики IPSec.

Под Ваши задачи как раз идет strongswan - на iOS взлетит встроенный, на андроиде есть клиент strongswan (встроенный - отстой), на винде нужно пробовать ShrewSoft. На сайте strongswan зиллион примеров конфигов под все мыслимые случаи и под роадварриор тоже есть.

Решений, кроме как на IPSec и на OpenVPN, Вы вряд ли найдете. На самом деле с роутингом IPSec все не так уж и сложно - достаточно сделать один филиал, остальные клепаются по шаблону, разве только с роадварриорами могут быть вопросы - я-то как раз пробовал железячное решение на микротике и пока отложил в связи с тем, что не было у микротика поддержки IKEv2 - появилась только недавно.