Pull to refresh

Релиз pfSense 2.6 / pfSense Plus 22.01

Timeweb Cloud corporate blog Information Security *Network technologies *

14 февраля вышла новая версия opensource файрвола pfSense - 2.6.0. Одновременно с этим вышла версия pfSense Plus 22.01 - варианта для фирменных железок компании-разработчика Netgate, поддерживающая оборудование на базе процессоров ARM и включающая в себя некоторые дополнительные пакеты и функции.

Подразумевается, что читатель имеет определённый опыт работы с pfSense и не нуждается в подробном разъяснении, что означает тот или иной термин.

Пройдёмся по новым функциям и наиболее заметным багфиксам. Детальный список изменений можно найти на странице релиза.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 6.6K
Comments 5

GlobalCheck фиксирует проблемы в некоторых регионах страны с доступностью к IPsec и IKEv2 корпоративных VPN

IT Infrastructure *Network technologies *IT-companies


Сервис GlobalCheck cообщил, что в воскресенье пользователи стали жаловаться на проблемы в некоторых регионах страны с доступностью к корпоративным VPN, работающим по протоколам IPsec и IKEv2.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 18K
Comments 52

У российских пользователей возникли проблемы с сервисом Proton VPN

IT Infrastructure *Network technologies *IT-companies


1 июня 2022 года сервис Proton VPN сообщил о проблемах с доступом у российских пользователей. Компания не блокировала соединения со своей стороны.

[обновление публикации на 2 июня]: Роскомнадзор ответил на сообщения о блокировке сервиса Proton VPN. В ведомстве заявили, что средства обхода блокировок, включая Proton VPN, признаны угрозой в РФ.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Views 56K
Comments 120

РБК: Роскомнадзор утвердительно ответил на сообщения о блокировке сервиса Proton VPN

Network technologies *Cloud services *IT-companies


2 июня 2022 года Роскомнадзор ответил на сообщения о блокировке сервиса Proton VPN. В ведомстве заявили, что средства обхода блокировок признаны угрозой в РФ и подтвердили, что в рамках закона о «суверенном» рунете ведется работа по блокировке VPN-сервисов, в том числе Proton VPN, помогающих обходить блокировки признанного в РФ запрещенным контента.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 23K
Comments 88

«Роскомсвобода» уточнила, как в РФ блокируются серверы Proton VPN

IT Infrastructure *Network technologies *IT-companies


Вечером 2 июня «Роскомсвобода» уточнила, как в РФ со стороны оборудования надзорного ведомства блокируются серверы Proton VPN.
Читать дальше →
Total votes 34: ↑33 and ↓1 +32
Views 48K
Comments 178

Умер Дзюнъитиро Хагино

Biography of geeks
29 октября 2007 года умер 純一郎萩野, также известный как Itojun. Ему было 37. Дзюнъитиро активно участвовал в таких проектах как FreeBSD, NetBSD и OpenBSD. Он внёс существенный вклад в реализацию поддержки IPv6, IPsec, а также разнообразных сетевых протоколов. Он же был одним из основных разработчиков KAME.

Фото

R.I.P.
その世界で嬉しいになってください
Читать дальше →
Total votes 58: ↑56 and ↓2 +54
Views 1.2K
Comments 40

Простой способ сделать IPSec туннель от FreeBSD к Cisco

Lumber room
Начнем с того, что в манах, где рекомендуется к установке Racoon упоминается racoon1, который в FreeBSD 7.x теперь называется ipsec-toos.

поэтому

portinstall ipsec-tools

не забываем скомпилировать ядро с поддержкой ipsec:

device crypto

option IPSEC

внимание, с 7.x IPSEC_ESP указывать не нужно!
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 1.3K
Comments 3

Cisco: Порядок обработки пакетов «в сложных конфигурациях»

Cisco *
Регулярно сталкиваюсь с проблемой вспомнить, в какой последовательности
идет обработка пакета в Cisco, соответственно также регулярно ищу сей документ.

Может быть будет полезен кому-то кроме меня:

Пакет Inside−to−Outside
  1. if IPSec then check input access list
  2. decryption − for CET (Cisco EncryptionTechnology) or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. policy routing
  7. routing
  8. redirect to web cache
  9. NAT inside to outside (local to global translation)
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect (Context−based Access Control (CBAC))
  13. TCP intercept
  14. encryption
  15. queueing


Пакет Outside−to−Inside
  1. if IPSec then check input access list
  2. decryption − for CET or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. NAT outside to inside (global to local translation)
  7. policy routing
  8. routing
  9. redirect to web cache
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect CBAC
  13. TCP intercept
  14. encryption
  15. queueing


Извлечено из Cisco Document ID: 6209
Total votes 4: ↑2 and ↓2 0
Views 10K
Comments 3

