Csalóka. Sokat írnak, vannak screenshotok tömegével, csak éppen a körítés hiányzik. Pl. csinálnék egy VPN-t:
https://docs.opnsense.org/manual/vpnet.html
Felsorol 8 lehetőséget:
Integrated VPN options
Integrated solutions are those that are available within the GUI without installing any additional package or plugin. These include:
-
IPsec
-
OpenVPN (SSL VPN)
Plugin VPN options
Via plugins additional VPN technologies are offered, including:
-
Legacy L2TP & PPTP
-
OpenConnect - SSL VPN client, initially build to connect to commercial vendor appliances like Cisco ASA or Juniper.
-
Stunnel - Provides an easy to setup universal TLS/SSL tunneling service, often used to secure unencrypted protocols.
-
Tinc - Automatic Full Mesh Routing
-
WireGuard - Very simple and fast VPN working with public and private keys.
-
Zerotier
Semmi összehasonlítás, előnyök, hátrányok, sebesség, crypto képességek, routing hogy működik, melyiknél milyen teljesítményű vasra volna szükség milyen sávszél / egyidejű user darabszám mellett, semmi.
Akkor nézzük az IPSEC roadwarrior setup-ját:
https://docs.opnsense.org/manual/how-tos/ipsec-road.html
Ennyit képesek írni róla:
Road Warriors are remote users who need secure access to the companies infrastructure. IPsec Mobile Clients offer a solution that is easy to setup with macOS (native) and is know to work with iOS as well as many Android devices.
For more flexibility use SSL VPNs, OPNsense utilizes OpenVPN for this purpose.
With this example we’ll show you how to configure the Mobile Client Setup in OPNsense and give you configuration examples for:
-
macOS
-
iOS
-
Android
Ok. Első kérdés: mi az a IPSEC Mobile Clients? Az 1 terméknek a neve, vagy általánosságban arra gondol h. 2020 májusban már az elterjedt android és iphone eszközökben egy up-to-date OS-ben már beépítve van hozzá a kliens, nem kell 3rd party-t telepíteni hozzá? Nem derül ki. Egy Windows 7 / 8 / 10 laptop talán nem Road Warrior? Vagy csak egy smartphone lehet roadwarrior?
Aztán a következő sorban:
For the sample we will use a private IP for our WAN connection. This requires us to disable the default block rule on wan to allow private traffic. To do so, go to the Interfaces ‣ [WAN] and uncheck “Block private networks”. (Dont forget to save and apply)
Tehát már az 1. lépéstől egy olyan elbaszott konfig logikáját kell követni, amit kb. a valóságban sehol nem fognak tudni 1:1-ben használni. Mert hát WAN-ra nem privát IP-t állítgatunk otthon, hanem publikusat. De ezt még túl lehetne élni.
Aztán következő:
Firewall Rules Mobile Users
hol állítom be, és mit? Odahány 1 screenshotot, legalább táblázatosan lenne ott hogy melyik mezőbe milyen értéket rakjak. Ha havonta variálják a tűzfal oldal kinézetét, a screenshot-ot 1-2 év után feldughatja az ember, sok sikert kideríteni melyik oszlop mit akart jelenteni (mert persze az oszlopneveket levágta a jóképességű a screenshot-ról, hogy még csak véletlenül se lehessen megfejteni).
Folytatnám a Phase1, 2 paraméterekkel, sehol egy épkézláb mondatnyi magyarázat hogy mit miért, mik a következményei, ezt akkor csináld ha A azt meg akkor ha B, ezzel jól bellassítod, azzal nagyjából minden mobil kliens kompatibilis lesz és így tovább. Folytassam?
Átnyergelek ide:
https://docs.opnsense.org/manual/how-tos/ipsec-rw.html
IPsec: Setup Remote Access
Akkor eddig vajon a Road Warrior-nál mi az isten haragját állíottam be, az tán nem remote access volt? Vagy a 2 cikk komplementere egymásnak? Vagy ez a cikk a teljes kép, a fentebbi meg csak mobil kliensekre érvényes? Mind a 2 cikken végig kell menni a teljes konfighoz, v. elég csak az egyik? Sehol 1 büdös szó nincs erről.
Pás sorral lejjebb:
VPN compatibility
Kiderül, h. Windows kliensekkel ez nem is kompatibilis? Mit jelent az h. "N" ? Not working vagy Not tested? Nagyon nem mindegy.
És ilyen idiótaságok végig akármit megnyitok. Ne vezessen félre, kilóra megvan, csak szart nem ér!
Volt külföldi kolléga előző multi munkahelyen, 100+ oldalas rendszerterveket "csinált" projectekre. Laikusok (kb. az ügyfél managerei) elégedetten hümmögtek mikor átvették, h. jó vastag, meg sok szép színes ábra van benne, biztos jó lesz. Csak éppen mikor 1 hozzáértő (a közvetlen kollégám, az előbbi kókler alatt dolgozott) kinyitotta, és beleolvasott, azonnal kiderült h. copy-paste volt a 95%, amúgy teljesen irrieleváns gyártói doksikból. A saját hozzáadott érték 5% alig volt, az is hibás és sokszor baromságokat képes volt beleírni. De emberünk jól eladta magát ezzel. Végül valamiért elment a cégből, de gondolom maradtak haverjai, ezért tripla pénzért vissza szerződtették külsősként. Hát így megy ez a doksigyártás.