Sziasztok,
VPN kiépítés két site között:
1. "A" szerver: fix ip cím
- Xen server (2 hálókártya)
eth0: közvetlen internetre néz
eth1: helyi hálózat 192.168.2.0
2. "B" szerver: dinamikus cím
- Xen szerver (2 hálókártya) nat mögött (mikrotik router)
eth0: helyi hálózat 192.168.1.0
eth1: nincs használatban
Kiépítés oka:
Mind a két szerveren található a sok VM mellett, egy-egy telefonközpont amik össze vannak trunkolva "A" szerveren lévő közvetlenül a neten van kint.
Milyen meglepő, 4 hónapot bírt ki anélkül, hogy fel ne törjék.
Cél az lenne, hogy mind a két oldalról elérjék egymást az eszközök VPNen keresztül, mintha egyetlen hálózat lenne csak.
Ehhez szeretnék egy kis útmutatást kérni, ki hogyan indulna neki?
Kis keresgélés után rátaláltam az Openvpn és Openswan nevezetű projektekre.
Melyik felelne meg jobban erre a célra?
(Fő szempont a biztonság)
- 3034 megtekintés
Hozzászólások
Az "A" szerver elé egy mikrotik router és site2site vpn?
- A hozzászóláshoz be kell jelentkezni
"A" szerver a BIXen található.
Három VM ki van rakva közvetlenül az internetre, fix címekkel.
A többi VM le van választva tűzfallal.
Ez mennyire befolyásolja a dolgot?
- A hozzászóláshoz be kell jelentkezni
Mikrotik-ből van x86 is. Végülis futhat ez is virtuális környezetben.
- A hozzászóláshoz be kell jelentkezni
Biztonságban nem látok szignifikáns eltérést konfigurálásban az ipsec igen viccess tud lenni. Hibakeresésben szintén ipsec viszi a pálmát. Néha egy gyártó eltérő verziójú termékei sem kompatibilisek egymással. Ugyanakkor ipari szabványként szokás emlegetni.
Openvpn-t ajánlanám. A megvalósítást el kell döntened. UDP forgalmat javasolok, továbbá l3 megfelelő routinggal és packet filterezéssel, hogy legyen valami biztonság is a dologban.
Ez az én személyes meglátásom, mások majd írnak mást.
- A hozzászóláshoz be kell jelentkezni
PPTP-vel szemben van valami komolyabb ellenérv?
- A hozzászóláshoz be kell jelentkezni
Sima ms-chapv2-vel nem éppen biztonságos.
http://technet.microsoft.com/en-us/security/advisory/2743314
- A hozzászóláshoz be kell jelentkezni
Köszi, tudtam, hogy kevésbé biztonságos, viszont azt nem, hogy létezik hozzá exploit.
OpenVPN-el járó tanúsítványozást viszont szívesen elkerülném, linuxos PPTP PEAP támogatást nem igazán találok.
- A hozzászóláshoz be kell jelentkezni
OpenVPN+static key még megoldás lehet, de igazából ha minkét oldalt te üzemelteted, akkor az IPSEC+PSK is egyszerű, és nem mellesleg ott kernelből megy a crypto, szóval gyorsabb is.
- A hozzászóláshoz be kell jelentkezni
lehet jelszó és felhasználónevet is használni openvpn-nél, nem csak tanúsítványozni.
- A hozzászóláshoz be kell jelentkezni
Azért nem olyan vészesen nehéz az a tanúsítványozás. Elkényelmesedett fotel-informatikusoknak kitalálták már az olyan programokat, mint pl. a gnomint, ahol a komplett CA-d összekattoghatod, és lementheted későbbi használatra egy sqlite adatbázisba. Aztán csak ki kell exportálni 3 tanúsítványt (a CA-t, a szerverét meg a klienst) belőle (persze ezt is grafikusan), és kész.
De lehet passwordözni is, ahogy előttem említették.
- A hozzászóláshoz be kell jelentkezni
tinc
- A hozzászóláshoz be kell jelentkezni
--- nemide
- A hozzászóláshoz be kell jelentkezni
Mar egy jo ideje adnak easy-rsa scriptgyujtemenyt openvpn melle, amivel pillanatok alatt lehet generalni a certeket, es nyilvan is tartja oket.
- A hozzászóláshoz be kell jelentkezni