company_banner

Почему я люблю IKEv2 больше других VPN



    Сейчас все вокруг настраивают VPN для удаленных сотрудников. Мне больно смотреть, как люди устанавливают монструозные глючные программы, настраивают какие-то сертификаты, устанавливают драйвера TUN/TAP и делают множество сложных операций, в то время как лучшее решение уже встроено в операционную систему.

    IKEv2 — это современный протокол VPN, разработанный Microsoft и Cisco. Он используется по умолчанию для новых VPN-подключений в Windows, macOS, iOS. Он быстрее и безопаснее большинства VPN-протоколов и может легко настраиваться на стороне клиента в два клика без использования сторонних программ.

    Я считаю, что IPsec IKEv2 отлично подходит не только для соединения серверов, но и для обычных VPN-подключений конечных пользователей. В этом посте я постараюсь убедить вас использовать IPsec IKEv2 для обычных домашних пользователей вместо OpenVPN.

    IKEv2 быстрее


    При прочих равных условиях, IKEv2 будет всегда быстрее OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.

    Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.


    Сравнение задержек для разных протоколов VPN.

    Скриншот выше показывает разницу в задержке в два раза между IPsec и OpenVPN. Разумеется, разницу в 1мс невозможно заметить на глаз, но при нагрузке на систему эти значения могут значительно изменяться. Кроме того, реальные показатели сильно зависят от характеристик конкретной системы, поэтому я не буду приводить абсолютные цифры для сравнения двух протоколов. Задержки очень важны при использовании голосовой и видеосвязи через VPN.

    По моим субъективным ощущениям IKEv2 на Windows 10 работает заметно отзывчивее чем OpenVPN. Ведь реальное использование десктопного компьютера сильно отличается от синтетических тестов VPN-протоколов. Нагрузка на процессор и память непостоянная, пользователь может запускать ресурсоемкие программы, все это будет влиять на показатели.

    IKEv2 проще в настройке


    Все современные операционные системы (кроме Android) поддерживают IPsec IKEv2 прямо из коробки. Не нужно устанавливать никакие программы, драйвера виртуальных адаптеров TUN/TAP и прочее. Всё управление VPN происходит из системного меню.

    При этом настройку на клиенте можно упростить до трех строчек:

    • Домен — для IPsec домен обязателен, так как для него выпускается SSL-сертификат
    • логин
    • пароль

    Не нужно больше передавать клиенту файлы с сертификатами и ключами, заставлять его импортировать корневые сертификаты в системное хранилище. Достаточно логина и пароля, при этом соединение будет так же надежно защищено, как и в OpenVPN при использовании сертификатов, ведь для установки соединения используется такой же x.509 сертификат, как и для веб-сайтов с HTTPS.

    Настройка на Windows 10


    Мастер настройки VPN вызывается из меню подключения к WiFi. С настройкой одного окна справится пользователь любой квалификации. Созданное подключение активируется из меню со списком WiFi-сетей.


    Интерфейс настройки нового IKEv2 подключения в Windows 10

    Настройка macOS
    В macOS поддерживается IKEv2 начиная с версии 10.11 (El Capitan). Создание подключения происходит через меню настроек сети.

    image

    Добавляем новое подключение. В качестве имени подключения задаем любое произвольное имя.

    image

    Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле «Server Address» можно указать IP-адрес сервера, а домен только в «Remote ID», тогда для подключения не будет выполняться DNS-резолв, и оно будет происходить чуть быстрее.

    image

    Логин и пароль пользователя указываем из файла /etc/ipsec.secrets

    image

    Настройка iOS
    Настройку iOS можно выполнить вручную через мастер, но намного удобнее использовать профиль автоконфигурации mobileconfig.

    Ручная настройка по смыслу аналогична десктопной macOS:

    Настройки -> VPN -> Добавить конфигурацию VPN

    IKEv2 это безопасно


    На предыдущем шаге мы выяснили, что для настройки подключения достаточно логина и пароля. Но как клиенту проверить, что подключение не прослушивается, не подменяются данные и сервер действительно тот, за кого себя выдает? Для этого используются обычные SSL-сертификаты, которые мы привыкли использовать для веб-сайтов и HTTPS.



    Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

    Сервер IKEv2 может использовать один и тот же сертификат вместе с веб-сервером, например от популярного Let's Encrypt. Это сильно упрощает управлением сертификатами.

    Такая же модель используется в OpenVPN, и при желании в нем можно использовать сертификат от Lets Encrypt, однако администратору в любом случае потребуется передать пользователю файл для настройки VPN.

    Настраиваем IKEv2 сервер


    Развернуть свой IKEv2 сервер можно за пару минут с помощью скриптов автоматической установки или используя готовые контейнеры. Использовать docker не рекомендуется, так как его сетевая подсистема снижает производительность IPsec на дешевых тарифах VPS. Вы также можете настроить IKEv2-сервер вручную, на Хабре есть статьи с примерами настройки сервера Strongswan.

    Мы будем использовать один из наиболее удачных вариантов скриптов автонастройки github.com/jawj/IKEv2-setup
    Этот скрипт хорош тем, что использует сертификаты от Lets Encrypt и автоматически генерирует валидный сертификат.

    Шаг 1: Выбор сервера


    Для запуска VPN сервера нам потребуется VDS. Подойдет самая простая конфигурация с одним ядром процессора. Скрипт из нашего примера лучше всего протестирован на Ubuntu 18.04, поэтому при создании сервера выбираем этот образ ОС.



    Ждем окончания установки сервера и копируем реквизиты для подключения. Пароль root придет на почту, либо его можно задать вручную через веб-интервейс. Далее все команды мы вводим



    Шаг 2: Установка Strongswan


    Подключаемся SSH-клиентом и запускаем скрипт установки:

    # запуск автоматической установки сервера IKEv2 
    wget https://raw.githubusercontent.com/jawj/IKEv2-setup/master/setup.sh
    chmod u+x setup.sh
    ./setup.sh
    ....
    # Введите имя домена направленного на IP-адрес сервера
    # используйте сервис sslip.io если у вас нет домена
    Hostname for VPN: 123-45-67-89.sslip.io
    # Имя пользователя VPN
    VPN username: coolguy
    # пароль 
    VPN password (no quotes, please):
    ....
    # скрипт запрос создать нового SSH-пользователя, этот шаг нельзя пропускать.
    

    Шаг 3: Настройка клиента


    Введенные реквизиты пользователя VPN теперь нужно использовать для настройки на клиенте. Важно использовать именно то доменное имя, которое вы вводили в Hostname for VPN.

    Шаг 4: Добавление новых пользователей


    Чтобы добавить нового пользователя в уже созданный сервер, отредактируйте файл /etc/ipsec.sectes.

    # nano /etc/ipsec.secrets
    123-45-67-89.sslip.io : RSA "privkey.pem"
    coolguy : EAP "C00lPassword"
    badguy : EAP "bAdP$$word"
    

    После добавления пользователя выполните команду ipsec secrets чтобы Strongswan перечитал конфиг.

    Заключение


    Мы рассмотрели удобство IKEv2 со стороны пользователя. Администрирование такого сервера не сложнее, а иногда даже проще чем OpenVPN. Если вы только планируете организовать удаленный доступ для своих сотрудников, обязательно посмотрите в сторону IKEv2. Не заставляйте своих пользователей устанавливать лишние программы, если все необходимое уже есть на их компьютере. Это удобнее, безопаснее и намного прогрессивнее.

    RUVDS.com
    RUVDS – хостинг VDS/VPS серверов

    Похожие публикации

    Комментарии 160

      0
      Роутеры какие-то поддерживают?
        0

        В OpenWRT есть пакет Strongswan, сам не тестировал.

