Jump to content

Какой нынче VPN для удаленного доступа можно использовать?

alibek
 Share

Recommended Posts

alibek

alibek

Posted
Posted

Есть шлюз OPNsense (версии 25).

Хотелось бы настроить на нем удаленный доступ, как минимум к самому шлюзу, а по возможности и к офисной сети. В качестве клиентов будут либо Windows, либо андроид-устройства.

Ранее был удобный протокол PPTP, клиент которого был встроен в Windows, андроид и в 90% роутеров. Но нынче он считается небезопасным и из OPNsense его выпилили.

Сейчас в OPNsense из коробки идут IPsec, OpenVPN и Wireguard (плюс дополнительно можно установить Tinc).

Wireguard вроде бы неплох, но требуется клиент, встроенной поддержки нет.

OpenVPN более распространен, но для Windows и андроида все равно нужен клиент.

IPsec встроен в свежие Windows и андроид, но в OPNsense поддерживается только сценарий site-to-site, для соединения офисов это наверное хорошо, а вот для оперативного доступа с произвольного ПК — не очень. Да и вообще в IPsec настройка не самая тривиальная, без шпаргалки так сразу и не разберешься.

 

Сейчас выбираю между OpenVPN (более распространен) и Wireguard (проще и удобнее). Но вдруг всезнающий all подскажет что-то более удобное? Или подскажет, как вернуть PPTP?

alibek

alibek

Posted
  • Author
Posted

В общем выбрал Wireguard. Даже в документацию заглядывать не пришлось, все вполне интуитивно оказалось.

OpenVPN в legacy-режиме предупреждает, что с 26 версии это работать перестанет. А в нынешней имплементации там с настройками и сертификатами перемудрили.

И с IPsec аналогично — замороченные настройки и все на сертификаты завязано. А с ними с самые неподходящие моменты всякие нюансы могут всплыть типа неподдерживаемых алгоритмов или слишком слабого/сильного шифрования.

alibek

alibek

Posted
  • Author
Posted
Цитата

На каком железе используете?

i7-5500U, RAM 8GB, SSD.

Точную модель не найду, но что-то типа этого.

 

Цитата

Как впечатления от OPNsense?

Если сравнивать с микротиком или vyatta, то логичнее и удобнее.

Несколько напрягает, что там многое прячется от пользователя (для упрощения) и в связи с этим какие-то возможности недоступны или доступны через костыли (например в файрволе я так и не нашел, как можно правило сделать перед автоматическими правилами).

Но в целом нравится, штудировать документацию не надо, терминология и логика близка к стандартным (а не как в микротиках, где некоторые вещи сделаны по своему и нужно в эту логику вникать).

Опять же, есть нормальный шелл и пакетный менеджер, при большом желании необходимое можно доставить.

 

Цитата

Но РосКомНадзор уже давно научился его давить

Ну это не для обхода блокировок, а для безопасного удаленного доступа.

Всяко лучше, чем порты пробрасывать.

Проверил на двух фиксированных и двух мобильных операторах — все работает.

rm_

rm_

Posted
Posted
Quote

Ранее был удобный протокол PPTP, клиент которого был встроен в Windows, андроид и в 90% роутеров. Но нынче он считается небезопасным и из OPNsense его выпилили.

Не знаю что у вас в OPNsense, но того же порядка есть ещё L2TP, который можно использовать в режиме без IPsec (без шифрования), если вас это устраивает.

И проблем с ним гораздо меньше на всяких клиентских файрволах и натах, т.к. он работает полностью поверх UDP, а не TCP+GRE, как PPTP.

 

Quote

для безопасного удаленного доступа.

Обычно поверх VPN всё равно протоколы с шифрованием (HTTPS, SSH, RDP), поэтому IPsec самого VPN не всегда обязателен.

naves

naves

Posted
Posted (edited)

Какие-то немного взаимоисключающиеся требования появившиеся из-за сервера в виде OPNsense

есть такая софтина

SoftEtherVPN

которая умеет

что дает без дополнительного софта подключаться клиентам:

1) винде через SSTP, нужно прикрутить только letsencrypt сертификат на сервере, можно хоть на ptr-запись провайдера вида 123-123-123-123.clients.telecom.com

2) андроидам и огрызкам через l2tp over ipsec with preshared key, без сертификатов.

 

Еще вариант OpenConnect (ocserv) на линукс-сервере обычная служба.

На клиентах нужно поставить или официальный cisco client, который не умеет сохранять пароли, или опенсорсный OpenConnect-клиент. на сервере можно использовать просроченный TLS-сертификат или опять же letsencrypt

 

Причем ничего не мешает использовать все это одновременно на разных портах...

Edited by naves

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.