«Фича» в IPSEC реализации VPN роутеров Draytek

Information Security *
Draytek — относительно новая в российском сегменте компания, занимающая нишу недорогих компактных роутеров All-in-one. Здесь и здесь можно почитать обзор двух, наиболее популярных моделей роутеров этой компании серий 2820 и 2910 (которые, кстати, позиционируются как «security firewall»). Среди остальных преимуществ данных роутеров, наиболее вкусным является аппаратная поддержка шифрования (AES/DES/3DES) и аутентификации (MD5, SHA-1), так что можно, вроде бы, настроить VPN между точками и спать спокойно. Но не всё так просто, как кажется.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 5.6K
Comments 6

В OpenBSD пока не найдено бэкдоров ФБР

Cryptography *
Ведущий разработчик OpenBSD, канадский программист и хакер Тэо де Раадт (Theo de Raadt) восстановил события десятилетней давности, когда создавался стек протоколов шифрования IPSec. Он называет имена двух основных разработчиков стека (как сейчас выяснилось, они выполняли заказы для ФБР) и пишет, что написанный ими код до сих пор используется в ключевых модулях системы и не только в IPSec.

За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.

С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.
Читать дальше →
Total votes 37: ↑26 and ↓11 +15
Views 2.5K
Comments 14

FreeBSD и D-Link DI-804HV через IPSEC

System administration *
Sandbox
Хочу рассказать об одном из своих первых опытов общения с FreeBSD и настройке IPSEC для связи с D-Link DI-804HV и проблемах, которые возникли при этом. Надеюсь, это поможет народу не наступать на мои грабли.

Так получилось, что когда я пришел на новую работу, то в мою сферу ответственности попал сервер с FreeBSD, который был шлюзом в Интернет — на нем крутился почтовый сервер и файерволл. По предыдущей работе был опыт работы с Линуксами, но FreeBSD до этого в глаза не видел. И вот одна из первых задач на новой работе была настроить соединение с удаленным офисом через инет, для этого туда прикупили железку D-Link DI-804HV. Решено было соединить это все хозяйство через IPSEC.
Читать дальше →
Total votes 17: ↑16 and ↓1 +15
Views 16K
Comments 8

Еще раз про IPSec, racoon и стереотипное мышление

System administration *
Поводом для написания этого поста стала прочитанная мною сегодня статья хабраюзера sharptop. Просто начал писать комментарий, но он оказался очень длинным, итак: сказ о том, как мы енота разоблачали.
Читать дальше →
Total votes 12: ↑7 and ↓5 +2
Views 8.4K
Comments 26

IPsec с AmazonVPC в обход стандартных средств

Cloud computing *

Вводная и условия задачи


У нас есть Amazon VPC с несколькими подсетями.
Внутри VPC разбита на несколько подсетей.
Возьмем две из них.
В первой (посеть 10.0.0.0/24), назовоем ее net1, маршрутизацию наружу осуществляет родной Амазоновский Internet Gateway, который для каждой подсети свой. К инстансам в этой сети можно привязывать Elastic IP и они будут работать.
Вторая (подсеть 10.0.1.0/24), пусть будет net2 — полностью закрытая подсеть, доступ из которой к внешним ресурсам возможен только посредством отдельного инстанса с настроенным на нем NATом (назовем его service). Прямого доступа к этой подсети извне, кроме как через какой-либо инстанс из net1, реализовать не получится. Сам service существует так же в net1.
Внутри VPC инстансы обоих подсетей видят друг друга.
Так же, есть офисная сеть, пусть она называется net0 (подсеть 192.168.5.0/24).
Появилась необходимость обеспечить защищенный доступ из офиса к инстансам в net1 и обратно. Это можно сделать нативным для Амазона способом — с помощью Virtual Private Gateway и сопустствующим ему сервисам. Но тут есть одна проблема — маршрутизация осуществляется посредством BGP, которого на пограничном маршрутизаторе офиса нет и не предвидится. На нем есть только чистый IPsec с авторизацией по паролю. В данной ситуации надо действовать через него.
Приходит в голову следующая схема реализации: на инстансе service, который имеет доступ Интернет и ко всем инстансам внутри net1, а так же обладает Elastic IP, развернуть клиента IPSec, соединиться с офисным маршрутизатором и настроить маршрутизацию между сетями.

Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 2.6K
Comments 1

Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка

Cisco *Network technologies *

Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.


Ньюансы

  • последняя версия софта на микроте (5.20)
  • тип тоннеля на циске IPIP
  • тип трансформы «transport», вместо «tunnel»

Исходные данные

  • Cisco 2821 (OS v12.4)
  • 2. Mikrotik RB450G
  • 3. Реальные внешние IP на обоих устройствах
  • 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
  • 5. Адрес микротика: 88.88.88.2. Подсеть со стороны микротика: 192.168.88.0/24

Предыстория

Столкнулся по работе с необходимостью замены серверов в наших филиалах, на что-нибудь более надёжное, аппаратное.
Связь у нас с центральным офисом осуществляется через тонели с шифрованием ipsec. В центральном офисе у нас, собственно всё на кошкообразных построено, а в большинстве филиалов стоят обычные сервера под FreeBSD, которые цепляются тонелями, с помощью racoon.
Встала задача, в связи с устареванием, выходом из строя самих серверов, начать устанавливать простые, недорогие аппаратные решения.

