Задать вопрос
CityCat4

CityCat4

Внимание! Изменился адрес почты!
Ответы пользователя по тегу VPN

  • На сколько надежны VPN-протоколы PPTP и L2TP?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Ничего не понятно. Кому получить, как получить, откуда получить. Вы, блин, сценарий атаки сначала распишите нормально и модель нарушителя укажите - кто пытается получить? У государства есть логи, всегда, если сервер физически в РФ (это так, JFYI)
    Ответ написан
    Комментировать
    Комментировать

  • VPN: "свой" vs готовое решение?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Разумеется только свой. Здесь по крайней мере будет гарантия (не 100% конечно, но все же) от утечки логов (лог с твоей машины еслиф че и пров может отдать).
    А заблокировать можно все - дурацкое дело нехитрое, тем более, что мы не ползем, и даже не едем - мы летим в сторону сегментации тырнета и "белых списков"
    Ответ написан
    4 комментария
    4 комментария

  • Как скомпилировать OpenConnect под Windows?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Потому что работа VPN сервера под виндой - не нубская тема. Проще готовые сборки будет поискать.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как стабилизировать IPsec?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Первое, что приходит на ум - DPD. Если DPD включен, нужно чтобы керио его правильно ловил а не опускал соединение по неактивности (этим грешит racoon)
    второе - при истечении таймаута на 75% заново проводится фаза2, возникает новое SPI, устройства начинают путаться в том, какую SPI использовать и так продолжается до тех пор, пока старая SPI не сдохнет (а это как раз 7 - 10 минут может занять).

    Что можно сделать - посмотреть таймауты по фазам и политику их назначения и если можно забрать на микротики их назначение, может быть прибавить времени, отключить dpd (разумеется это все при наличии возможности это сделать - а то может быть там фиксированный набор настроек)
    Ответ написан
    Комментировать
    Комментировать

  • Прошу помощи. Как настроить IPsec VPN XAUTH PSK на Ubuntu?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Примеры с сайта швана уже изучены? Там херова тележка примеров на все случаи жизни. XAUTH используется не часто - на обычный PSK нельзя?
    Ответ написан
    Комментировать
    Комментировать

  • Как правильно организовать впн с промежуточным сервером?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Туннель между серверами А и Б. На сервере А - раздача IP и политики типа "все, что пришло с 1.2.3.4/24 - на сервер Б". На сервере Б политика типа "все, что пришло с 1.2.3.4/24 принять локально" (то есть доставить пакет по таблице маршрутизации, что вынудит сервер Б отправить пакет на свой default gateway).
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить маршрутизацию между двумя ipsec подключениями?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Просмотреть, какие политики сгенерились. Маршрутизация в IPSec - это исключительно политики IPSec. Что показывает ip xfrm policy list?
    Ответ написан
    12 комментариев
    12 комментариев

  • Прошу совета. Какой выбрать VPS для собственного VPN для работы на удалёнке?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Я так думаю, немецкий у Вас на нормальном уровне :) Идете на сайт какого-либо немецкого провайдера и берете там VPS, пойдет самый задрипанский, но только чтобы был честный VPS, а не псевдо с сотней юзеров на одном ядре. Разворачиваете strongswan, роутер видно что не особо модный, но AES256-CBC наверное потащит, составьте proposal так чтобы VPS выбирала протоколы - увидите, что ее устроит.
    Ответ написан
    Комментировать
    Комментировать

  • Как осуществляется шифрование в маршрутизаторе VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Ну добро. Берем конкретную модель - Mikrotik RB4011iGS, 1 SFP+ слот, 10 гигабитных портов, аппаратное шифрование IPSec.
    Конкретно как и чем осуществляется шифрование - это тебе вряд ли кто скажет, кроме инженеров микротика, но если интересно, можешь сравнить результаты тестов с RB2011 например.
    Непосредственно же шифрование выполняется ядром маршрутизатора во время прохождения пакета, попадающего под политику шифрования - лучше всего этот процесс иллюстрирует эта схема (на ней процесс шифрования/дешифровки называется xfrm).
    Для установленного соединения по IPSec есть записи в двух таблицах ядра - SPD (Security Policy Descriptor) и SAD (Security Associations Descriptor). Первая содержит информацию, что шифровать, вторая - как шифровать, а ядро согласно этим данным и работает.
    Ответ написан
    2 комментария
    2 комментария

