Site-to-site VPN Windowson

Microsoft Windows

Van egy iroda egy NAT-olós routerrel (a routernek fix publikus IP-je van, Linksys RV082), mögötte pár szerver, privát IP tartománnyal. Az lenne a feladat, hogy az egyik szervert egy hostingba tegyük, és az álom az lenne, hogy ez a gép tök egyedül legyen kint, és észre se vegye, hogy máshol van. Tehát lehetőleg ugyanabban a privát IP tartományban kellene lennie, mint most, minél egyszerűbben kell kommunikálnia a többi géppel oda-vissza, és nem kellene a publikus internetet elérnie. Ez ebben a formában biztos lehetetlen, mert ha nem éri el az internetet, akkor VPN-ezni sem tud, illetve általánosságban nem bízok a Windowsba épített tűzfalban, én személy szerint csak NAT-olós router mögött tudok elképzelni bármilyen Windowst. Mit lehet tenni? Hostingokban elfogadott dolog-e, hogy egy szervert routerrel együtt viszek ki, és a két router között hozom össze a VPN-t? Így megoldható, hogy egy IP tartományban legyenek? Esetleg RRAS-szel szórakozzak? Láttam rá leírást, de nem akarok AD-stól meg mindenestől egy új site-ot csinálni.

  • 5059 megtekintés

( robreg | 2014. 05. 05., h – 14:59 )

Én úgy csinálnám, hogy tennék egy-egy pfSense dobozt úgy a hosting-ba, mint a cég telephelyére.
- A hosting-nál a pfSense mögé tenném a szervert NAT-tal, és a pfSense-n állítanék be egy OpenVPN szerver-t.
- A telephelyen a pfSense doboz pedig OpenVPN kliensként működne, így a két doboz egy titkosított VPN csatornát létesítene egymással.

Az persze még tisztázandó mennyire fontos hogy egy az egyben ugyanazzal az IP-vel menjen ki a szerver, vagy ez változhat-e esetleg. Ha meg kell maradjon az IP-je, akkor az OpenVPN kapcsolat ún. "TAP" módú legyen - azaz Layer 2-es csatornát hozzon létre a helyszínek között. Ha meg lehet változtatni az IP-t, akkor egy újabb privát hálózati szegmenst definiálj a hosting-ban lévő pfSense mögé, és hagyományos "TUN" módú VPN csatornát hozzál létre. Ez esetben a telephely routerében be kell állítani egy statikus route-ot, illetve a hosting-nál is visszafelé hasonlóképp, és így is tökéletesen látni fogják egymást.

Ezzel a módszerrel nem "piszkul" be a Windows szerver semmivel, és tényleg halvány lila gőze nem lesz, hogy máshol van. Ugyanakkor a kapcsolat vele is biztonságos marad.

( janoszen v | 2014. 05. 05., h – 15:01 )

Ha routert viszel be (nem szappandobozt), akkor szamits ra, hogy fel fognak erte szamolni valamit. Ha szappandobozt akarsz bevinni... nos akkor a salgo polcos helyekre valszeg menni fog, hogy kerul-e valamibe, azt beszeld le a kiszemelt hellyel.

A VPN eleg sima ugy, igazabol csinalsz barmilyen L2 (Ethernet-szintu) VPN-t (pl. OpenVPN-nel) es akkor az irodai router fogja neki az IP cimet is osztani. Arra szamits, hogy akkor viszont az ossze broadcast es egyeb szemet is ki fog menni a szerverhez es teliti az iroda netkapcsolatat.

Legjobb tudomasom szerint az L2TP PPP-vel mukodik, tehat van a ket vegpontnak egy IP cime es L3-on tovabbitja a csomagokat. Elvileg lehet rajta hackelni mindenfelet, de szerintem ezt egy routeren nem igazan tudod megcsinalni.