          +1

          Микротик умеет

          0
          Присоединюсь к вопросу: Keenetiс из коробки может только L2TP/IPSec (и SSTP вроде), или я что-то не смог нагуглить?
            0
            Порылись чутка.
            giga ii должен поддерживать ike2v. Поставили компонент ipsec, ndims 2.06, включили — в настройках ike2v есть. Как бы по умолчанию этого не было, но это все из коробки — галочками из веб-интерфейса ставится штатно.
            Судя по статье поддерживает ike куча моделей, но некоторые могут поддерживать только ike1

            Однако если речь про зухели и vpn/ssl, надо не забывать о таком нюансе как «В PPTP-сервере интернет-центра Keenetic по умолчанию протокол MPPE работает с ключом 40 бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана»©, который может еще где-то проявляться.
              0
              Спасибо.
              Статьи видел, по ним не очень понятно, что именно поддерживается. Они там упорно топят в site-to-site, а я хочу просто с условного телефона заходить домой и внутри уже смотреть в локальную сеть, умные лампочки и прочее дырявое RDP, чтобы никакая голая задница у меня из дома в интернет не светила. А у меня ещё PPPoE, и что-то то ли провайдер gre режет, то ли у меня руки кривые. В общем, видимо не попробовав, не узнать.
              Смотрел на предмет Микротика hAP ac2 – вот он может всё и немного больше (ну, MOS точнее), но у него от радио многие плюются.
                0
                При правильной настройке у hAP ac2 радио отличное. Можно также из недогих решений хоть для дома, хоть для малого офиса поставить на вход шлюз микрот RB760iGS (hEX s) или RB750Gr3 (hEX) при отсутствии первого в наличии, и от него протянуть провод на любую AP, какую заблагорассудится (от hEX s можно запитать её по passive PoE), и в более правильное для радио местоположение.
                  +1

                  А что значит "при правильной настройке"? Есть размещение и ориентация антенн в пространстве, есть канал и мощность сигнала, чтобы не взаимодействовать с соседями. Какие микроту нужны особые настройки, учитывая что у hap ac2 антенны вообще внутренние?
                  У меня загород, вай-фай должен быть по всему участку, на данный момент я просто решил вопрос, выставив одну антенну роутера через удлинитель на крышу дома, десятилетний тыр-пыр-линк за $30 без "правильной настройки" (только мощность у него разблокировал и вкрутил посильнее) покрывает свои задачи без проблем, но ради IKEv2/IPSec приходится всё время держать включённым старый Атомный ноут на Винде.
                  Если вы имеете опыт с микротиками, не посоветуете что-то более старое и проверенное с внешними антеннами, без ненужного мне 5 ГГц, но с поддержкой MOS4?

                    0
                    Можете взять RB951g-2Hnd, сам так когда-то давно издевался над этой железкой: можно в корпусе проделать три отверстия и подключить внешние антенны через пигтейлы на плате. Подойдут обычные антенны с креплением от любого другого роутера c усилением 2-5 dBi. Помня про дикую мощность передатчика этой железки, надо снижать до оптимума и замерять хотя бы сигнал/шум в местах пользования вайфаем. Это не выносные антенны, а просто внешние на корпусе. Только для внутренней установки.

                    В вашем случае я бы рассмотрел всё же именно RB760iGS/RB750Gr3, т.к. они умеют в аппаратное ускорения IPSEС AES и есть USB порт для 4G модема (у вас загород, интернет именно такой, или другой?), и всепогодную точку доступа на крыше.

                    В вашем случае надо понимать структуру сети: откуда приходит интернет, где он нужен и в каком виде, вайфай нужен только в «поле», или в доме тоже, какое расположение?

                    Например, если у вас типовой кейс: интернет через 4G + wifi на участок, то выш выбор — RBwAPR-2nD&R11e-LTE: она же и 4G модем, и уличная всепогодная точка доступа, и питание к ней удобно завести через PoE. Она даст вам интернет для всего участка, и даже в дом будет долетать, возможно, достаточно для вашего режива работы. Внутри проще свитч и кабель, для телефонов хватит того, что есть, если дом небольшой и радиопроницаемый.
                      0
                      Мой тп-линк работает сейчас так: сам он посреди дома, его в целом хватает на то чтобы пробить весь дом, вторая антенна на крыше, она покрывает весь участок, с этим проблем нет вообще никаких, и если конкретный микротик может как минимум так же, то проблем и не будет.
                      Меня беспокоит именно программная часть. У меня оптоволокно с авторизацией PPPoE, что мне как неспециалисту доставляет гемоРРРоЯ в плане настройки всякого тунеллирования, сотовой связью не резервируюсь, 4G не требуется. Вот например когда я накатывал на тплинк openwrt и пытался там сильного лебедя настроить, у меня так в результате ни хрена и не получилось, и я сильно уверен что проблема была именно в PPPoE, я не понимаю что там куда и как надо заворачивать.
                      Вроде как Кинетик намного более домохозяечный чем микротик, поэтому думаю как не получить ситуацию, когда устройство купил, а заставить работать не смог.
                      А, ну и аппаратное ускорение мне конечно ни к чему, мне же не гонять через него ломовой трафик, а просто подключаться с одного-двух клиентов для мелких домашних задач – помочь по удалёнке, посмотреть за котом…
                        0
                        Для PPPoE надо правильно настроить MTU, и будет вам щасте )
                        Для ваших целей, если диагрмма направленности не принципиальна, достаточно RB951g-2Hnd + антенны для приёма от слабых клиентов с дальнего конца участка, хотя на 2,4 ГГц для дальности без проблем хватит и встроенных антенн от того же hAP ac2.
                          0
                          Как вы уверенно заявили про hAP ac2, не зная ни размеров участка, ни материалов и толщин стен :)
                          Я не просто так вынес одну антенну, тут и участок немаленький, и дом не в центре ни разу, и стены кирпичиевые, толстые и много.
                          можно в корпусе проделать три отверстия и подключить внешние антенны через пигтейлы на плате

                          А зачем третье? И – оказывается, там паять нужно. А у hap ac2 флеша 16 МБ – это вообще как, что за шаг назад от 951? Даже дублирования прошивки нет, как у кинетика. Вместо диаграммы направленности – «нутряные антенны, 360°», всё. В общем, микротик конечно содержит неоднозначные решения, нечего сказать.
                            0
                            Таки вам шашечки или ехать?
                              0
                              Таки вам шашечки или ехать?

                              Десять лет назад я сказал «ехать», купил за тысячу рублей китайца, воткнул и, гремя костями на каждой кочке, поехал. Теперь вопрос об аппарате в несколько раз дороже и сложнее в настройке, так что он некорректен. Правильный вопрос: вам кота в мешке или документированное устройство? И ответ очевиден.
                              Там ниже кстати тоже интересуются, рабочие гайды-то где? А то одни вопросы в Гугле.
                                0
                                Рабочих гайдов нет, есть много успешных кейсов интеграции микротов и не только для мелкого и среднего бизнеса )
                                Вам как минимум нужны замеры синала / шума на местности для картирования. Чем оснащать, вопрос лишь вашего бюджета: в случае малобюджетного Для IKE2 VPN можете ставить шлюзом любой самый недорогой роутер / точку доступа микрот начального уровня, для вайфай — это уже второй вопрос. Нужен ли вам один универсальный девайс, или нужно хорошее покрытие? Можно построить как бесшовный роуминг на этом вендоре или, например, ubiquiti, так и просто воткнуть одного или нескольких китайцев на разных частотах по дому и участку, а поскольку вас устаривает покрытие вайфай от имеющегося, оставляйте его.
                                  0
                                  Ясно.
                                  Тыр-пыр-линк: есть гайды, притом что любой джигит и сам сель-поехаль, антенны только разнеси, прикрутив пальцами удлиннители из того же магазина; икев2 – либо отдельная тачка, либо WRT-прошивка.
                                  Микротик: минимум замерь S/N на местности, картируй, просверли дырки, напаяй пигтейлы, пригласи специалиста по кейсам интеграции микротов в не только мелкий и средний бизнес, но и видимо в крупный…
                                  В общем, спасибо, что предостерегли, пожалуй в Микротики я вступать не готов, обойду по сухому.
                                    0
                                    Рабочие гайды по микротику ищутся в официальной вики микротика. Там есть и IKE, и PPoE, и всё прочее, что вы захотите.

