Как стать автором
Обновить

Не совсем обычное VPN соединение обычными средствами

Сетевые технологии *
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Всего голосов 12: ↑8 и ↓4 +4
Просмотры 152K
Комментарии 16

ПАК ФПСУ-IP и его плюшки

Информационная безопасность *
Аппаратная организация VPN в РФ в основном держится на следующем оборудовании: CSP VPN Gate (rVPN), ФПСУ, Континент, Check Point, Infotecs VipNet. В данной заметке попытаюсь рассказать о ФПСУ – «Программно-аппаратный комплекс «Фильтр Пакетов Сетевого Уровня – Internet Protocol», который используют по крайней мере в двух очень больших корпорациях, а его плюшки еще шире разлетелись по территории РФ.
На мой скромный вкус, название не ахти, особенно 4 крайние буквы, которые запросто трансформируются в «2СУ», «2IP», «2*3OSI» или что-то подобное, т.к. по смыслу означают одно и то же. Не знаю почему, но мне сразу на ум приходит видео о КРИПО и их «интернет портале». Разработан ФПСУ российской компанией Амикон, и предназначен для организации туннелей между оконечным сетевым оборудованием.
Читать дальше →
Всего голосов 9: ↑4 и ↓5 -1
Просмотры 43K
Комментарии 19

Как устроен VPN через SSTP

Информационная безопасность *Криптография *Сетевые технологии *
Из песочницы
Нашёл буквально несколько упоминаний о SSTP на Хабре, в связи с чем хочу рассказать про устройство этого протокола. Secure Socket Tunneling Protocol (SSTP) – протокол VPN от Microsoft, основанный на SSL и включённый в состав их ОС начиная с Windows 2008 и Windows Vista SP1. Соединение проходит с помощью HTTPS по 443 порту. Для шифрования используется SSL, для аутентификации — SSL и PPP. Подробнее про устройство — под катом.
Читать дальше →
Всего голосов 29: ↑24 и ↓5 +19
Просмотры 114K
Комментарии 8

Использование TAP интерфейса OpenVPN на NAS Synology (с аутентификацией по сертификату)

Системное администрирование *
Из песочницы

Предыстория


Радость от появления пакета OpenVPN для сетевого хранилища Synology быстро прошла. Попытка настроить сеть для малого офиса, закончилась практически не начавшись. В интерфейсе для настройки пакета отсутствовали все прелести этого самого пакета (доступна только авторизация по логину и паролю).

Недавно наткнулся на статью: «Учим NAS Synology маршрутизировать трафик в OpenVPN туннель с аутентификацией по сертификату».
Вроде бы то, что надо. Но!
Как оказалось, даже подобное вмешательство «руками» в недра прошивки не позволяет поднимать соединения через TAP-интерфейсы.
Ну, что ж. Не останавливаться же на половине пути…
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 13K
Комментарии 2

vCloud Director для самых маленьких (часть 5): настройка VPN

Блог компании DataLine
Сегодня расскажем, как строить site-to-site VPN-соединение, используя vShield Edge в панели vCloud Director. В конце расскажем про новые возможности, которые появились с этой недели в CloudLITE, летних ценах и скидках. Дочитайте до конца).

image
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 9.7K
Комментарии 0

VPN на роутере Билайн для обхода блокировок

Сетевые технологии *
Из песочницы

Билайн активно вводит в своих домашних сетях технологию IPoE. Данный подход позволяет авторизовать клиента по MAC-адресу его оборудования без применения VPN. При переводе сети на IPoE VPN-клиент роутера становится незадействованным и продолжает настойчиво стучаться в отключенный провайдерский VPN-сервер. Нам остается только перенастроить VPN-клиент роутера на VPN-сервер в стране, где не практикуются блокировки интернета, и вся домашняя сеть автоматически получает доступ к google.com (на момент написания статьи этот сайт был заблокирован).

Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры 35K
Комментарии 13

Что происходит при соединениях внутри и вне VPN-туннеля

Информационная безопасность *Сетевые технологии *Серверное администрирование *
Tutorial
Из писем в службу техподдержки Tucha рождаются настоящие статьи. Так, недавно к нам обратился клиент с запросом разъяснить, что происходит при соединениях внутри VPN-туннеля между офисом пользователя и средой в облаке, а также при соединениях вне VPN-туннеля. Поэтому весь текст, приведенный ниже, — это реальное письмо, которое мы отправили одному из клиентов в ответ на его вопрос. Конечно, изменили IP-адреса, чтобы не деанонимизировать клиента. Но, да, служба технической поддержки Tucha действительно славится своими развёрнутыми ответами и содержательными письмами. :-)

Конечно, мы понимаем, что для многих эта статья не станет открытием. Но, поскольку на Habr время от времени появляются статьи для начинающих администраторов, а также ввиду того, что эта статья появилась из реального письма реальному клиенту, мы всё же поделимся этой информацией и здесь. Есть большая вероятность, что кому-то она будет полезна.
Поэтому подробно объясняем, что происходит между сервером в облаке и офисом, если они объединены site-to-site сетью. Отметим, что при этом часть сервисов доступна только из офиса, а часть — откуда угодно из сети Интернет.

Сразу объясним, что наш клиент пожелал, чтобы на сервер 192.168.A.1 можно было откуда угодно приходить по RDP, подключаясь к A.A.A.2:13389, а к остальным службам — только из офиса (192.168.B.0/24), подключённого через VPN. Также у клиента было настроено изначально, что к машине 192.168.B.2 в офисе тоже можно было ходить по RDP откуда угодно, подключаясь к B.B.B.1:11111. Мы помогли организовать IPSec-соединения между облаком и офисом, и ИТ-специалист заказчика начал задавать вопросы о том, что будет в том или ином случае. Чтобы ответить на все эти вопросы, мы, собственно, и написали ему всё то, что вы можете прочесть ниже.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 8.6K
Комментарии 7

Настраиваем WireGuard на роутере Mikrotik под управлением OpenWrt

Информационная безопасность *Системное администрирование *Сетевые технологии *Сетевое оборудование
Tutorial
image

В большинстве случаев подключить роутер к VPN не сложно, но если вы хотите защитить целую сеть и при этом сохранить оптимальную скорость соединения, то наилучшим решением будет воспользоваться VPN-туннелем WireGuard.

Роутеры Mikrotik зарекомендовали себя как надежные и очень гибкие решешния, но к сожалению поддержки WireGuard на RouterOS все еще нет и не известно когда появится и в каком исполнении. Недавно стало известно о том, что разработчики VPN-туннеля WireGuard предложили набор патчей, которые сделают их ПО для организации VPN-туннелей частью ядра Linux, надеемся это поспособствует внедрению в RouterOS.

Но а пока, к сожалению, для настройки WireGuard на роутере Mikrotik необходимо сменить прошивку.
Читать дальше →
Всего голосов 9: ↑7 и ↓2 +5
Просмотры 41K
Комментарии 94

Удаленка с Zyxel

Блог компании ZYXEL в России Информационная безопасность *Системное администрирование *Сетевые технологии *Сетевое оборудование

Наверное, это будет одна из самых короткий наших публикаций, но в принципе много говорить и не надо. Удаленка форева! Ну или во всяком случае на какое-то время. А после того, как все это закончится — в офисы вернуться не все, кто-то так и останется работать из дома. Частично или нет — другой вопрос, но удаленки будет больше.

А потому мы собрали для вас тут инструкцию как настроить удаленку на шлюзах Zyxel и на клиенте. Способов несколько, обо всем ниже. По всем вопросам – к нам в телеграм или на форум, адреса в конце.

