Ответы пользователя по тегу VPN
  • Что лучше будет: - железный впн или программный?

    @res2001
    Developer, ex-admin
    Вы должны понимать, что "железный" в вашем примере - это не ВПН реализованный в "чипе". В микротиках есть свой процессор, на котором крутится операционная система, ВПН там реализуется точно так же как и программный вариант, даже с высокой вероятностью используется то же самое ПО, которое вы бы использовали в программном варианте. Но часто производители железок модифицируют ПО под свое понимание проблемы и какой-то функционал, который работает в стандартном варианте в железке работает не так или не работает вовсе. У некоторых производителей железок есть своя собственная реализация ВПН.

    Но если вы плохо разбираетесь в теме (или у вас нет человека разбирающегося в теме), то есть смысл использовать ВПН встроенный в роутер. Там по крайней мере из коробки обычно есть более-менее сносный веб интерфейс и настроить ВПН в принципе не сложно.

    Впрочем в "программном" варианте можно то же прикрутить интерфейс и возможностей по настройке больше, но это потребует более глубоких знаний.

    Кстати, никто не запрещает делать "гибридный" ВПН. Если в железке ВПН реализован с использованием каких-то стандартных протоколов, то вы можете использовать и его программный вариант в тех точках где это будет удобно, а в других местах использовать "железный" ВПН. В общем нет никакого смысла себя загонять в рамки железный/программный - действуйте по обстоятельствам.

    На счет белых IP - для ВПН вам понадобится хотя бы 1 белый статический адрес, на нем вы развернете ВПН сервер. Можно использовать схему динамический белый адрес + DDNS, но это так себе идея. ВПН клиенты могут использовать серые адреса. Под ВПН сервер вы можете арендовать VPS или развернуть его где-то на своей площадке где уже есть белый адрес.
    Ответ написан
  • Как настроить маршрутизацию клиентов из LAN через VPN, а самого устройства через провайдера?

    @res2001
    Developer, ex-admin
    Вам просто нужно на малинке добавить статический маршрут до вашего DNS провайдера, куда ходит AdGuard. Маршрут этот должен быть через DNS вашего оператора связи (или что там у вас сейчас в качестве шлюза по умолчанию без поднятого ВПН).
    Никаких сложных телодвижений с настройкой фаервола не требуется.
    Ответ написан
  • Как конвертировать socks5 в openvpn?

    @res2001
    Developer, ex-admin
    Абстрагируясь от текста (т.к. мало поясняет схему и смысл) и предполагая, что клиент будет на смарте с openvpn, то схему можно детализировать так:
    Смартфон с openvpn клиентом -> что-то с openvpn сервером + socks5 -> интернет
    Таким образом на клиентском смарте поднимаем соединение openvpn, далее в браузере (или что там у вас ходит через socks5) прописываем адрес прокси как внутренний ВПН адрес openvpn сервера. Работаем.
    Ответ написан
  • VPN и защита от вирусов?

    @res2001
    Developer, ex-admin
    ВПН порты не ограничивает. Для этого везде есть фаерволы, зачем ВПНу лезть в чужой огород?
    ВПН никак не влияет на распространение вирусов. Он вообще не про вирусы.
    От вирусов помогают следующие мероприятия (именно в таком порядке приоритета):
    1. ограниченные права пользователей на рабочих компьютерах и серверах. Это вообще самое важное во всей борьбе с вирусами. Выполнение этого условия добавит 100500 баллов в безопасность сети. А не выполнение - сделает бессмысленными все остальные телодвижения.
    2. правильно настроенный корпоративный фаервол (блокирующий все, кроме разрешенного трафика)
    3. установленный на все раб.места и сервера обновляемый нормальный антивирус
    4. все что придумаете дополнительно :-)

    Я вижу только один вариант VPN с пробросом одного единственного порта RDP

    Если RDP дополнительно не ограничивать, то теоретически вирус сможет и через него проникнуть в корпоративную сеть. Нужно на сервере RDP запретить маппинг дисков клиента на сервер, запретить клипбоард мжеду клиентским ПК и удаленным, отрезать юзеру руки :-)
    Ответ написан
  • Как для OpenVPN установить исходящий IP (на сервере их несколько)?