                                    Когда у вас появляется желание разнести антенны, это означает, что вам нужно только 2.4ГГц. В такой ситуации вы берёте что-то типа RB2011UiAS-2HnD-IN, у которого его родные антенны уже подключены по MMCX и меняете их на что угодно.

                                    Впрочем, в правильной ситуации нужный результат обычно получают отдельной мелкой точкой доступа. Управляется при этом всё точно также с основного микротика (называется технология CAPsMAN).
                                      0
                                      Вовсе не так. Так же точно ставите железку, как любой туполинк. В микроте еть «режим домохозяйки», называется quickset: сел и поехал.
                                      Замер сигнал/шум — нужен для того, чтобы понимать где и как ориентировать точку, а также конечный результат колхозинга с антеннами. Он касается не только микрота, но и вообще любого вайфай оборудования, и, не поверите, даже вашего туполинка ) Делать это не обязательно, но крайне полезно, и можно даже самостоятельно при помощи, только представьте, бесплатных приложений на телефоне!
                                      Да можете вообще оставить ваш любимый туполинк как есть для раздачи радио, интернет на вход через hap lite за 1 тыс (радиомодуль можно выключить), а туполинк к нему проводом и в бридж (в WAN, как любят делать многие, — корявое решение, но работать будет даже такой колхозинг), чтобы на гадил в сеть своими сервисами.

                                      Страх и неимение опыта — не беда. Для того и существует хабр, чтобы поделиться, как сделать правильно, а не колхозно. Не усложняйте )
                    0
                    Хожу в домашний кинетик по IKEv1, причем прошивка кинетика древнючая — 2.11.
                    0
                    А как сабжевый ike2v по итогу на кинетике то поднять, есть хоть одна мана рабочая? Гугл ничего кроме вопрошательных тредов не видит. Взглянуть хотя бы на костыльные методы через entware
                  0

                  Keenetic 4g III из коробки умеет L2TP, PPTP, PPPoE, OpenVPN, SSTP. OS v.: 2.15.C.6.0-1.

                  0
                  В дополнение к вышеотписавшимся: все роутеры, у которых есть возможность подключить репозиторий Entware.
                    0
                    Keenetic
                      0
                      Cisco почти везде, и маршрутизаторы, и ASA.
                        0
                        Нужна платная доп лицензия AnyConnect.
                          0
                          Так это именно для AnyConnect. А просто чтобы стандартные IKE/IPsec/L2TP — не нужна.
                            0
                            В статье речь именно про IKEv2, а у циско это только в AnyConnect.
                              0
                              А, именно насчёт v2 не уверен, может.
                      +1
                      В каких роутерах этот чудесный VPN есть по умолчанию?
                      Пока смотрел наличие в своём, тут уже спросили.
                        +6
                        Странно как-то… Вы протокол, точнее даже, его часть сравниваете с конкретной программной реализацией технологии vpn. Это такое… как теплое с мягким, пальцем в нёбо, итд.
                          0
                          я тоже озадачен. «я всегда предпочту колбасу корове! Колбасу можно сразу съесть, а корову надо догонять». не понятно
                          +3
                          Как насчёт маршрутов на клиенте? Если не хочется всё гнать через этот туннель?
                            0

                            Плюсую вопрос, я через openvpn гоняю только то, что туда должно идти.

                              0
                              Да это такой, знаете, иронично-сакраментальный вопрос :) Фактически, ответа на него я и не жду — по вполне понятным причинам.
                              0
                                0

                                Только в win 10.

                                  0
                                  Нет, в Windows 8.1 работает, так что, считайте, во всех поддерживаемых версиях.
                                  +1
                                  Команды — то, что надо. Но я, в общем-то, говорил про вариант, когда маршруты, NS-серверы и прочие суффиксы прилетают автоматически в момент коннекта — как у OpenVPN или AnyConnect.

                                  Пользователь вообще ничего настраивать не должен, кроме, может быть, установки клиента и ввода адреса сервера, логина и пароля. Иначе получается очередная неуниверсальная штука для продвинутых.

                                  Групповыми политиками винды, пожалуйста, разруливать всё это не предлагайте :)
                                    0
                                    В варианте IKEv1 с L2TP (который на Windows есть в самой ОС уж не помню сколько лет) это всё реализуется без проблем, т.к. L2TP, в конечном итоге, это всего лишь метод инкапсуляции PPP, в котором за получение конфигурации отвечает IPCP.
                                    Кроме того, для IKEv1 у Cisco есть своё расширение XAuth, которое умеет получать клиентскую конфигурацию, но это вроде не стандартизованная технология.

                                    У IKEv2, кажется, всё ещё лучше — он сам умеет поддерживать EAP и получать конфигурацию, но я не пробовал его настраивать.
                                      0
                                      В реальном мире именно групповыми политиками/SCCM оно и управляется. Либо MDM. Если нет SCCM/GP/MDM, тогда вместо «установки клиента» будет запуск PowerShell-скрипта, не вижу разницы. Хотите, заверните скрипт в .exe-файл, назовите тот setup.exe, например.
                                        0
                                        Да, ещё добавлю, что если уж стоит именно такая задача — настроить один раз и не трогать на клиенте, а с сервера выдавать постоянно меняющиеся маршруты, то авторы Strongswan пишут, что можно поднять дополнительно DHCP-сервер и раздавать маршруты с его помощью.
                                        Fortunately, Windows sends DHCP request upon connection and add routes supplied in option 249 of DHCP reply.
                                          0
                                          По стандарту IKEv2 действует такое правило: выбираются общие префиксы на которые согласны клиент и сервер. Таким образом, если на клиенте стоит rightsubnet=0.0.0.0/0, а на сервере в leftsubnet заданы конкретные сети, то будут согласованы только эти сети. Не могу сказать, насколько корректно оно реализовано в винде, но в стронгсване точно так работает.
                                        0
                                        Маршруты можно отдать через Mode Config (Split Tunnel). Но, опять же, со стороны ОС в этом вопросе разложена туча граблей.
                                        IKEv2 хорош, но со стороны сервера только EAP (Radius, NPS etc.) или сертификаты, обычным PSK и логин/пароль, как в IKEv1, уже не обойдёшься.
                                          0
                                          Для Windows есть CMAK.
                                            0
                                            При Ike2 Виндовые клиенты шлют dhcp запрос в тунель, достаточно ответить на него с option Classless-Static-Route-Microsoft (код 249)
                                              0
                                              Об этом сказано в вышеприведённой ссылке:
                                              «Windows will always ignore networks received by split-include and request policy with destination 0.0.0.0/0 (TSr). When IPsec-SA is generated, Windows requests DHCP option 249 to which RouterOS will respond with configured split-include networks automatically.»
                                            +1

                                            ike2 — старинный протокол. wireguard?


                                            Сравнение настройки ike2 (strongswan, etc) с настройкой wireguard — простите, разница как между настройкой федерации доменнных деревьев и sshd. Одно — тонны книг, второе — тривиальный конфиг, который работает.

                                              +7
                                              Тривиальный конфиг вбитый руками на двух сторонах, с прибитыми гвоздями IP и DNS.
                                              Я тоже пользуюсь Wireguard но тривиальным для масс-пользователя его не назовешь.
                                                0
                                                для них пишут приложеньки и делают сервисы
                                                  0

                                                  Один известный VPN сервис (не буду упоминать название дабы не сойти за рекламу) уже вовсю внедряет WireGuard, при этом не требует никаких "прибитых гвоздями" вручную IP и DNS.

                                                +3

                                                Openvpn на проотоколе tcp по 443 ему порту единственная штука которая более менее пролазит через все эти гостиничные фаераволы, мобильных операторов и прочих изначально неизвестных условиях подключения, потому как ничем не отличается он обычного https трафика, а он то чаще всего работает.
                                                Скорость и ресурсоемкость обычно не треьуется — у меня например народ ходит на свои рабочие компы по рдп.