Берегите себя и других, оставайтесь дома!
Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 3.9K
Комментарии 5

Создание подключений VPN на шлюзах Zyxel

Блог компании ZYXEL в России Системное администрирование *Сетевые технологии *Сетевое оборудование Удалённая работа
Tutorial


VPN шлюзы Zyxel Zywall серий VPN, ATP и USG обладают обширными возможностями создания защищенных виртуальных сетей (VPN) для подключения как конечных пользователей (узел-сеть), так и создания подключения между шлюзами (сеть-сеть). В этой статье мы пройдем по всем моментам создания и настройки VPN подключения удаленных сотрудников.
Читать дальше →
Рейтинг 0
Просмотры 13K
Комментарии 7

IPSec всемогущий

Системное администрирование **nix *
Из песочницы
Добрый день, друзья. Не секрет, что многим из нас хоть раз, но пришлось столкнуться с необходимостью настройки VPN. Являясь активным читателем Хабра я заметил, что несмотря на обилие статей про IPSec, многим он всё равно представляется чем-то сложным и перегруженным. В данной статье я попытаюсь развеять данные мифы на примере собственной полностью рабочей конфигурации. В четырех примерах мы полностью пройдемся по настройке наиболее популярного решения под Linux (Strongswan) начиная от простого туннеля с аутентификацией сторон PSK-ключами до установки host-to-host соединения с аутентификацией обеих сторон на базе сертификатов от Let's Encrypt. Интересно? Добро пожаловать под кат!
Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 61K
Комментарии 9

Маршрутизация IPv6 через WireGuard с поддержкой SLAAC

Сетевые технологии *
Из песочницы

Вдохновившись аргументами из статьи «IPv6 — прекрасный мир, стоящий скорого перехода на него», мне стало катастрофически не хватать IPv6. Конечная цель: обеспечить каждое из своих устройства уникальным публичным псевдостатическим IPv6.

Для дома решение довольно простое: при наличии статического IPv4, можно получить подсеть IPv6 от туннельного брокера и на этом вопрос можно считать закрытым.

А вот с мобильными устройствами так не получится: услуга статического IPv4 тут скорее редкость; да и при наличии бесплатного WiFi я выберу подключение к нему, а не к мобильной сети.

Остаётся единственный вариант — использовать VPN. Существующие на GitHub решения типа “wireguard-install” или “openvpn-install” имеют фатальный недостаток: они отдают клиенту единственный IPv6/128 адрес, а чтобы у клиентов появилась возможность автоконфигурации, нужна целая /64 подсеть.

Предлагается решение на основе WireGuard.

Это интересно, читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 6.2K
Комментарии 22

Технология VPN и как с ее помощью реализовать Zero Trust

Сетевые технологии *Стандарты связи Удалённая работа
Из песочницы

Без сети Интернет сейчас тяжело представить нашу жизнь, и, несмотря на то, что существует угроза перехвата личных данных или кибератаки, частные пользователи продолжают её использовать, так как риск для нас не настолько высок, чтобы о нем переживать. Однако в крупных компаниях так отмахнуться не получится: на кону может стоять конфиденциальная информация корпорации и ее сотрудников, конкурентоспособность, секретные планы компании и прочее. При этом зачастую разные отделы или филиалы могут быть расположены далеко друг от друга, или компания сотрудничает с другой, не связанной с ней одной сетью, что ставит вопрос: как безопасно передавать информацию? Публичной сети интернет доверять нельзя, а позволить себе создание собственной сети или выделенного канала связи может далеко не каждая корпорация. Решением этой проблемы стало формирование защищенной сети VPN, работающей поверх публичной. 

Однако сейчас иногда и этого недостаточно, и для больше безопасности многие компании стараются придерживаться принципам Zero trust (или сеть с нулевым доверием). Построить такую сеть, оказывается, можно как раз используя технологию VPN.

Читать далее
Всего голосов 26: ↑23 и ↓3 +20
Просмотры 4.6K
Комментарии 0

Как сделать VPN-туннель для недружественного почтового сервера

Системное администрирование **nix *
Tutorial

В предыдущей статье, где рассказывалось о признании моего почтового сервера «недружественным», я упоминал о том, что смог обойти введённые ограничения с помощью аренды дополнительного виртуального сервера на территории РФ и проброса до него VPN-туннеля от основного сервера. После публикации статьи мне пришло несколько личных сообщений с просьбой рассказать подробнее о процессе настройки такого туннеля. В этой статье я постараюсь как можно более подробно описать этот процесс.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 4.5K
Комментарии 27