GRE conntrack fail

Ja, a PPTP nem biztonságos. Ki nem tudja? Tudja mindenki. De mit tudsz csinálni akkor, amikor a megbízó (külföldi multi) nem hajlandó a telephelyein mást használni? Semmit. Jó pofát vágsz hozzá. A külföldi multi telephelyein található PPTP szerverekre különböző munkák egyidejű elvégzése miatt több felhasználónak egy időben kellene bejelentkeznie. Egy FreeBSD-alapú, elég drága appliance mögül.

Mit ír erről az appliance nagykönyve?

GRE conntrack fail #1

Cool!

GRE conntrack fail #2

:(

A problémáról egyébként a a pfSense dokumentációja is megemlékezik.

Az appliance gyártója szerint a megoldás:

  • rávenni az ügyfelet, hogy használjon !PPTP-t (szerinted?)

vagy

  • minden, az ügyfél PPTP szerveréhez kapcsolódni akaró klienshez publikus IP-t rendelni (ahahaha, majd akasztok szakajtószám publikus IP-t)

Szopattyú. Kár, hogy ez a fenti dolog már egy 6 ezer forintos, linuxos szappantartónak (ADSL router) sem probléma (PPTP pass through)...

( Dwokfur v | 2014. 06. 23., h – 16:53 )

Linux alatt az iptables conntrack-nak is van tudtommal egy hasonló limitációja.
pfSense alatt nem lehet csinálni passthrough-t az appliance-on?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

> Linux alatt az iptables conntrack-nak is van tudtommal egy hasonló limitációja.

Nincs. A conntrack képes minden kapcsolatnak egyedi connection ID-t adni, és ezek alapján a későbbiekben megkülönböztetni a GRE session-öket akkor is, ha ugyanazon forrás IP-ről mennek ugyanazon cél IP-re.

"Életszerűtlen kerülőmegoldás".

Sajnos vagy nem sajnos, a PPTP/MPPE valóban kényelmes (volt) az egyszerűsége miatt, viszont "jobb helyeken" már annyira sok évvel ezelőtt kihalt, hogy nem feltétlenül várnám el egyetlen $VENDOR-tól sem, hogy 2014-ben nyújtson hozzá támogatást.

Én pl. NetBSD-t használtam PPTP végződtetésre éveken keresztül, aztán valamikor ~10 évvel ezelőtt kissé megdöglött benne a PPTP támogatás. A session létrejön, de gigabit ethernet felett 160kByte/sec-et sikerül vele elérni. Azóta nem találtam rá fejlesztőt, aki hajlandó lenne megjavítani. Egyáltalán, azt sem tudom, hogy a kernel GRE támogatása döglődik, vagy csak a poptop nem szereti valamiért. (nyers tunnelnek IPIP-t szoktam használni, nem GRE-t.) Hasonlóképp, az MPPE korábbiakban kernel modul formájában volt jelen, aztán jött az új kernel modul API, és ezzel vége is lett a dalnak.

A nevezett gyártó termékében alapfunkció a PPTP szerver támogatás. Vagyis a termékéből két kattintással tudsz PPTP szervert csinálni. Kicsit kettős ez így. Ha ennyire hanyagolandó, akkor minek támogatja a szerver oldalon?

A PPTP annyira nem kiveszett, hogy az iOS-ben benne van, a Windowsokban a mai napig benne van (Windows 8.1 Update-ig bezárólag). Talán nem véletlenül.

Igazad van, hogy szabadulni kéne tőle, de egyelőre eléggé esélytelen.

--
trey @ gépház

Az pedig nem arról híres, hogy annyira túlárazott lenne, legalább is a többihez képest. Azért gondoltam a Juniperre, mert az azért el tud szállni. Viszont gyanús volt a pf, mert a kanadai levélben nincs PF a fűzfalban, az egyedi cucc. ( próbáltam kiszedni a BSD shellből a tűzfalszabályokat, de nincs ott benne )

Teoretikusan:
Informatika döntés, domaian group policy és előregyártott profillal install.

Valósan:
Az informatikai és céges oktatás tart olyan fokon, hogy ez sajnos jogos igény, meg kifogás. Meg persze, "már megint az informatikus kavarja a sz*rt" ha változik, jobbul valami.

Erre nincs is több szó.

Most nem az a lényeg, hogy mihez tud. Hanem az, hogy a PPTP azért van még szinte mindenben benne, mert a világon még mindig csillió helyen használják. A Microsoft saját szara. Azoknál a kisebb-nagyobb cégeknél, ahol a VPN kapcsolatot egy Windows szerver terminálta, nagyon nagy az esély arra, hogy ott PPTP van. AD integráltan megoldható, vannak előnyei.

Az OpenVPN és társaival az a probléma, hogy nincs beépített Microsoft kliense. Ugyanez a probléma a mindenféle vendor IPsec szaraival. Saját kliens.

--
trey @ gépház

Tudom, hogy jelen esetben nem segít rajtad, de Windows 7 és Windows 2008r2 óta van rendes beépített szabványos ikev2 ipsec kliens a Windowsokban. Sőt a Windows Phone 8.1-ben is van/lesz. És a Blackberryben 10-ben is van. Android 4-re (root nélkül) létezik Strongswan kliens, illetve Mac Os X -re is. Én ezt használom. Strongswan-al tökéletesen megy, de még OpenBSD iked-vel is.

Egyedül az iOS nem megy ikev2-vel.

"Tudom, hogy jelen esetben nem segít rajtad, de Windows 7 és Windows 2008r2 óta van rendes beépített szabványos ikev2 ipsec kliens a Windowsokban."

Ja, tudom. Ráadásul az az alapértelmezett, arra próbál rá először, hacsak át nem állítod a "Properties -> Security -> Type of VPN" fülön.

És ez valóban nem segít rajtam, aki a kliens oldalon ül és azt kénytelen használni, amit adnak.

--
trey @ gépház

( hrgy84 | 2014. 06. 24., k – 13:02 )

Az nem lehet megoldas, hogy a kozponti firewall terminaljon egy, azaz egy darab PPTP connection-t, es onnet lehessen belatni minden haloba?
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Semmilyen megoldás nem játszik, amiben a másik oldalon bármit is át kellene állítani. 100%-ban rugalmatlanok. Az van, ami van. Felhasználóknak felhasználóneveik és jelszavaik, amikkel telephelyekre tudnak PPTP-vel bejelentkezni. Ezek a telephelyek nem állnak egymással kapcsolatban.

--
trey @ gépház

( Hunger | 2014. 06. 25., sze – 13:28 )

Sajnos ez így van. Natív FreeBSD-n lehet próbálkozni a GRE natolását az IPFW-re bízni (abban van GRE conntrack támogatás), vagy a PF mellett a Frickin PPTP Proxy segítségével tunnelezni az ilyen VPN kapcsolatokat (az viszont néha bugzik).