                                                  +6
                                                  openvpn на 443 легко детектиться и легко банится, у вас видимо провайдер (или где вы там тестировали) просто 443 пропускает для всего, поэтому сработают любые vpn на этом порту, которые не используют udp. Почти единственный vpn, который который не отличается от https — это sstp (реально работает через https), он и через https прокcи может работать (к примеру, в корпоративных сетях), без дополнительных настроек.
                                                    0
                                                    Есть еще и закрытые протоколы, которые успешно маскируются под легитимный трафик.
                                                      0
                                                      А есть ли для SSTP вменяемый сервер под Linux?
                                                        +2

                                                        SoftEtherVPN вполне поддерживает SSTP. Он странный но работает.

                                                          +2
                                                          Кроме упомянутого SoftEther, есть еще sstp-server. В мануале упущена пара нюансов (все забываю заслать автору пул-реквест), но в целом работает и, как ни странно, довольно бодренько и стабильно, нормально коннектится родным виндовым и открытым андроидовым SSTP-клиентом. При подключении с макоси через iSstp работать почти невозможно, но с чьей стороны проблема я пока что не понял, поэтому выводы делать не буду.
                                                          +2
                                                          openvpn на 443 легко детектиться и легко банится

                                                          IKEv2 блокируется ещё более легко — достаточно закрыть стандартные порты 500 и 4500. А нестандартные большинство клиентов не умеют.

                                                            0
                                                            Почти единственный vpn, который который не отличается от https — это sstp (реально работает через https)
                                                            AnyConnect/OpenConnect еще в копилочку.
                                                              0
                                                              openvpn на 443 легко детектиться и легко банится

                                                              Легко это как? Без DPI не получится. Обычно гостиницы и прочие аэропорты просто блокируют весь UDP целиком (кроме собственного DNS), и осталяют TCP дырочки 443, 80

                                                              И как в этом случае поможет ipsec/IKEv2?

                                                            +5

                                                            На шаге 2 серьезно предлагается на своем сервере запустить от рута неизвестно чей скрипт из интернета, даже не читая его?

                                                              0
                                                              тоже смутило, ipsec легок для настройки на клиентах, практически все поддерживают нативно, достаточно заполнить 3-4 строчки (если с сертификатами все парвильно настроить), но проблемотичен для настройки сервера. Скрипты только привнесут проблем, 99%, лучше настраиват самому. Не смотря на минусы предпочитаю ipsec.
                                                              +1

                                                              Статья по умолчанию предполагает что у всех Win 10 последней версии. Но это далеко не так. Чего только народ не приносил в IT отдел для настройки впн. И win10 были единицы.

                                                                +2
                                                                ipsec без проблем настраивается начиная с 7ки, без дополнительных програм (на xp уже не помню, но скорее всего тоже без проблем), единственно в 10ке повысили стойкость шифрования, но это уже проблемы настройки сервера. Имею клиентов на win 7-10, практически всех маках, ios, андроидах, старых и новых блекбери, почти на всех клиентах IKEv2 настраивается вообще без проблем из коробки, без передачи каких-либо файлов (публичный сертификат от letsencrypt) и пр.
                                                                  0

                                                                  Тогда наверное стоило об этом упомянуть в статье, ато складывается впечатление что нужен последний Win10. Именно во времена XP и поголовного nat я от ipsec плевался и наелся на всю жизнь, так что переход на openvpn стал спасением, а пара скриптов автоматизации и небольшой мануал требуют минимум телодвижений со стороны админа. Но тем не менее еще вопрос, какие VoIP телефоны умеют в ipsec ikev2?

                                                                    0
                                                                    Ipsec я возненавидел еще с DI-804HV. Потом на фряхе его настраивал и на pFsense. Неплохо работает на DFL800. Но рекомендовать его как клиентский VPN это за гранью, имхо.

                                                                    Для безпроблемной и гибкой настройки на любом устройстве есть OpenVPN, для высокоскоростного соединения с минимум латенси и максимумом утилизации появился вайргвард.
                                                                      +1
                                                                      Давно не заходил, извиняюсь за запоздалый ответ, но все же. Для ipsec c клиентской стороны все что нужно сделать (в случае публичного сертификат + mschapv2) — создать стандартное подключение ОС, забить адрес сервера, логин, пароль… и все — остальное проблемы сервера. По сравнению с openvpn, где нужно ставить ПО, передавать сертификаты и пр. настройка ipsec куда легче на клиентской стороне. А если нет прав админа то openvpn и вообще нельзя настроить, помоему.
                                                                      Ну и ipsec не уступает в скорости и латенси wireguard, у меня ipsec получался быстрее (win), хотя тесты в интернете показывают почти одинаковую скорость. Хотя тут многое зависит от способо шифрования, т.к. ipsec поддерживает почти все, главное правильная настройка на сервере. Wireguard хорош, но вот опять же сторонние клиенты, не помню уже как там с админскими правами (win) на клиентах, в общем ipsec, помоему, предпочтительней. Да, если настраивать на длинках проблем точно не избежать, но выбор сервера за вами.
                                                                      0
                                                                      Моя контора во времена XP применяла Cisco VPN Client, который был на IPsec. NAT для проблемы не представлял, инкапсуляция (стандартизованная — IPsec over UDP, или собственная Cisco — по TCP порт 10000) работала нормально, да и настраивался он не сложно. Сейчас перешли на более новый Cisco AnyConnect, он использует TLS и DTLS.
                                                                      +1
                                                                      Как именно добавить этот драйвер к windows XP?

                                                                      Спасибо!
                                                                        +2

                                                                        Закопайте стюардессу уже :) хватит мучить труп

                                                                          +1
                                                                          Какую операционную систему вы посоветуете? В компьютере установлены 1—2 гигабайта памяти и маленький жёсткий диск. ОС должна занимать как можно меньше места на диске и требовать как можно меньше памяти. Поэтому Win7 с её огромной потребностью в жёстком диске не подходит.
                                                                            0
                                                                            А давайте ещё для IBM 5150 поищем драйвера?

                                                                            Да, компьютеры сегодня живут дольше, чем в прошлом веке.

                                                                            Но всё-таки раз в 10 лет их стоит-таки менять.

                                                                            Если же вам себя не жалко — то к вашим услугам полно всякой экзотики типа «лёгких» дистрибутивов Linux или ReacOS…
                                                                              0
                                                                              Вы правы. Я и меняю. Как раз теперь пришло время, когда можно поменять компьютер, потому что стали наконец отдавать компьютеры десяти- и пятнадцатилетней давности.

                                                                              Под линуксом не работает FineReader. Вот это и мешает перейти на линукс.
                                                                                0
                                                                                Как раз теперь пришло время, когда можно поменять компьютер, потому что стали наконец отдавать компьютеры десяти- и пятнадцатилетней давности.
                                                                                Ну так их отдают таким, как я — фанатам старого железа. Поиграться с ним бывает прикольно, но разумеется в интернет вот это вот всё втыкать не следует. Так что отсуствие драйвера для Windows XP — это скорее плюс, чем минус. Вот Windows 7, возможно, ещё поддерживается — это да, это проблема, Windows 7 уже тоже ретро.

                                                                                Под линуксом не работает FineReader. Вот это и мешает перейти на линукс.
                                                                                Для FineReader можно и современную систему использовать, не обязательно для этого использовать ретро-компьютер.
                                                                                  +1
                                                                                  Да, верно: их отдают таким, как я — работникам государственных учреждений культуры. Это самая современная система из доступных мне.
                                                                                    +1

                                                                                    Не мне советовать, но может стоит что-то сменить в жизни что б не зависеть от очередной подачки

                                                                                      0
                                                                                      В государственной науке и государственной культуре принято говорить не «очередная подачка», а «выигранный грант». Целые отрасли живут таким способом. Находите нужным упразднить их?
                                                                                        0

                                                                                        Конечно. Если вы используете VPN на рабочем компьютере- он вам скорее всего не нужен.

                                                                                          0
                                                                                          Боюсь, что вы пошутили, предлагая упразднять государственную науку и государственную культуру.
                                                                                            +1
                                                                                            Ни разу. Стимость компьютера, на котором нормально будет работать Windows 10 и даже игры — порядка 30 тысяч рублей. Если постараться — можно и меньше чуть-чуть.