Amugy kicsit ertetlenul allok a keresed elott, mert a leirasod alapjan a kovetkezok fognak teljesulni:

  • A hostingba helyezett gep osszes internet fele meno forgalma az irodai kapcsolatodat KETSZER fogja terhelni. (Gondolok itt security updatekre, stb.)
  • Ha a router lehal, csesztetheted a hostingot. Ha a VPN kapcsolat lehal es nem ered el a router config feluletet, csesztetheted a hostingot.
  • A gep a hostingos internet kapcsolatot kozvetlenul nem fogja hasznalni, ezert ha az irodai halozat lehal, a gep nem lesz elerheto.
  • Az irodad osszes broadcast forgalma kimegy a hostingba, foloslegesen terhelve az iroda internetkapcsolatat.

Ezeket a feladatokat jellemzoen ugy oldja meg az ember, hogy menedzselheto eszkozoket telepit es a menedzselesre a szolgaltatotol ker, vagy nagyobb setup eseten sajat maga epit VPN megoldast. De mint sejtheted, ez nem az az arkategoria routerben amiben Te gondolkozol.

Ne vedd szemelyes sertesnek, de ez a setup az en olvasatomban a berheles magasfoka, nem az igazi problemat probalod megoldani es nem a megfelelo eszkozokkel es konyorog azert hogy valami elcseszett idopontban a fejedre szoruljon az a bizonyos alarc. Ezek utan kerdezem en: milyen indokod van arra, hogy a gep NE az irodaban lakjon fizikailag, ha mar halozatilag ott akarod tudni es mi a problema amit ezzel orvosolni velsz? A jelek szerint az irodaban uzemeltetsz mas szervert is, tehat a korulmenyek (remelhetoleg) adottak.

Ez egy másodlagos dpm backup szerver. Kifejezetten semmi dolga az interneten (a rajta levő adatok védelme miatt), a lanon annál inkább. Kb folyamatosan minimum 5 mbps forgalom megy majd rajta. Szerintem ehhez képest eltörpül a broadcast. A hostingba helyezés adja a földrajzi redundanciát. Ha valami kis időre lehal, az nem baj. Egy darab ip miatt relatíve nagy overhead a routing, amennyiben van értelmes l2 megoldás. Ha nem jön össze az l2, akkor persze muszáj az l3, már látom, hogy ez egy nagyobb problémakör.

--

Ha 5 MBit, akkor ez nem lesz olyan IO intenziv hogy problema legyen a virtualizacio. Tekintettel arra, hogy a Windows tuzfal kepessegeiben nem bizol, ezen a ponton megvizsgalnam a Linux hoston Windows virtualis gep futtatasat. Megsporolod magadnak a routerrel valo onszopatast plusz tudsz tuzfalazni kedvedre. A site to site VPN-t megoldod OpenVPN-nel egy masik irodai szerveredre es belebridge-eled a helyi haloba. Esetleg proxy ARP-olsz ha meresz vagy es akkor meg a bridge sem feltetlenul kell. A virtualizacios megoldasok tekinteteben lehetosegek szeles tarhaza adott, de en javasolnam a Microsofttal szorosan egyuttmukodo enterspajz virtualizaciok valamelyiket, tapasztalatom szerint egy arnyalattal jobban mukodnek. A gephez meg termeszetesen veszel ertelmes out of bound management kartyat es olyan hostingot keresel, akik ad ehhez ertelmes VPN-t. (Ha erdekel, hogy miert nem teszunk remote management kartyat publikus netre, olvasd el ezt.)

Ja es majd meselj, hogy mit sikerult alkotni es mik a tapasztalatok vele.

( ncc1701 | 2014. 05. 05., h – 15:28 )

Én debiant telepíŧenék, XEN-be levirtualizálnám a windowst, openvpn-el létrehoznám a kapcsolatot.

