Задать вопрос
CityCat4

CityCat4

//COPY01 EXEC PGM=IEBGENER
Ответы пользователя по тегу VPN

  • Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
    Именно политики увязывают вирутальные подсети и туннель.
    То есть если на пальцах, что происходит после того, как соединение есть.
    1. Входящий пакет.
    Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
    2. Исходящий пакет
    Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
    Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.
    Ответ написан
    6 комментариев
    6 комментариев

  • Что используется для VPN на практике?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Изучение каталога велосипедных деталей или даже разборка-сборка велосипеда не сформируют навык езды на нем. Построение VPN - это технология. Что брать, где настраивать, что куда вписывать. Достаточно один раз это проделать - и следующий раз делается на автомате. Это не конечная задача. Конечно задачей может быть "синхронизация между DC филиала и DC офиса", а VPN - всего лишь средство, это обеспечиввающее.
    Пример с мостом в ответе SyavaSyava - замечательный.
    Ответ написан
    Комментировать
    Комментировать

  • Как назвать клиента правильно в openVpn при генерации ключа?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Любое. Но если планируется много клиентов, лучше сразу предусмотреть некую систему обозначений какого-то деления, чтобы потом проще было ориентироваться.
    Ответ написан
    3 комментария
    3 комментария

  • Как исправить ошибку при подключении клиента к VPN(ipsec+ikev2)?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

    Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow
    conn any-deltahwCA-rsa-sleepycat
        auto=add
        left=1.2.3.4
        leftid="<здесь subject сертификата сервера>"
        leftauth=pubkey
        leftcert=servercert.crt
        leftsubnet=10.1.1.0/24
        leftca="<здесь subject СA, выдавшего сертификат серверу>"
        leftfirewall=yes
        leftdns=10.1.1.1,10.1.1.4
        right=%any
        rightallowany=yes
        rightsourceip=10.1.1.28-10.1.1.30
        rightid="<здесь subject сертификата винды>"
        rightcert=windacert.crt
        rightauth=pubkey
        rightca="<здесь subject CA выдавшего сертификат винде>"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
        ikelifetime=2h
        lifetime=1h


    Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона
    Ответ написан
    3 комментария
    3 комментария

  • Трафик идет мимо VPN. Как настроить правильно?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Телепаты в отпуске :) Бессрочном. Что за VPN, каким образом подключение, что происходит... Правильный вопрос - половина ответа.
    Вывод ifconfig будет не лишним.
    Ответ написан
    Комментировать
    Комментировать

  • RDP через проброшенный порт или VPN, что опаснее?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Поднять VPN на шлюзе, где нет винды. RDP на винду - это вектор атаки.
    Ответ написан
    3 комментария
    3 комментария

  • Как подключиться к VPN на уровне роутера?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    TP-Link - "экономичное" железо, оно рассчитано на неприятазтельных пользователей, не знающих что такое "сертификат". Соответственно, роутер просто не поддерживает аутентификацию по сертификатам. И все. Для использования сертификата нужен другой роутер.
    Ответ написан
    Комментировать
    Комментировать

  • Какой выбрать маршрутизатор для офиса в 100 человек?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Микротик однозначно. SNMP есть. Мониторинг есть. Файрволл - линуховый iptables, слегка расширенный, можно использовать все линуховые схемы для прохождения пакетов. Правда, без знания как пакеты идут через iptables все равно микротиковский файрволл освоить будет трудновато.

    Что же до pfSense, то хрен редьки не слаще - он основан на FreeBSD и pf. Человек, не рубящий в линухе, вряд ли справится с FreeBSD :-)
    Ответ написан
    4 комментария
    4 комментария

  • Как обойти блокировку VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Нет. Против лома нет приема. Только уход с GRE на OpenVPN/IPSec.
    Это к сожалению тенденция - многие "супер-провайдеры" начали в последнее время блокировать GRE, а также порт 1723, мотивируя это разными нелепыми причинами. МТС, например, в ответ на вопрос "Почему заблокирован порт 1723" бормочет что-то про повышенную нагрузку на оборудование. Причем, если купить у них услугу белого IP, повышенная нагрузка чудесным образом испаряется...
    Ответ написан
    Комментировать
    Комментировать

  • Что делать если провайдер выдает серый ip?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Наиболее простое решение предлагает АртемЪ. Я за данное решение.
    Почему все остальное - ерунда? Потому что инициация соединения будет делаться из дома. Если VPN нужен для того, чтобы с работы заходить домой, когда надо (а надо может быть постоянно, например у меня на работе постоянно висит RDP до домашнего сервака), то что произойдет, когда роутер дома рестартанет?. А произойдет невозможность перезапустить VPN, не вернувшись домой. Что произойдет, когда будет белый IP? Просто зашел на веб-морду или по ssh - и сделал что надо.
    Ответ написан
    Комментировать
    Комментировать