                                                                                            Менять его нужно раз в 5 лет, «чтобы не было мучитально больно» (условно: клавиатуры и мыши умирают быстрее, монитор может и 20 лет отработать). Это, извините, 500 рублей в месяц. Стоимость проездного.

                                                                                            Если ваша организация неспособна потратить на ваше рабочее место больше, чем она тратит на тупую доставку вашей тушки на это самое рабочее место, то это значит что вся ваша деятельность, по большому счёту — фикция. И существует только для того, чтобы вы могли делать вид, то ваша работа кому-то нужна.

                                                                                            Упрадзнить подобную деятельность — не просто можно, но и нужно. Тогда на какие-то другие вещи (скажем на ту же Ленинку) можно будет выделить больше денег.
                                                                              0

                                                                              Lubuntu, например

                                                                              0

                                                                              Каких то 4-5 лет назад вовсю продавали кассовые моноблоки с windows posready 2009 (это xp). Эта техника не из дешёвых и сейчас вполне актуальна

                                                                                0
                                                                                Зачем кассовым моноблокам VPN?
                                                                                  0

                                                                                  почему нет?
                                                                                  я встречал такое решение в реальной жизни

                                                                            0
                                                                            Не подскажите есть ли какое требование к клиентскому сертификату для Вин7 IKE2? Создал на микроте сертификат? 10-ка без проблем подключается, 7- ка ни в какую. Ошибка 809. Обе машины в домене.
                                                                              0
                                                                              Хехе, если у вас там встретился по дороге NAT, то поздравляю с вступлением в клуб «Обожаю фрагментацию и то как MS её принимает» и тем, что вам теперь надо обновить семёрку на десятку билдом старше, чем 1803 (или 1809 — забыл какой).
                                                                                0
                                                                                Включите на микротике отладку для ipsec и смотрите, что там вам от машин приходит. Там же будет указано, что предлагают разные стороны и в чём они не сошлись.
                                                                                  0

                                                                                  Как вариант проверить:
                                                                                  в 10ке, по умолчанию стоит параметр на вкладке Безопасность, в подключении того ikev2 VPN, Шифрование данных — необязательное
                                                                                  А в win 7 по умолчанию выставлено в Обязательное

                                                                                  0
                                                                                  как раз на семерке-то проблемы и есть, если хочешь IKEv2 + MOBIKE — надо узнать, нагуглить и поставить хотфикс.
                                                                                  0
                                                                                  зачем же последней версии. Лет 5 уже ничего не менялось. А даже если у вас вместо ПО используют в основном всякие ископаемые, то стоит серьёзно занять апгрейдом на вин 7-8 IKEv2 тоже настраивается из коробки, хоть и сложнее
                                                                                    0
                                                                                    а также предполагает Win 2019 последней версии и в целом только одни винды. зато мне пришлось подсоединить несколько версии Линуксов, в том числе не слишком новые, и несколько версии винды, в том числе Win 2008, 2k8 R2 и 2012 R2. вот тогда танцы с бубном длились пару месяцев с привлечением четырех разных сотрудников поддержки M$. в конце они признали, что да, IKE в всех версиях до 2012R2 ведет себя неподобающе и «вам придется обновить до 2016». обновить-то хорошо, но приложение не позволяет, а переписать его стоит десятки миллионов и не рублей.
                                                                                    +1
                                                                                    VPN вообще не особо нужен, как технология доступа большого количества клиентов к некоему сервису.
                                                                                    То внутренние подсетки с домашними пересекаются, то мту у оператора перекручен, то passthrough на каком-нибудь древнем тп-линке плохо работает. А завтра придёт apple и скажет, что ваш впн устарел и мы лучше знаем, что вам нужно — так уже было с pptp, например.

                                                                                    Я стараюсь использовать vpn-туннель в качестве административного туннеля для удаленного управления компьютером. Причем лучше использовать несколько вариантов — например alwayson\directaccess в качестве основного варианта и openvpn как резерв. Но корпоративные сервисы уже давным-давно раздаются через обычный RDG, накрытый двухфакторкой от ADFS. Хочешь — сертификат, хочешь — смска на корпоративный мобильник, прижмет — можно и то, и другое. Во всех случаях шифрование — обычный TLS, а вероятность слить доступ в чужие руки — минимальна.

                                                                                    В BYOD парадигме, имхо, впн (особенно такой, как описан в статье) больше вредит. Потому как создаёт ложное ощущение безопасности, доставляет хлопоты конечным пользователям и фактически не является фактором, обеспечивающим какую-то дополнительную защиту.
                                                                                      0
                                                                                      А завтра придёт apple и скажет, что ваш впн устарел и мы лучше знаем, что вам нужно — так уже было с pptp, например.

                                                                                      И сделали они это вполне заслуженно. PPTP не просто устарел, его надёжность сейчас равна 0 в большинстве ситуаций. А объяснять людям, что им нужно не MS-CHAP, а полноценный PKI поднимать — проблематично.
                                                                                        0
                                                                                        Только они не забыли ещё и прибить его прохождение через тетеринг. Ну не свинство?
                                                                                        С тем же успехом можно было прибить хттп.
                                                                                          0

                                                                                          Потому что для pptp нужен умный коннекшен трекинг чтобы матчить контрольное TCP соединение с GRE пакетами.

                                                                                            0
                                                                                            А разве к безопасности натхелпера для пптп были какие-то вопросы у кого-нибудь?
                                                                                              0

                                                                                              Понятия не имею.


                                                                                              Думается это просто кусок кода который никому не хочется мейнтейнить. Особенно когда есть хреналиард более лучших туннельных протоколов не требующих хитрых финтов.


                                                                                              Яблоко часто так делает: мы решили, а вы е… тесь как хотите. И пипл хавает, т.к. 99% хомяков PPTP не нужен.

                                                                                      –1

                                                                                      IPsec пытался несколько раз настроить самостоятельно, без чужих скриптов. Не получилось. Wireguard со второго раза заработал. Shadowsocks вообще с первого. Во всех случаях надо работать с конфигами. Навыков у меня достаточно. Конфиги IPsec — отличный пример того, как их не надо делать. Пытался запустить его через StrongSwan.

                                                                                        +3
                                                                                        Простите но как связан IKE и собственно VPN, за исключением того что на второй фазе согласуется протокол для передачи данных и таки да как правило это IPSEC? Причем последний бывает как отдельный протокол IP, так и NAT Traversal поверх UDP. И NAT Traversal был сделан исключительно для того чтобы из сети с приватными адресами все же можно было построить тоннель ибо натить IPSEC крайне неблагодарное занятие, ввиду того что входящий пакет из отличий имеет лишь номер SPI да sequence number и угадать кому же этот пакетик весьма затруднительно. Я абсолютно согласен с Вами что IKE не требует создания интерфейса, но он не служит для передачи трафика. Трафик передаётся с использованием того протокола, который был согласован на второй фазе и вот он как раз «хочет» интерфейс. Интерфейс не создают те VPN которые встраиваются в стек и «выхватывают» пакетики, которые по их мнению надлежит передавать через тоннель. Из примеров могу предложить вариант от небеизвестного производителя межсетевых экранов имеющий название SSL Extender. И интерфейс не создаёт и поверх 443 порта прекрасно везде пролезает, так как ничем не отличается от HTTPS, хоть через проксю пропускай (это уже не автору а к комментарию выше). Не путайте людей утверждениями что IKE это VPN. IKE всего лишь начало VPN соединения предназначенное для «обсуждения» сторонами VPN соединения его параметров, включая протокол, используемый для передачи данных.
                                                                                          0
                                                                                          Простите но как связан IKE и собственно VPN, за исключением того что на второй фазе согласуется протокол для передачи данных и таки да как правило это IPSEC?