Nem kell egy plusz router elé, ami megcsinálja a vpn-t. Linuxra elég jó tűzfalat tud berhelni, így biztonságban tudná a cuccot. És nem utolsó sorban egy lvm alapú telepítéssel online tudná rendszeresen backupolni, akár naponta időzítve a windowst. Ez nekem nagyon fontos. :)

Ott már a tűzfalnál bukik a dolog, legalábbis számomra. Meg a biztonságnál. És nekem azért fura, hogy a futó rendszerről menet közben lehet csinálni egy konzisztens mentést saját magával, de üsse kő, elfogadom, nem értek windowshoz, csak amennyire nagyon, feltétlen muszáj.
És tudod, a windows sok mindenre jó, de linuxra plö nagyon szar. :)

" És nekem azért fura,"

Jóhát, nekem is be akartak ilyet magyarázni, hogy ne akarjak már élő rendszeren egy nyomoronc sw raid1-et létrehozni, amire közöltem, hogy ha ennyire tartják csak képesnek a Linuxot, hogy le kell állítani az összes futó szolgáltatást ilyen alapvető dolog miatt, akkor itt baszom ki az összes Linuxot a picsába.

"hogy a futó rendszerről menet közben lehet csinálni egy konzisztens mentést saját magával"

http://msdn.microsoft.com/en-us/library/windows/desktop/bb968832%28v=vs…

Ha jól tudom, pl. az MSSQL is a VSS szolgáltatással oldja meg a backupot magáról, na meg persze lehet futó rendszerről konzisztens backupot csinálni. Annyira nem nagy mágia, néhánytíz éve feltalálták a tranzakciókat a számítástechnikában már az RDBMS-nél is. Ideje lenne haladni a korral.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

VSS-nek hívják a csodát, és alkalmazás szinten konzisztens snapshotot csinál, vagyis a diszkre író alkalmazásokat megkéri a rendszer, hogy egy picit szüneteljenek és hagyjanak konzisztens állapotot a diszken. Ami nem használ VSS-t, az fizikailag képtelen erre, tehát rosszabb, gyakorlatilag áramszünettel egyenértékű snapshotot tud csak csinálni. Abból is fel lehet épülni, de nem egy életbiztosítás.

--

( Tassadar v | 2014. 05. 05., h – 15:29 )

Én nem látom értelmét, hogy még egy hibalehetőséget belevigyél.

"Esetleg RRAS-szel szórakozzak? Láttam rá leírást, de nem akarok AD-stól meg mindenestől egy új site-ot csinálni."

Nem kell.

( Chas | 2014. 05. 06., k – 07:33 )

Nálunk a cégnél hasonló a felállás. Hostingban kint a vas, előtte egy RV082, van neki saját tartománya.
Irodában RV042 s2s vpn-el összekötve, másik tartomány, de a vpn-en automatikusan routol. Az irodában csak beírom az IP-t (vagy a nevet) és mintha csak ott lenne, megy.
Egy apró probléma azért volt. Elég sokan használják távolról mindkét hálót, és a távoli hozzáféréshez két VPN kapcsolatot kellett felépítenie, hogy mindenhez hozzáférjen. Ez mondjuk kicsit le van egyszerűsítve, mert az irodán kívül van még 2 telephely, ahol hasonlóü a felállás, és körbe kellett VPN-ezni mindent mindennel. Egyébként meglepően stabil kapcsolatot tart fenn a két linksys.

( mrceeka v | 2014. 05. 06., k – 08:00 )

"általánosságban nem bízok a Windowsba épített tűzfalban"
Miért is nem? Van valami konkrét tudás/tapasztalat vagy csak vallási dolog?

Üdv,
Marci

A WinNuke óta bennem van egy bizalmatlanság, plusz egy kicsit a bonyolultság, a zártság és az ebből fakadó tudatlanság is benne van. Alapból egy csomó olyan porton figyel szolgáltatás, amiről nem tudom, hogy mire kell, meg egy csomó olyan, amit ismerek, de csomó port kell/kellhet neki, és a referencia nem mindig egyértelmű. Tudom, hogy profilonként van engedélyezve minden, de a profil felismerésben sem bízok teljesen, mert avval kapcsolatban már láttam hibát. A beépített tűzfalban elég sok mindent nem lehet állítani (pl. allow és deny illetve custom és service szabályok precedenciája be van drótozva). Összességében nem látom olyan rossznak a helyzetet, de egyszerűen nem tenném rá az életem. Akármennyire is szeretem a Windowst, nekem az iptables sokkal egyértelműbb és ebben bízok. Illetve ha van NAT, akkor betörés esetén +1 rétegen kell átjutni, egy keveset ez is számíthat.

--