    @res2001
    Developer, ex-admin
    В конфиге OpenVPN задайте опцию local - в ней укажите, какой адрес будет слушать OpenVPN для приема входящих подключений.
    По умолчанию слушает все адреса.
    Ответ написан
  • Можно ли просматривать список посещенных сайтов и действия пользователя, если использовать в компании OpenVPN?

    @res2001
    Developer, ex-admin
    Любые ВПН вообще и OpenVPN в частности не имеют отношения к вашим хотелкам. Вы можете делать это с ВПН или делать без ВПН - как угодно. Для этого используется другое ПО никак не связанное с ВПН. Оно работает на уровне выше, чем работает ВПН.
    Ответ написан
  • Как перенаправить весь трафик на интерфейс VPN?

    @res2001
    Developer, ex-admin
    1. Добавить маршрут до внешнего адреса ВПН сервера через текущий шлюз по умолчанию
    2. Удалить текущий маршрут по умолчанию (0.0.0.0)
    3. Добавить новый маршрут по умолчанию через внутренний адреса ВПН сервера.
    Когда ВПН соединение разрывается необходимо все вернуть назад.
    Ответ написан
  • Как подключиться к VPN на VPS Windows Server 2012 R2?

    @res2001
    Developer, ex-admin
    При чем тут openvpn?
    Причину вы понимаете не правильно - ВПН создает новый виртуальный сетевой адаптер, его IP ни с чем не конфликтует (хотя теоретически может, но это достаточно редкий случай).
    Ваша ситуация похожа на наиболее частую ошибку, когда ВПН соединение перезаписывает "шлюз по умолчанию" на клиенте. Это поведение обычно можно отключать. Как именно зависит от используемого варианта ВПН.
    Ответ написан
  • Отключается VPN при подключении сторонней сессии RDP --?

    @res2001
    Developer, ex-admin
    Десктопные версии винды однопользовательские (Win10/8/7). Когда подключается второй пользователь у первого должен завершиться его сеанс. Завершился сеанс - все запущенные в сеансе программы так же завершаются.
    В серверных версиях винды такого ограничения нет.
    Ответ написан
  • OpenVPN подойдёт для массового использования?

    @res2001
    Developer, ex-admin
    OpenVPN однопоточный, на такой нагрузке нужно будет запускать несколько инстансов на разных портах и балансировать пользователей между ними (это поддерживается в клиентской конфигурации).
    А дальше нужно смотреть на ваш трафик.

    Вообще для большой нагрузки я бы взял что-то реализованное в ядре - IPSec.
    Вот выше dimonchik2013 дал ссылку на WireGuard. Первый раз о нем слышу, какой-то новый продукт. Судя по статье для линукс есть ядерная реализация, но она еще не включена в состав ядра.
    Ответ написан
  • Почему один клиент не подключается к OpenVpN?

    @res2001
    Developer, ex-admin
    Чем не устраивает официальная версия, если на ней все работает? Зачем вам
    исходник на android
    . В любом случае любой
    исходник на android
    будет только оболочкой над оригинальным OpenVPN, исходники которого никто не скрывает.

    Кстати, вас не смущает, что в конфиге вы засветили приватный ключ пользователя? Ключи можно было бы и вырезать.

    TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    TLS Error: TLS handshake failed

    говорит о том, что за скорее всего у вас проблемы со связью. Т.е. клиент не видит сервер по сети. Возможно сервер не доступен. Возможно у клиента проблемы с обменом по UDP, попробуйте перевести OpenVPN на TCP. Лично я сталкивался с тем, что некоторые клиенты, по независящим от них причинам не могут подключиться по UDP. Для обхода этой проблемы я поднял "резервный" openvpn на TCP на порту 443.
    Хорошо бы протестировать доступность порта сервера другими способами именно с этого проблемного клиента.