                                                                                          И для IPsec IKE — опционален :-)

                                                                                          натить IPSEC крайне неблагодарное занятие, ввиду того что входящий пакет из отличий имеет лишь номер SPI да sequence number и угадать кому же этот пакетик весьма затруднительно


                                                                                          Это для ESP. А AH, насколько помню, подписывает даже внешний заголовок пакета, так что к нему применить NAT без дополнительной инкапсуляции вообще невозможно. Конечно, AH не применяется для VPN, но уж если речь зашла об IPsec как таковом, то его тоже стоит упомянуть.
                                                                                            0
                                                                                            Полностью согласен. Суть моего комментария в том что статья написана таким образом, что можно подумать что IKE это и есть VPN, который, в том числе и переносит данные. Что неверно в корне. И вообще IPSEC довольно «тяжёлый» протокол, по «классике» на каждую пару source&destination отдельная SPI ( Cisco STYLE (0.0.0.0&0.0.0.0) в рассчет не берём, ибо это несколько противоречит идеологии IPSEC ), свой набор сессионных ключей ну и так далее.
                                                                                              0
                                                                                              по «классике» на каждую пару source&destination отдельная SPI

                                                                                              Ну да, но обычно на одного VPN-клиента или целую удалённую сеть в варианте LAN-to-LAN имеется всего одна пара IPsec SA со своими SPI, да и та создаётся динамически, тем же IKE. Так что не вижу тут особой тяжести.
                                                                                                0
                                                                                                На каждую пару src IP/Mask — dst IP/Mask. LAN2LAN это вообще отдельная тема. Тут есть вариации — кто после построения SA инсиаллирует удаленыый префикс в кернел и потом редистрибьютит его в динамические протоколы, кто строит GRE внутри IPSEC и уже на GREшных интефейсах поднимает динамику, ибо другого способа «запихать» в IPSEC тоннель мультикаст или network broadcast не существует (как раз в силу необходимости построения SA на каждую пару адресов).
                                                                                                  0
                                                                                                  Насколько помню, в IPsec поддержка мультикаста появилась лет десять назад. Но я с ним никогда особо не возился.
                                                                                                    0
                                                                                                    RFC5374, но это не спасёт если захочется поднять OSPF, например. Мало того что он использует два мультикастных адреса, так он ещё, кроме отправки мультикаста, и слушает его ведь. С точки зрения IPSEC нельзя построить «двунаправленную» SA — передавать на некий мультикастный адрес и слушать на нем же. Также не выйдет поднять две SA с одинаковыми src-dst парами IP/Mask например для увеличения полосы или резервирования. Да и маршрутизация в IPSEC не по таблице маршрутизации, а по таблице SA.
                                                                                                      0
                                                                                                      Насчёт мультикаста интересно, спасибо.

                                                                                                      По поводу маршрутизации, я бы сказал, по-разному бывает. Если на устройстве есть отдельный туннельный интерфейс, то маршрутизация может работать, не глядя на SA. SA лишь определяют, как поступать с проходящими через интерфейс пакетами — pass/drop/encrypt.
                                                                                                        0
                                                                                                        Не, не так. SA не определяет, SA это уже фактическая передача пакета. Кернел вообще ничего не знает об SA, он отдаёт пакет в интерфейс, далее по паре адресов пытаются найти живую SA, если её не находят, но эта пара адресов числится как валидная для передачи через тоннель, то «поднимается» необходимая SA (при этом из конфига извлекается адрес пира, куда надо эту SA построить), а если пара адресов не валидная, то в логе появится «no SA found» (у разных производителей по разному конечно же, но общий смысл такой же). Причём SA всегда «направлена» в одну сторону. Исходящий трафик это одна SA, входящий другая. Без особых проблем можно «сотворить» конфигурацию, когда SA будет только одна, обратная не поднимется. Тогда трафик будет ходить только в одну сторону и понять из за чего так, можно только посмотрев какие SA вообще сейчас есть. Никаких дропов нигде не будет видно (по крайней мере я ни разу не видел, чтобы кто то умел показывать дропы). IPSEC всеми нелюбим в силу своей строгости в части совпадания конфигураций на обоих концах тоннеля. Дальше можно построить две SA между адресами двух GRE и интерфейсов и гонять весь трафик в GRE, чтобы IPSEC даже не догадывался откуда и куда пакет. Либо на каждую новую пару новая SA, которую, увы, надо предварительно описать в конфиге. «на лету» не работает, конечный адрес, всегда только за одной SA, в две точки поднять SA с одинаковыми параметрами нельзя.
                                                                                          +1
                                                                                          IKEv2, безусловно, хорош, но для массового использования нужен запасной вариант на случай, если доступ есть только к Web, а не ко всему Internet. Например, SSTP.

                                                                                          Скрипт, на который вы ссылаетесь, не даст подключиться Windows-клиентам с настройками по умолчанию:
                                                                                          ike=aes256gcm16-prfsha384-ecp384!
                                                                                          esp=aes256gcm16-ecp384!

                                                                                          В том же скрипте указано, как настроить Windows 10 Pro (и выше) для подключения к такому серверу:
                                                                                          Set-VpnConnectionIPsecConfiguration -ConnectionName "${VPNHOST}" \`
                                                                                          	  -AuthenticationTransformConstants GCMAES256 \`
                                                                                          	  -CipherTransformConstants GCMAES256 \`
                                                                                          	  -EncryptionMethod GCMAES256 \`
                                                                                          	  -IntegrityCheckMethod SHA384 \`
                                                                                          	  -DHGroup ECP384 \`
                                                                                          	  -PfsGroup ECP384 \`
                                                                                          	  -Force

                                                                                          Если нужна совместимость с более широким парком Windows-клиентов, можно, как минимум, включить MODP2048 на сервере, а на клиентах выставлять в 1 значение HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256.

                                                                                          Теоретически, можно включить и MODP1024, чтобы могли подключиться Windows-клиенты без всяких настроек. Пока взлом MODP1024 считается доступным только государствам с огромными вычислительными мощностями, но прогресс не стоит на месте, и кто знает, у кого ещё уже есть радужные таблицы для него.
                                                                                            0
                                                                                            эмм что? пока что даже mppe 128 из pptp взломать невозможно, ни государству ни всему миру, расчеты показывают что для перебора 128битного пространства надо сжечь солнце
                                                                                          +1

                                                                                          L2TP — лучший, есть нативный клиент во всех популярных пользовательских ОС(Windows, Linux, OS X, iOS, Android)

                                                                                            +1
                                                                                            До тех пор, пока вам с целевой машины не потребовалось поднять ещё один туннель :)
                                                                                              0
                                                                                              До тех пор, пока не потребуется dns из корпоративной сети и одновременный доступ к корпоративному и публичному сайту.
                                                                                                0
                                                                                                Это вы делаете вывод из опыта?

                                                                                                Мой-то опыт показал другое. Если в windows не туннелировать весь трафик через VPN, тогда запросы к корпоративной сети идут через VPN, а публичные запросы идут через default gate. Поэтому я не вполне уверен в ваших словах.
                                                                                                  0
                                                                                                  Да, из личного опыта.
                                                                                                  Т.е. тетенька из бухгалтерии сидя дома и которой нужно получить доступ к корпоративном сайту, который находится не в ее офисе, а в головном, сможет сама прописать маршрут на головной офис? А откуда в конфиге сети на ее домашнем компе окажется dns головного офиса?
                                                                                                  У нее в офисе сетка 192.168.100.0/24, а в головном 172.31.0.0/16. Проясните.
                                                                                                    0
                                                                                                    Например, ей от начальства пришлют командный файл с нужной командой для прописывания роутинга?

                                                                                                    Например, когда она подключится к VPN, она увидит такой командный файл на сетевом диске и запустит его?
                                                                                                      +1
                                                                                                      Мне жаль Вас разочаровывать, но Вы гадаете. Адрес, назначенный локальному туннельному инт., никак не может принадлежать сети организации — он принадлежит сети VPN, значит никуда она кроме кроме как на VPN шлюз не попадет (если VPN инт. не является шлюзом по умолчанию).
                                                                                                      Создание маршрута требует повышения прав до админа, она должна это помнить.
                                                                                                      Нужно поставить дефолтным dns организации, а после отключения VPN — убрать.
                                                                                                      Конечно, все это можно сделать тем же самым скриптом.
                                                                                                      Но сколько гемора, гневных звонков и плача.
                                                                                                      И все это ради веры утверждению «L2TP — лучший»?
                                                                                                        0
                                                                                                        Адрес, назначенный локальному туннельному инт., никак не может принадлежать сети организации — он принадлежит сети VPN

                                                                                                        А «сеть VPN» не является частью сети организации?