Братья по-разуму, коллеги и форумы натолкнули меня на изделия Mikrotik, и сразу же я направил к ним письмо следующего содержания:
Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Views 131K
Comments 29

Технология HP Dynamic VPN. Часть 1

Hewlett Packard Enterprise corporate blog

Введение


Приветствую всех читателей в нашем блоге.

Этот цикл статей будет посвящен нашему замечательному решению под названием HP Dynamic VPN (или HP DVPN).

Это первая статья из цикла, и в ней я постараюсь рассказать о том, что представляет собой решение HP DVPN, а также описать его возможности и сценарии применения. В следующих статьях этого цикла речь пойдет о практической реализации возможностей DVPN и настройке самого оборудования.

Что такое DVPN?


Если кратко, то DVPN – это архитектура, которая позволяет множеству филиалов или региональных офисов (spoke) динамически создавать защищенные IPsec VPN туннели поверх любого IP транспорта для подключения к центральному офису или ЦОД (hub).

Для кого и чем это может быть полезно?

Допустим, есть некая организация, у которой имеется множество филиалов или удаленных офисов, раскиданных по всему городу или даже по всей стране (например, некий банк, или сеть магазинов, примеров таких организаций можно привести очень много). Перед нами стоит задача объединить все эти филиалы между собой с помощью одной транспортной сети, а также обеспечить возможность их подключения к центральному офису или ЦОД, в котором размещаются основные IT-ресурсы этого предприятия.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 14K
Comments 42

Mikrotik + IPSec + Cisco. Часть 2. Тоннель на «сером» IP

Cisco *Network technologies *
В продолжение к посту.
В прошлый раз я рассматривал соединение, когда со стороны циски и микрота были реальные IP'ы.
Здесь рассмотрю пример «серого реальника», т.е серый IP, который провайдер маскирует у себя под внешний с безусловной переадресацией (binat).

Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.



Ньюансы

на циске внешний IP, а на микротике серый, который маскируется провайдером под внешний, с безусловной переадресацией (обращения к этому внешнику из интернета редиректятся на интерфейсный, серый «IP»).
Схема:

Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 46K
Comments 1

Декодирование ipsec в Linux

Configuring Linux *System administration *Server Administration *
Tutorial
Иногда возникает необходимость снять дамп трафика внутри ipsec тоннеля. Я расскажу как это сделать в случае ipsec, поднятом на Linux сервере с PSK аутентификацией при помощи wireshark.

Подробности
Total votes 15: ↑14 and ↓1 +13
Views 15K
Comments 6

Настраиваем IPSec VPN сервер через strongSwan и On-Demand на iOS

Configuring Linux *
Tutorial
Как же меня достало это сообщение

Всё началось с того что возникла необходимость защитить передаваемые на сервер пользовательские данные. И сделать нужно было так, что бы не заморочивать при этом пользователей корпоративных iPad'ов. Я не смог придумать ничего умнее как использовать IPSexc и VPN On-Demand на iOS. И поднимать я его решил через strongSwan.

Как же я намучился с этим… Как же я возненавидел это сообщение на картинке сверху… В интернете полно статей и готовых примеров, но все они используют авторизацию по логину и паролю.
И теперь я хочу сэконосить время тем кто отважится пройти этот тернистый путь.

Ступить на тернистый путь
Total votes 16: ↑13 and ↓3 +10
Views 31K
Comments 6

Сети для самых маленьких. Часть седьмая. VPN

System administration *Network technologies *
Tutorial


Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.

Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.

В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.

Читать дальше →
Total votes 118: ↑118 and ↓0 +118
Views 570K
Comments 43

Racoon vs. OpenSWAN: Настройка IPSEC VPN туннеля HOST-TO-SITE с Cisco и L2TP over IPSEC для Windows, iOS и Android

Information Security *
Sandbox
Tutorial
Добрых дел, уважаемые Хабравчане!

В данной статье я хотел бы увлечь вас рассказом о моих приключениях в поисках надежных и безопасных связей IPSec, где поджидает множество удивительных открытий и разочарований, загадок и ответов, историй верной службы и вероломных предательств. Итак, мой дорогой читатель, приготовься, начинаем повествование.

Читателю, которому требуется срочная помощь, а не рассказы о моих несчастьях, приведших к написанию данного топика, рекомендую пролистать до заголовка «Собственно сабж»

Где-то с полгода назад мне понадобилось поднять сервер для платежных терминалов с подключением к платежной системе по IPSec. Мой выбор пал на Debian Squeeze и KAME ipsec-tools, в простонародье racoon. Ох, и не знаю, почему моя душа прикипела к данному приложению. Сначала, поверхностно изучив теорию IPSec, я взялся за практику:

apt-get install racoon

И что же из этого вышло
Total votes 13: ↑12 and ↓1 +11
Views 72K
Comments 11