Задать вопрос
CityCat4

CityCat4

Дома с переломом ноги
Ответы пользователя по тегу VPN

  • Как запретить ICMP трафик к своему VPN серверу на windows?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Тему анонимности в интернете тут уже неоднократно рассматривали. Так вот - ее нет. Просто нет и все и быть не может :) Потому что Ваш провайдер не просто знает, к каким серверам Вы обращались, но и сливает это куда надо (причем не по своей воле - ему положено).
    А запрещать ICMP для большей анонимности - это примерно как выбить зубы, чтобы не бояться бормашины :)
    Ответ написан
    2 комментария
    2 комментария

  • Как настроить VPN сервер для iOS/Andoid устройств на CentOS?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Если только стандартный клиент андроида - только pptp. IPSec, который там якобы есть, на самом деле не работает - по крайней мере мне не удалось его спарить ни с StrongSwan на линухе ни с Racoon на микротике - не работает и все. Возникают какие-то нелепые ошибки. Кроме стандартного пробовало еще TheGreenBow IPSec клиент - но тот тоже не работает.
    Можно установить StrongSwan клиента на андроид - с линухом работать будет, вариант проверенный, правда проверял с сертификатами. Могу даже конфигами поделиться для StrongSwan на сервере, настройки клиента тривиальные.
    Ответ написан
    5 комментариев
    5 комментариев

  • Как обеспечить полную анонимность в интернете?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    OMG, ну почему тут с такой завидной регулярностью всплывают такие вопросы? При той модели нарушителя, что у Вас - а по ней им является государство - нельзя. Ни тор, ни два тора, ни даже бублик Вас не спасут.

    Вы включили роутер - и у провайдера есть отметка "Нода Х включила оборудование связи". Вы вышли в тор - и у провайдера есть отметка "Нода Х подключилась к серверу Tor". Если роутер делает еще что-то, даже мелочь - время обновляет, новые версии прошивки проверяет - все это будет записано у провайдера. Вы выключили роутер - у провайдера отметка "Нода Х провела в сети Tor столько-то времени". Если государство Вами заинтересовалось - оно получило эту информацию и не тратя лишнего времени, послало к Вам парочку людей в черных костюмах. Защиты от терморектального криптоанализа пока не придумано, поэтому Вы сами, добровольно и с песней, сдадите все свои ключи, расскажете куда ходили и т.д.
    Ответ написан
    18 комментариев
    18 комментариев

  • Есть ли анонимные VPN сервера в России?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Это Вы типа анекдот записали - "анонимный VPN в России"? В свете принимаемых законов и общей тенденции к полному контролю за Сетью в России, сдачей ключей шифрования известно куда и т.д.?

    "Нет, сынок, это фантастика..." (С)
    Ответ написан
    Комментировать
    Комментировать

  • Проблема с виртуализацией на esxi, не видно сетевые сервисы в чем проблема?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Сетевок сколько - больше одной? IP на management настроен? Пофиг, что бесплатная, все равно management port подымается, чтобы толстым клиентом с винды или браузеркой рулить хостом. Если сетевка одна, проверьте, что виртуальная карта связана с реальной (vSwitch для единственной карты создается автоматически). Если сетевок больше одной - нужно на вторую создать vSwitch, настроить ему IP и привязать виртуальную карту.

    Биндить на 127.0.0.1 бесполезно, это обычно делается для того, чтобы попасть на сервер можно было только с него же - с консоли, с веб-сервера etc. Биндить нужно на IP, который выделен на сетевуху или же вообще не биндить конкретный IP - обычно в таком случае слушают все адреса.
    Ответ написан
    5 комментариев
    5 комментариев

  • Как построить IPSec VPN с одним пиром в разные подсети?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги

    Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...


    Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.
    Ответ написан
    Комментировать
    Комментировать

  • Где найти хороший VPN для Android?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Если брать чистый IPSec, то клиентов - фиг да маленько. Есть стандартный клиент, встроенный в Андроид, Есть Strongswan. Есть TheGreenBow - платный, ломаного нет даже на 4PDA (если есть - буду очень рад ссылке в мыло). Есть клиенты, работающие только с специфичным железом - NCP, например.
    С микротиком, например, запустить не удалось ни одного. С линухом (strongswan) клиент от strongswan заработал. Да, аутентификация всюду по сертификатам, по PSK может будет работать, не проверял.
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
    Именно политики увязывают вирутальные подсети и туннель.
    То есть если на пальцах, что происходит после того, как соединение есть.
    1. Входящий пакет.
    Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
    2. Исходящий пакет
    Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
    Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.
    Ответ написан
    6 комментариев
    6 комментариев