                                                                                                        И все это ради веры утверждению «L2TP — лучший»?

                                                                                                        Лучший-не лучший, но с такой задачей, как переключение DNS на внутренний сервер организации он справляется без проблем.
                                                                                              0
                                                                                              Как уже отмечено выше, IKE(v2) != IPSec в общем случае.
                                                                                                0
                                                                                                а что насчёт двухфакторной аутентификации?
                                                                                                  +1
                                                                                                  Всё хорошо, пока дело не дошло до клиентов за «кривым» NAT, при котором оно то работает, то нет. Вообще у IPSec семейства сложности с NAT, хоть они пишут везде, что всё решено и работает, зачастую это зависит от того как звёзды сошлись…
                                                                                                  У меня есть удалённые iOS клиенты выходящие в сеть через мобильный интернет. Так вот ОНИ сами заметили, что IKEv2 в каких-то точках города 100% не работает. В одних и тех же точках. Что там не так? Другая маршрутизация ОПСоСа с конкретных вышек? В любом случае как-то хлипко.
                                                                                                    0

                                                                                                    IKEv2 имеет nat traversal по умолчанию и автоматически уходит в UDP если детектит нат. Можно вообще форсировать это на всякий пожарный.

                                                                                                      0
                                                                                                      А теперь я пойду с козырей:
                                                                                                      Дано: Windows 7/8/8.1/10(до 1803) — надо настроить IKEv2 с клиентскими сертификатами. Комп с этой виндой стоит за старым NATом. Дайте конфиг ЛЮБОГО IKEv2 сервера, с которым этот комп установит соединение при условии того, что там eap-tls.
                                                                                                        0

                                                                                                        Я и не отрицаю. Работает через раз. У меня вот strongswan настроен. У одних и тех же клиентов то раьоатет то нет. Если смотерть логи, то фаза 2 (по моему, уже не помню) уходит в ретрейны и тамауты. Решения не нашел, потому как выглядит это странно в сниффере со стороны клиента все уходит, но на сервер не приходит. И именно со второй фазы. А пото происходит нечто и ОП, все заработало! Чудо?! А потом может ОП и перестать. Лично у меня дома так. Так у меня статический IP. Собственный роутер с НАТ на базе OpenWRT и я иногда вот так не могу попасть в рабочую сеть. Свою же сеть...

                                                                                                          0
                                                                                                          Клиенты на базе MS-Windows?
                                                                                                            0
                                                                                                            на ней, и на macOS тоже. Скажем macOS даже более подвержена этому эффекту.
                                                                                                      0
                                                                                                      Strongswan, из текущего продакшн опыта
                                                                                                      + Легко и непринужденно работает подключение ikev2/ipsec в Windows
                                                                                                      — Легко и непринужденно обновление Windows(особенно 10-ки) вызывает необходимость дебажить что же такое поменяли MS в дефолтных параметрах ipseс и как это исправить — или же параметры надо строго фиксировать сразу, при изначальной настройке (или в скрипте настройки). Особая весёлость что на каком то этапе в Win10 часть настроек ipsec были только через powershell а другая только через netsh. Я так и не понял, то ли не все параметры в коммандлеты завезли то ли что
                                                                                                      Отдельная конфигурация для MacOS. Отдельный геморрой с настройкой через оригинальный клиент. Так и не удалось победить привязку к радиусу AD (и через консольный клиент strongswan тоже) — пароли хранятся статически открытым текстом в файлике ipsec.secrets на сервере.
                                                                                                      Отдельная конфигурация для Linux клиентов. Тут хоть все работает более-менее. Через консоль. Network Manager плагин работает если его правильно собрать — то есть, если память не изменяет, в Fedora он собран, а во многих других дистрах через интерфейс — хрен (информация годовой давности, после чего забил). Использование централизованной аутентификации через AD опять же падает по непонятным причинам и не работает, пароли статические.
                                                                                                      Проблемы с радиусом отношу к своей криворукости но не нашел ни одного адекватного способа отдебажить что там не так, без неадекватных затрат времени. Но в итоге централизованная аутентификация через AD — только на Win.
                                                                                                      + Легко и непринужденно работаем с конфигами (автоподъем в случае смерти сервера возвращает все взад).
                                                                                                      — Нет OTP в оригинальном решении. Можно использовать проприетарное решение от кого-нибудь, кто уже реализовал OTP, но опенсорсом тут тогда и не пахнет.
                                                                                                      — двойной нат от провайдера зачастую делает ipsec туннель неработоспособным.

                                                                                                      При этом OpenVPN (возьмите хотя бы pritunl) решает именно такие задачи относительно просто, обеспечивает вас ТЫСЯЧЕЙ гайдов по настройке и просто работает. И, конечно, имеет свои проблемы.
                                                                                                      Советовать протокол (против «Other VPN») а не реализацию для организации доступа пользователей, при том что протокол хорош, конечно, — я бы вот так не стал. Уж лучше тогда WG рекламировать чтобы на него побольше перешло и побыстрее появились обвязки с OTP и прочая, чего ему не хватает для нормального использования.
                                                                                                        0
                                                                                                        Вот про pritunl я бы поспорил. Тысячи гайдов по OpenVPN это хорошо, но если использовать для управления им pritunl то документации по нему «кот наплакал», коммьюнити как такового нет. Приходится для банальных вещей (например подкрутить NAT, правила для которого он очень странно строит) приходится лезть к нему в кишки, благо там python и можно разобраться в принципе.
                                                                                                        +4
                                                                                                        Админам, после данной фразы, можно не читать: «люди устанавливают монструозные глючные программы, настраивают какие-то сертификаты, устанавливают драйвера TUN/TAP и делают множество сложных операций, в то время как лучшее решение уже встроено в операционную систему». ИМХО.
                                                                                                          0

                                                                                                          Ну сам его использую, на микротах развернул. Но столкнулся с проблемой, при которой доступ к локальным папкам на nas есть, пинги до него проходят и трассировка, динамический маршрут до него есть, но веб морда не открывается. Притом, что на андроид и Linux работает

                                                                                                            –1
                                                                                                            Девиз большого брата: «Не можешь победить — возглавь».
                                                                                                              0
                                                                                                              Подскажите по поводу настройки strong swan в части
                                                                                                              — одновременная работа сервера в ike2 и l2tp
                                                                                                              — выделенный интерфейс через который ходит трафик (по умолчанию вижу его почему-то на внешнем интерфейсе)

                                                                                                              Когда клиент strong swan и сервер strong swan чтобы пропускался транзитный трафик. Сейчас через туннель проходит трафик только если адрес источника находится на интерфейсе клиента…

                                                                                                              Спасибо.
                                                                                                                +1

                                                                                                                IPSec, OpenVPN… Зачем такие сложности, если есть SSTP? Он может конечно и не в пространстве ядра обсчитывается (правда зачем оно нужно я так и не понял, потери в 1 мс это смешно), зато пролазит практически везде, поддерживается очень много где и имеет те же плюсы что и IKEv2 (с проверкой подлинности по обычным SSL сертификатам и нормальным шифрованием).

                                                                                                                  0

                                                                                                                  А для Android уже сделали бесплатный клиент?