    Если бы проблема была в криптографии, то ошибки были бы другого рода.
    Ответ написан
  • Может ли отследить меня провайдер, если я буду под VPN?

    @res2001
    Developer, ex-admin
    3.Если ВПН сервер физически не на Украине, то провайдер не узнает, какой у вас трафик внутри ВПН.
    Не ну теоретически может что-то узнать, если подключить СБУ. Но тут вы должны быть интересны СБУ, а не провайдеру, а это уже совсем другая история.
    По остальным вопросам сказать не чего, т.к. я не с Украины.
    Ответ написан
  • Как запустить bat-файл с правами администратора ДО входа пользователя в систему?

    @res2001
    Developer, ex-admin
    Самый нормальный вариант запустить ВПН клиент в качестве службы.
    Другой вполне годный вариант - поставить запуск батника в шедулер на старт компьютера.
    Ответ написан
  • Выбор VPN решения (VPS)?

    @res2001
    Developer, ex-admin
    С веб мордой вряд ли что-то найдете. Разве что на VPS воткнете что-то типа pfsence или аналогов.
    Я голосую за openvpn :-)
    Ответ написан
  • Как настроить OpenVPN для работы в LAN из WAN?

    @res2001
    Developer, ex-admin
    А у вас компы внутри сети знают про маршрут к ВПН клиенту?
    Это работает сразу только в случае, если ВПН сервер является одновременно и шлюзом по умолчанию для компов внутри сети. На сколько я понимаю, это не ваш случай. Если это так, то нужно на компах прописать маршрут к ВПН сети и шлюзом указать внутренний адрес ВПН сервера. Маршруты можете прописывать любым доступным способом: руками, через DHCP, через GPO ...
    Ответ написан
  • Как пробросить порт через VPN туннель между двумя Mikrotik?

    @res2001
    Developer, ex-admin
    маршруты до сетей прописаны, локальные сети между собой взаимодействуют

    Если это так, то локальный адрес веб сервера должен быть доступен из второй сети. Не нужно ничего пробрасывать. Все работает.
    Если веб сервер не доступен, то что вы имели ввиду под этой фразой? Какой-то противоречие тут.

    Проверьте маршрутизацию пакетов от веб сервера до клиента во второй сети и наоборот.
    Обычно при использовании ВПН у народа возникает недопонимание, что ВПН это только 1 канал от 1 клиента к 1 серверу, что бы заработали между собой сети за клиентом и сервером, нужно просто правильно настроить маршрутизацию. Частичто с этим могут помочь настройки ВПН клиента или сервера, но не во всех случаях и не для всех реализаций ВПН. IPSec ВПН явно не из числа реализаций, которые что-то за вас будут делать.
    Ответ написан
  • Разъясните пожалуйста как работает VPN (UDP и TCP)?

    @res2001
    Developer, ex-admin
    Софт ВПН создает виртуальный сетевой адаптер, который с точки зрения пользователя работает так же как все остальные железные, т.е. по нему может ходить любой трафик (не только TCP/UDP).
    После того как любой трафик попадает в виртуальный сетевой адаптер он шифруется и отправляется на ВПН сервер. Для отправки как раз используется TCP или UDP, который вы настроили в конфиге OpenVPN. На ВПН сервере зашифрованные пакеты расшифровывваются и к ним применяются обычные правила маршрутизации TCP/IP, после чего расшифрованные пакеты попадают клиентским приложениям.
    От себя добавлю, что OpenVPN по UDP более "отзывчив" и более приспособлен к работе на плохих каналах связи.
    Ответ написан
  • VPN маршрутизация на Windows возможно ли?

    @res2001
    Developer, ex-admin
    Зачем вам server-bridge? Ниразу не видел openvpn работающий в этом режиме. Ну может оно и работает ...
    Режим topology subnet + server наше все.
    В общем когда ВПН клиент подключится к серверу останется только правильно настроить таблицы маршрутизации на ВСЕХ участниках обмена.
    Ответ написан