  • Что используется для VPN на практике?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Изучение каталога велосипедных деталей или даже разборка-сборка велосипеда не сформируют навык езды на нем. Построение VPN - это технология. Что брать, где настраивать, что куда вписывать. Достаточно один раз это проделать - и следующий раз делается на автомате. Это не конечная задача. Конечно задачей может быть "синхронизация между DC филиала и DC офиса", а VPN - всего лишь средство, это обеспечиввающее.
    Пример с мостом в ответе SyavaSyava - замечательный.
    Ответ написан
    Комментировать
    Комментировать

  • Как назвать клиента правильно в openVpn при генерации ключа?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Любое. Но если планируется много клиентов, лучше сразу предусмотреть некую систему обозначений какого-то деления, чтобы потом проще было ориентироваться.
    Ответ написан
    3 комментария
    3 комментария

  • Как исправить ошибку при подключении клиента к VPN(ipsec+ikev2)?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

    Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow
    conn any-deltahwCA-rsa-sleepycat
        auto=add
        left=1.2.3.4
        leftid="<здесь subject сертификата сервера>"
        leftauth=pubkey
        leftcert=servercert.crt
        leftsubnet=10.1.1.0/24
        leftca="<здесь subject СA, выдавшего сертификат серверу>"
        leftfirewall=yes
        leftdns=10.1.1.1,10.1.1.4
        right=%any
        rightallowany=yes
        rightsourceip=10.1.1.28-10.1.1.30
        rightid="<здесь subject сертификата винды>"
        rightcert=windacert.crt
        rightauth=pubkey
        rightca="<здесь subject CA выдавшего сертификат винде>"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
        ikelifetime=2h
        lifetime=1h


    Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона
    Ответ написан
    3 комментария
    3 комментария

  • Трафик идет мимо VPN. Как настроить правильно?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Телепаты в отпуске :) Бессрочном. Что за VPN, каким образом подключение, что происходит... Правильный вопрос - половина ответа.
    Вывод ifconfig будет не лишним.
    Ответ написан
    Комментировать
    Комментировать

  • RDP через проброшенный порт или VPN, что опаснее?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Поднять VPN на шлюзе, где нет винды. RDP на винду - это вектор атаки.
    Ответ написан
    3 комментария
    3 комментария

  • Как подключиться к VPN на уровне роутера?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    TP-Link - "экономичное" железо, оно рассчитано на неприятазтельных пользователей, не знающих что такое "сертификат". Соответственно, роутер просто не поддерживает аутентификацию по сертификатам. И все. Для использования сертификата нужен другой роутер.
    Ответ написан
    Комментировать
    Комментировать

  • Какой выбрать маршрутизатор для офиса в 100 человек?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Микротик однозначно. SNMP есть. Мониторинг есть. Файрволл - линуховый iptables, слегка расширенный, можно использовать все линуховые схемы для прохождения пакетов. Правда, без знания как пакеты идут через iptables все равно микротиковский файрволл освоить будет трудновато.

    Что же до pfSense, то хрен редьки не слаще - он основан на FreeBSD и pf. Человек, не рубящий в линухе, вряд ли справится с FreeBSD :-)
    Ответ написан
    4 комментария
    4 комментария

  • Как обойти блокировку VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Нет. Против лома нет приема. Только уход с GRE на OpenVPN/IPSec.
    Это к сожалению тенденция - многие "супер-провайдеры" начали в последнее время блокировать GRE, а также порт 1723, мотивируя это разными нелепыми причинами. МТС, например, в ответ на вопрос "Почему заблокирован порт 1723" бормочет что-то про повышенную нагрузку на оборудование. Причем, если купить у них услугу белого IP, повышенная нагрузка чудесным образом испаряется...
    Ответ написан
    Комментировать
    Комментировать

  • Что делать если провайдер выдает серый ip?

    CityCat4
    @CityCat4 Куратор тега VPN
    Дома с переломом ноги
    Наиболее простое решение предлагает АртемЪ. Я за данное решение.
    Почему все остальное - ерунда? Потому что инициация соединения будет делаться из дома. Если VPN нужен для того, чтобы с работы заходить домой, когда надо (а надо может быть постоянно, например у меня на работе постоянно висит RDP до домашнего сервака), то что произойдет, когда роутер дома рестартанет?. А произойдет невозможность перезапустить VPN, не вернувшись домой. Что произойдет, когда будет белый IP? Просто зашел на веб-морду или по ssh - и сделал что надо.
    Ответ написан
    Комментировать
    Комментировать