[Megoldva]Mire jó a VPN?

Üdv!

Kezdő vagyok VPN témában.

Az lenne a kérdésem hogy mire is jó a VPN.

Milyen szolgáltatásokat nyújt.

Úgy képzelem el mintha egy Távoli Asztal  kapcsolatot építenék ki. Rosszul gondolom?

Üdv:Gábor

Hozzászólások

Szerkesztve: 2020. 05. 18., h - 10:35

Ebben a formaban nem pontos az elkepzelesed. Kepzeld el inkabb ugy, hogy ha van egy ilyen kapcsolatod, akkor ha mondjuk a munkahelyeden kinyitsz egy ajtot, azon belepve az otthoni eszkozeidet tudod majd hasznalni (hogy kepletes legyek).

Ennek reven, ha atultetjuk a gyakorlati IT-ba, olyan, mintha az otthoni halozatodon lennel, tehat mindent meg tudsz csinalni tavolrol is, amit otthon (igy a tavoli asztalt is, illetve minden mast is, tehat ha mondjuk van otthon mediaszervered, azt is elered, vagy file-szervert). A fo kulonbseg, hogy ez a tavoli hozzaferes is titkositott lesz, tehat jol beallitott kapcsolat eseten nem hallgathato le a forgalom. Megvan meg az a hatalmas elonye, hogy igy nem kell kozvetlenul kiengedni a hasznalni kivant szolgaltaasokat az internetre, hanem a vpn mogott kenyelmesen, biztonsagosan hasznalhatoak lesznek.

Roviden ennyi, de errol a temarol napokig lehetne meselni. :)

Kell valamilyen kliens program a vpn hez? Hogy érem el az erőforrásokat?

Kell. Egy szerver program, és egy kliens program a másik gépen, majd helyes konfigurációval, igény szerint oda-vissza lehet mászkálni. OpenVPN-re keress rá, de vigyázz, nem megfelelő konfiggal Vlagyimír besétál és viszi a pornódat. Esetleg a Hamachi-t is megnézheted, de az nem pont erre van. 

openSUSE Leap 15

Igen, kell, valamilyen formaban. Ha pl. L2TP-t alakitasz ki IPSec-kel (ez ala nem kene adni), akkor gyakorlatilag minden mai OS gyarilag tamogatja, igy a halozatkezeloben fel tudod venni a kapcsolatot es megy is. Egyeb megoldasoknal, mint az OpenVPN vagy ujabban a WireGuard, telepitett kliensre van szukseg.

Szerintem azert, mert arra a szegmensbol, ahova a vpn-nel kerulsz, nem latsz ra arra, ahol a megosztas van.

Tobb dolgot is ellenorizhetsz, illetve kene:

- ping mukodik egyik szegmensbol a masikba?

- a tcpdump mit mondott? tenyleg erdemes lenne ranezni, azonnal kiderul egy csomo minden

- a tuzfal biztosan megfeleloen van kialakitva?

Alapesetben teljesen termeszetes, hogy ha a vpn-nel mondjuk (a hasamra utok) a 10.72.71.0/24-es szegmensbe csatlakozol, nem fogsz ralatni a 192.168.66.0/24-es szegmensen belul tartozkodo eszkozokre.

Közoktatási rendszergazda kollégaként biztosíthatlak, hogy a dashboardon csak egy portnyitás kell. Az viszont ne a default legyen.

Használok OpenVPN-t az egyik hálózatra és PPTP-t egy másikba. Ez utóbbi arra lett kialakítva, hogy ha letelik a 180 napos ciklus és aktiválni kell a pedagógus wineket, akkor ne kelljen becipelni őket, főleg ebben a mostani időszakban. Ezért ez utóbbi csak egy kamu hálózatra enged be, azaz egy itthon leselejtezett router válaszolgat, más eszköz nincs mögötte :) arra jó, hogy a tanaraknak sulinetes címe legyen arra a pár másodpercre, amíg aktivál a gépük, aztán bonthatják a kapcsolatot, mert minden más forgalmat tiltok. Hogy miért PPTP? Mert ehhez nem kell semmit telepítsenek, konfigoljanak a nyugdíj közeli tanárok.

Szervusz !

( bár nem vagyok sulinetes rendszergazda, de )

A kérdésem az lenne, hogy a Sulineten belülről szeretnél kifelé felépíteni a VPN kapcsolatot ?

Ahogy lentebb leírták, akkor a dashboard-on kell kérni / állítani a port nyitást.

 

Otthonról felépíteni a VPN-t annyiból komplikáltabbnak tartom, hogy elvileg a publikus tartományt ( 195.199.x.y /31 ) éred el; nyilván itt is kell állítani a gw-n (dashboard-on); a privát / védett szegmenst egy publikus gépen keresztül lehet elérni -- szerintem.

 

CSZ

Semmi ilyen nem volt a gondolataimban, de szerintem erre utalot sem irtam, csak arra gondoltam, hogy szerintem az L2TP/IPSec kombinacionak kellene a minimumnak lennie, fokent biztonsagi okokbol sem a PPTP-t, sem az SSTP-t nem javasolnam ma mar. Az IPSec-kel a vilagon semmi baj nincs, meg ha nullarol korulmenyesebb is osszeloni, mint az egyeb utana jovo es emlitett megoldasokat (de elegedetten hasznalom azt is, egyebek kozott, uzemeltetve is).

Koszi az idorendet, mobilrol nem neztem meg, de igy pontos. 
 