                                                                                                                    0
                                                                                                                    Сделали. Немного сыроват, но в целом работает.
                                                                                                                    0
                                                                                                                    Кроме OpenVPN не нашел не одной реализации VPN (кроме Cisco), которая автоматически сможет передать клиентской машине параметры корпоративной среды. По нынешним временам возможности инкапсулирования и шифрования недостаточно.
                                                                                                                      0
                                                                                                                      А что понимается под «параметрами корпоративной среды»?
                                                                                                                        0
                                                                                                                        Если вы про отдачу DNS и маршрутов клиенту, то в Линуксе такое можно настроить для PPTP сервера (хотя должно заработать и с L2TP). Но приходится использовать такой трюк костыль:
                                                                                                                        1. в pptpd.conf указываем bcrelay eth0, где eth0 — интерфейс на котором поднят dhcpd
                                                                                                                        2. Собственно настраиваем dhcpd (ISC dhcpd):
                                                                                                                        option ms-classless-routes code 249 = array of unsigned integer 8;
                                                                                                                        option rfc3442-classless-routes code 121 = array of unsigned integer 8;
                                                                                                                        
                                                                                                                        shared-network PPTP {
                                                                                                                        	authoritative;
                                                                                                                        	option domain-name-servers 172.16.10.1, 8.8.8.8;
                                                                                                                        	option netbios-name-servers 172.16.10.2, 172.16.10.30;
                                                                                                                        	default-lease-time 3600;
                                                                                                                        	max-lease-time 7200;
                                                                                                                        
                                                                                                                        	subnet 10.16.0.0 netmask 255.255.255.0 {
                                                                                                                        		option routers 10.16.0.1;
                                                                                                                        		option ms-classless-routes 24, 172,16,10, 10,16,0,1, 24, 10,1,0, 10,16,0,1;
                                                                                                                        		option rfc3442-classless-routes 24, 172,16,10, 10,16,0,1, 24, 10,1,0, 10,16,0,1;
                                                                                                                        	}
                                                                                                                        }
                                                                                                                        


                                                                                                                        Весьма странно выглядит запись маршрутов:
                                                                                                                        24, 172,16,10, 10,16,0,1, 24, 10,1,0, 10,16,0,1
                                                                                                                        Сначала маска, потом сеть, потом шлюз.
                                                                                                                        Но скажу сразу: клиентами выступали компьютеры под Win7, ни под Win10, ни под Android/iOS/… я не тестировал.
                                                                                                                          0
                                                                                                                          Вообще, я с помощью DNSMasq и SSTP (SoftEther-овским) добивался вполне успешно подобного же. Клиенты под Win7 и Win10 кушали DNS и маршруты как миленькие!
                                                                                                                        +1

                                                                                                                        SSTP работает поверх TCP. VPN, использующий транспорт с какими-либо состояниями и гарантиями доставки (в данном случае читать как "TCP") — это крайне некрасивое решение технически и просто плохо работает в случае банального соединения с потерями. Единственное, что можно отнести к плюсам SSTP — мимикрия под HTTPS.

                                                                                                                        +1

                                                                                                                        Знаете, вот эти вот "оно само у вас заработает" как раз и вызывает бо́льшую часть проблем, когда есть какая-то неучтенная производителем "мелочь".

                                                                                                                          +1
                                                                                                                          В статье полно неприятных упрощений и неточностей.

                                                                                                                          Для этого используются обычные SSL-сертификаты, которые мы привыкли использовать для веб-сайтов и HTTPS.


                                                                                                                          Нет никаких «SSL-сертификатов». SSL (пора бы уж забыть про это сокращение и говорить/писать «TLS») — всего лишь одна из сфер применения сертификатов.

                                                                                                                          Не нужно больше передавать клиенту файлы с сертификатами и ключами


                                                                                                                          Клиент, внезапно, тоже может использовать сертификат для аутентификации. А в моей конторе сейчас вообще клиент использует и сертификат, и логин-пароль, вместе.

                                                                                                                          Не нужно больше… заставлять его импортировать корневые сертификаты в системное хранилище.


                                                                                                                          А если на VPN-концентраторе стоит сертификат не от коммерческого CA, а от своей внутренней PKI, то нужно. И в любом случае — это вопрос, вообще никак не привязанный к IKEv2 как таковому. Он одинаково встаёт (или не встаёт) и для IKEv1 и для VPN по TLS.
                                                                                                                            0
                                                                                                                            Почему я юзаю OpenVPN? Потому, что готовлю его так, как мне нравится — udp hole punching через NAT и прочие извращения ))) и 1,5 мс задержки не так важны…
                                                                                                                              0
                                                                                                                              Сравнивать по скорости IKEv2 и OpenVPN/Wireguard не вполне корректно. IKEv2 — это лишь часть стека IPSec, а именно протокол обмена ключами, и на пропускную способность туннеля, равно как и пинг он напрямую не влияет. Да и работает демон IKEv2 как раз таки в юзерспейсе. В ядре же работают AH/ESP, которые как раз и отвечают за шифрование и аутенификацию пакетов и именно поэтому пропускная способность и время отклика сравнимы с Wireguard. Но только зашифрованный ESP туннель можно создать и без демона IKEv2 — например, с помощью ip xfrm.
                                                                                                                                0
                                                                                                                                Объясните неспециалисту — а какие критические недостатки у PPTP?
                                                                                                                                  +2
                                                                                                                                  1) GRE.
                                                                                                                                  2) Безопасность.
                                                                                                                                    +1
                                                                                                                                    PPTP несколько необычный протокол. Он использует два различных соединения: TCP на порт 1723 для обмена управляющей информацией (установка-разрыв соединения и т.д.) и GRE-туннель собственно для передачи инкапсулируемого траффика. То ли из-за этого, то ли ещё из-за чего его многие производители не любят. В Cisco IOS, например, он официально не поддерживался, но при этом был скрытый функционал — если дать специальную секретную команду, то становился доступен ряд команд по работе с PPTP.
                                                                                                                                    Также традиционно считается, что в PPTP не здорово с безопасностью. Для шифрации там предлагается специфичный майкрософтовский (MS во времена NT активно продвигала PPTP) MPPE, который является субпротоколом PPP. Он и слабее, чем, скажем, AES, и не защищает IP-заголовки пакетов. Реализации PPTP с IPsec вроде нет, хотя я подозреваю, что если правильно настроить политики IPsec с двух сторон, то может и взлететь.
                                                                                                                                  –1
                                                                                                                                  IKE любых версий — адовые костыли. С кучей проблем реализации, настройки и отладки.

                                                                                                                                  Да, кстати, в ентерпрайзе почти повально используется IKEv1, а не IKEv2, потому что дубовый и как-то все уже привыкли к более-менее стабильным конфигурации.

                                                                                                                                  Пример реального кейса: есть ipsec, внутри которого две пары IP. В среднем раз в несколько дней по одной из пар (по обеим крайне редко) начинаются ошибки декапсуляции, которые обычно не более чем через 10 минут прекращаются. Причём в логах ничего внятного. Ошибка, конечно, заключалась в несогласованных параметрах на обеих концах, но как можно хвалить такую адски кривую хрень — я не понимаю.
                                                                                                                                    0

                                                                                                                                    а откуда взялся миф про 1мс на openvpn?


                                                                                                                                    вот пинг пакетами по 1000 байт через интернет:


                                                                                                                                    100 packets transmitted, 100 received, 0% packet loss, time 258ms
                                                                                                                                    rtt min/avg/max/mdev = 0.547/0.690/0.743/0.060 ms

                                                                                                                                    вот оно же через openvpn:


                                                                                                                                    100 packets transmitted, 100 received, 0% packet loss, time 47ms
                                                                                                                                    rtt min/avg/max/mdev = 0.695/0.982/2.760/0.232 ms

                                                                                                                                    rtt выросло в среднем на 0.3мс

                                                                                                                                      +2

                                                                                                                                      Я прошу прощения, но заголовок обещает нам сравнение IKEv2 с некими "другими VPN", в статье же ничего кроме OpenVPN не упоминается.

                                                                                                                                        0
                                                                                                                                        Слушайте, поправьте хоть сам заголовок.
                                                                                                                                        IKEv2 это ни как не VPN, это часть инфраструктуры IPSEC.
                                                                                                                                        И в самой статье рекламы больше, чем описания IKEv2.
                                                                                                                                        Насчет того, что настраивать проще — тоже не совсем так.
                                                                                                                                        Про простоту настройки — это к wireguard.
                                                                                                                                          0
                                                                                                                                          Может есть какой либо гайд, как добавить этот драйвер? Win7 x64

                                                                                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                          Самое читаемое