Zyxel USG FLEX 200 VPN

Hálózati eszközök

Adott a fent emlitett eszköz,dual wan módban  2db internet elöfizetéssel.

Elvileg a két "cégnek" független  internet elérése lenne de a wifi miatt amit közösen használnak VLAN-ok lettek kialakitva mivel az AP-k minden SSID-t szórnak és a VLAN szabály folytán küldik a csomagokat a megfelelö GW irányba.

A "cég 1"-nek L2TP vpn üzemel hosszú ideje tökéletesen de most a "cég 2" nek is szüksége lenne vpn-re,szintén L2TP  de valami oknál fogva  a Zyxel-nél elakad.

Magyarul  a cég 2 vpn a "saját" internetjén bonyolitsa le a forgalmat

Sajnos a logok semmit nem mondanak

Valakinek akad e épitö jellegü ötlete?

Köszönettel

  • 437 megtekintés

( lcseh | 2023. 09. 14., cs – 17:59 )

Két észrevétel:

 

Az L2TP kikopik lassan a biztonsági szintje miatt.
Ha IPSec-re váltasz, praktikusan IKEv2-re (StrongSwan kliens ugyanúgy ingyenes és megy Androidon is, ráadásul a cerificate-es verzió biztonságosabb a PSK-nál), akkor is csak 1 db client-2-site VPN tunneled lehet. Emiatt megoldandó a problémádat (bár én erre 2 tűzfalat használnék külön APk-kal, de értem a szitut) egy út áll előtted, bekapcsolni a  WEB Authentication-t.
Ezzel azonosítasz mindenkit aki kimenne az internetre user szinten, ergo policy route-ot és tűzfalszabályt is alkothatsz user alapon. Más megoldást nem látok, közös lónak mindig túrós a háta. Aki VPN-en megy be, eleve authentikál a felhasználónevével, azokat is meg tudod onnantól kezdve különböztetni.

Remélem tudtam segíteni.

Egyáltalán nem keverem, a ppptp nem is minősül VPN-nek hiszen nincs titkosítás. Az L2TP valóban IPSec fölött megy, de a bedródozott kliensek miatt a legtöbb esetben csak 3DES SHA1 kombinációt használ. Azért ezt ne tekintsük már korszerűnek vagy megbízhatónak 2023-ban. Az Androidban meg is szűnt a támogatása.

Hogyne lenne a PPTP-n titkosítás, pláne Windows-on, csak a titkosítás minősége a kérdéses, illetve hát na... Az L2TP-n választhatsz titkosítást, hogy ha a kliens támogat ilyet, szal oda kell figyelni igen, de ilyen általános kijelentéseket kár tenni. "A legtöbb esetben" a tipikus esete annak, hogy nem a technológia a problémás, hanem ha rosszul használják, nem figyelnek.

2017-es cikk: https://community.ui.com/questions/L2TP-VPN-Windows-10-AES256-Encryptio…

https://resources.infosecinstitute.com/topics/general-security/the-pptp…

"For instance, studies have found that brute-forcing PPTP encryption has become almost trivially simple. At Defcon 2012, hacking group CloudCracker showed that MS-CHAPv2 (the updated CHAP for PPTP) could easily be gamed. There is no need to employ an array of powerful computers, and the process doesn't take long. Sure, it requires technical knowledge, but that's not in short supply among cybercriminals."

Ez a valós probléma a PPTP-vel, mert hiába titkosított, hogy ha alacsony belépési szint kell a visszafejtéshez.

Nem kell védeni az L2TP-t, jó volt 10 évvel ezelőtt, mert az RC4-nél többet nyújt, de amíg az összes Windows/Android/IOS kliens kötött beállítást használ 3DES/SHA1-el, én nem használnám komoly helyeken. Ráadásul az NSA bevallottan tud e-két backdoorjáról...A MAC talán több titkosítást kezel. 

(használom egyetlen egy helyen, mert még nem sikerült áttérni IKEv2-re, de lassan áttérek.)

Megint ez a látnoki dolog. A fene se védte egyiket sem, és terelsz.

A VPN protokolt hívhatod bárhogy, a lényeg a titkosítás amit használ. A PPTP-ről kiderült, hogy gázos, már legalább 10 éve. Az L2TP hiába sokszor 3DES ettől még rendesen beállítható. Gondolom az IKEv2-t szintén rendesen beállítod, nem biztos, hogy by default jó lesz. Egyébként nem elhanyagolható, hogy melyik eszköz melyik titkosítási protokolhoz tud hw gyorsítást.

Egyébként ifjúkoromban épp ZyWall dobozok között hoztam össze ittott VPN-t, ott eleve site-to-site VPN volt. Egy road warrior témában nem annyira egyszerű a történet. Windows világban az SSTP (mint protokol, nem mint titkosítás) megváltás volt, mert egyszerű TCP kapcsolatként áthalad kb. mindenhol. Ez az L2TP, PPTP és más varázslatoknál a "carrier grade" és társai nat-oknál már nem volt egyszerű.

SSTP fronton azért nem olyan rossz a cipher felhozatal: https://learn.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-sui…

Egyébként nem kell a VPN mélységébe menni. A TLS 1 és 1.1 protokol hiba miatti kivezetését ugye nem két perce kezdték el. Nos naponta futunk bele konkrét hisztibe, mert az N éve (N > 2-3) nem támogatott OS-ével nem tud TLS 1.2 vagy nagyobbat összehozni. Ettől persze még aki teheti, az legyen AES256 ahol csak bír.

( ggallo | 2023. 09. 15., p – 12:01 )

Mi lenne, ha mindkét cégnek lenne saját router-e a saját internet kapcsolatához, és a vlan-okat kezelő router a megfelelő vlan forgalmát a megfelelő cég router-e felé irányítaná.

Onnantól teljesen különválna a két cég internet elérése, csak a wifi hálózat a közös pont fizikailag, de a vlan-ok miatt logikailag az is külön-külön csatlakozna a saját router-éhez.

Hát, az OP két cégről beszél, aki közös Wifi hardvert használ valami helyi adottság miatt. Szó nem volt spórolásról vagy egyéb korlátról (egyelőre).

  1. Két cég van. Az mindenben kétszer több pénz, nem csak tűzfalban, Hacsak nem ugyan azon emberek, egyetlen fizetésért dolgoznak mindkettőben, ugyanazon eszközökkel.
  2. Kétszer több AP nem kell, azt írtam, hogy az AP vonalon marad a VLAN-ozás, és a megfelelő VLAN-ok a megfelelő céges router-re mennek tovább (közös router helyett)
  3. A két cég miatt most is megvan a kétszer több adminisztráció - attól még, hogy fizikailag 1 eszköz van. Sőt, mint a kérdés is mutatja, már több baj van vele, mintha két külön eszköz lenne.

Köszönöm a hozzászólásokat!

A kérdés tulajdonképpen Zyxel specifikus lenne  mert ott van a kutya elásva.

Több ügyfélnél is belefutottunk ugyanebbe amikor "hirtelen" 2 VPN  elérés kell .

Cisco (light) dual wan routerekkel simán müködik  ,tulképpen egy 1.0 user képes beállitani .

Sajnos (?) hardware (router) cserére nincs lehetöség és nem is  lenne indokolt ,vagy valami elcseszett beállitási trükköt nem veszünk észre  avagy firmware szinten rontottak el valamit ismét a Zyxelnél.

Zolee001