Szemely szerint kulonosebb bajom nincs az SSTP-vel biztonsagi szempontbol, habar mondjuk az IPSec-et  sokretubben parameterezhetonek gondolom de inkabb uzemeltetesi oldalrol mindenkepp a tobbit sorolom elorebb, mert ha jol tudom, az SSTP nagyon MS-hez kotott licenszeles szempontjabol (de ebben nem vagyok tulzottan otthon, ha tevedek, elnezest, csak mintha remlene errol valami), illetve tovabbi szempont lehet, hogy csak tcp-n megy (par eve meg biztosan igy volt, de azota valtozhatott). Biztos van olyan kornyezet, ahova pont az jo eppen valamiert, de eddig nekem egy OpenVPN es egy L2TP IPSec-kel mindenhol eleg es kelloen praktikus volt (ujabban ez kiegeszul a WireGuard-dal is).

Ezek korrekt dolgok. Valóban, kifejezetten MS-fejlesztette protokoll, de az Open Specification Akármi révén jó pár éve megnyitotta, úgyhogy már vannak open szósz szerver implementációk (SoftEther pl. tud ilyet). Ami előnye lehet az OpenVPN-nel szemben, hogy Windows-ra nem kell hozzá plusz kliens, L2TP/IPsec-hez képest meg hogy tűzfalakon egyszerűbben átmegy egy HTTPS kapcsolat.

Amit egyébként szvsz. jól csinált benne az MS, az az, hogy a HTTPS-t berakta alá, innentől kezdve a confidentiality-t biztosító réteg az SSTP-től függetlenül változhat/fejlődhet, ha kijön egy újabb SSL/TLS sebezhetőség és megint feketelistázni kell egy verziót, akkor az kb. konfigurációs direktíva kérdése, mert nem része a szabványnak (ill. csak azon a szinten, hogy onnan indulunk, hogy van egy biztonságosan felépített SSL/TLS kapcsolatunk, ahol opcionálisan a kliens is azonosította magát certtel)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Szerkesztve: 2020. 05. 18., h - 12:37

Semmilyet nem nyújt, csak lehetőséget ad elzárt hálón lévő szolgáltatások eléréséhez. Ha játszottál a portal-lal, vagy nézted a csillagkaput, akkor, na ez az :)

Szerintem ketté kell választani ezt a kérdést.

1.) VPN mint technológia:
Pl. home office-ban vagy, az otthoni hálózatodon.í
Belépsz a munkahelyed VPN-jébe.
Innentől fogva virtuálisan olyan, mintha a munkahelyeden lenne feldugva a géped a LAN-ra. Eléred az Intranetet, és minden egyebet, amit odabentről el szoktál érni.

2.) VPN mint szolgáltatás:
Léteznek ún. VPN szolgáltatók, akik havi díjas szolgáltatás keretében biztosítanak VPN szervereket a világ minden táján.
Így lehetőséged nyílik kijátszani földrajzi helytől függő szolgáltatásokat. Pl. kint vagy Németországban, de szeretnél az Interneten nézni egy magyar TV adót (Telenor MyTV-ben mondjuk). Nem fog menni, mert a szerződések értelmében az a tartalom csak Magyarország határain belül elérhető.
Ha viszont egy magyar VPN szerveren keresztül csatlakozol a Telenor MyTV-hez, akkor menni fog, mert ő úgy látja, hogy Magyarországon mész ki az Internetre.
Másik példa: egyes országokban, mint Kína, sokminden központilag le van tiltva. Nem működik pl. még egy Google se. Ilyenkor alkalmas VPN szerverrel ezt a korlátozást is ki lehet játszani.
De vegyük csak azt az egyszerű esetet, hogy szállodai nyilvános wifi-n Internetezel. Ilyenkor belépve az otthoni VPN-edre, az ottani hálózat üzemeltetője elől el tudod rejteni a forgalmadat: nem látja, milyen oldalakat nyitsz meg, és az esetlegesen nem-https forgalmadba se tud belenézni.

Elméletben tudom, hogyan működik a VPN, de gyakorlatban még nem kísérleteztem vele.

Mennyire lassítja le a netezést? A TOR-hoz képest lassabb, gyorsabb?

Ha egyebkent jo a sebesseg, barhol is hasznalod, semmivel sem lesz nassabb a kapcsolat, kulonosen igaz ez akkor, ha valami olyan eszkozon futtatod, amely hw-bol is tamogatja (IPSec-nel pl. radikalis gyorsulast okoz), vagy tobbszalu futast is tamogato megoldast implementalsz vegul.

Azért ez függ néhány apróságtól :)

1. Split tunnel vagy nem? [átküldöd-e az összes forgalmad a VPN-en, vagy csak célirányosan route-olsz arra... ha utóbbi, akkor természetesen minden mást nem fog befolyásolni]
2. Milyen VPN-t használsz, milyen eszközök vannak a két oldalon? [nagyságrendi különbségek lehetnek]
3. A szervernek milyen az elérhető sávszélessége a tiedhez képest? (hiába van neked mindkét irányba 10G-s kapcsolatod, ha a VPN szerverből már csak egy 100 Mbites jel jön ki, ha átmegy rajta a forgalmad, az lesz a szűk keresztmetszet)
4. Milyen típusú forgalom megy milyen VPN felett, milyen kapcsolattal? (megbízhatatlan kapcsolattal rámész egy TCP-alapú VPN-re, amin belül átküldesz egy csomó másik TCP streamet, akkor ha VPN szerverre menő kapcsolatodban packet loss van vagy nagyobb latency, a belső TCP kapcsolatok összes időzítőjét bukod [TCP Meltdown])
...

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Ami még opciós lehet a Site2Site vagy Client2Site, mert erről nem volt még szó, illetve hogy a default router merre megy. Mert lehet hogy mindent a VPN-be csatornázol, tehát úgy internetezel pl otthonról mintha a munkahelyeden lennél, vagy csak a céges dolgoat routolod arra és a netre simán kimész otthon.

ESET és Synology hivatalos viszonteladó