  • Может ли работодатель увидеть сайты, которые я посещала через впн?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Если с рабочего компа - может не только увидеть, что вызывали, но даже и проследить за процессом и скриншоты приложить к делу.
    Впрочем, если у Вас есть openvpn и никого это не беспокоит, то скорее всего в данном конкретном случае не будет ничего.
    Даже без СМП, только на основе лога прокси поступает запрос проверить трафик такого-то за такой-то интервал. Руководство получает аналитику, вызывает чела к себе и просит обьяснить цель посещения такого-то сайта (где VPN терминируется, например). Не может обьяснить - точно виноват. Вот и вся логика.
    А если есть СМП - то все куда прозаичнее. Вызывают чела, кладут на стол пару распечатанных скринов, где он вводит данные в форму обратного звонка и просят пояснить свои действия.
    Ответ написан
    Комментировать
    Комментировать

  • Проблема с IPsec Mikrotik?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Политика горит красным потому что нет соответствующих настроек Peer и Identity, либо они неверные/неприменимые.
    Вот такой proposal я использую для одной немного больной на голову конторы:
    /ip ipsec proposal
add auth-algorithms=sha256,sha1,md5 enc-algorithms=\
    aes-256-cbc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm lifetime=1h

    Смысл в том, чтобы дать той стороне выбрать и посмотреть, что она выбрала. "Там" у меня циска, и она выбирает auth sha1 и шифронабор aes256-cbc
    А вообще в таких случаях включается лог. Ну и кроме того, уберите пассивку, пусть микротик сам подолбится и посмотрите на ошибки.
    Ответ написан
    Комментировать
    Комментировать

  • Strongwan как сделать еще stronger?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Перейти на сертификаты полностью. Ну и конечно же для начала нужно задать себе вопрос "Кто и каким образом угрожает моей безопасности" (модель нарушителя называется), а то может быть и VPN-то не нужен :)
    Ответ написан
    Комментировать
    Комментировать

  • VPN настроил - что делать дальше?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Не надо ничего делать, все должно быть описано в политиках, которые создает шван. Маршрутизация пакетов с IPSec делается в ядре на основании политик. Единственное, что нужно сделать - указать, чтобы исходящие пакеты не ломались натом, если в них ipsec.
    Ответ написан
    6 комментариев
    6 комментариев

  • Как настроить переключение VPN туннеля между провайдерами?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Йоу, я тут недавно нашел шикарную статью про организацию работы двух каналов на микротике.
    Ответ написан
    4 комментария
    4 комментария

  • Как выбрать роутер поддерживающий VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    хотелось бы чтобы эти протоколы функционировали в полном виде, а не в усеченном (как например Microtic

    Чо? Ну-ка назови, чего не хватает в IPSec на микротике, из того, что может понадобиться?
    Ответ написан
    2 комментария
    2 комментария

  • Возможно ли поднять локальный VPN на Android?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Реально, конечно, если у Вас есть статический белый IP на телефоне, что для физиков скорее всего будет проблемой (юрикам вроде бы дают, про физиков врать не буду - не знаю)
    Ответ написан
    Комментировать
    Комментировать

  • Для чего правило mangle в микротик?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Для избирательной маркировки пакетов. Чтобы потом не писать вязанку однотипных правил в filter, а сделать все одним.
    Ответ написан
    Комментировать
    Комментировать

  • Как на VPS обойти блокировку Роскомнадозора?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Просто разместить там сайт.

    Но:

    Блокируется не VPS. Сайт на VPS будет прекрасно работать, но доступа к нему в РФ, например - не будет. Потому что блокируется доступ у клиента.
    Почему? РКН не может дотянуться до провайдера VPS и "убедить" его заблокировать VPS, поэтому он просто блокирует доступ к нему. Так вот и блокировка и обход оной - это задача для юзера, а не для админа. Вы ничего с РКН сделать не можете.
    Ответ написан
    5 комментариев
    5 комментариев

  • Почему не могу зайти на заблокированные сайты через VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Я так предполагаю, что DNS у Вас ходит через провайдера и провайдер Вам и подсовывает каку. Запросы DNS нужно отправлять в туннель до того момента, как они покидают локалку - то есть в момент ухода пакета к прову, он уже должен быть пакетом в сторону VPN, а не запросом DNS.
    Ответ написан
    1 комментарий
    1 комментарий

  • Почему не получается авторизоваться в vpn на ike2?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Я с этой фигней бьюсь уже достаточно долго, но так пока одолеть и не смог. Обидно что - однажды оно у меня работало, не с winX правда, а с win7 - а потом перестало и я понять ничего не могу, почему. Пока можно считать, что IPSec винда - микротик например (не знаю, что у Вас со второй стороны) на IKEv2 просто не работает.
    АртемЪ , "неприемлемые учетные данные" - это сообщает винда. На самом деле, там данные приемлемные, проблема возникает на второй стороне, но почему - пока непонятно. Не все, что крякает как утка и плавает как утка - является уткой...
    Ответ написан
    2 комментария
    2 комментария