alibek Posted July 2 Есть шлюз OPNsense (версии 25). Хотелось бы настроить на нем удаленный доступ, как минимум к самому шлюзу, а по возможности и к офисной сети. В качестве клиентов будут либо Windows, либо андроид-устройства. Ранее был удобный протокол PPTP, клиент которого был встроен в Windows, андроид и в 90% роутеров. Но нынче он считается небезопасным и из OPNsense его выпилили. Сейчас в OPNsense из коробки идут IPsec, OpenVPN и Wireguard (плюс дополнительно можно установить Tinc). Wireguard вроде бы неплох, но требуется клиент, встроенной поддержки нет. OpenVPN более распространен, но для Windows и андроида все равно нужен клиент. IPsec встроен в свежие Windows и андроид, но в OPNsense поддерживается только сценарий site-to-site, для соединения офисов это наверное хорошо, а вот для оперативного доступа с произвольного ПК — не очень. Да и вообще в IPsec настройка не самая тривиальная, без шпаргалки так сразу и не разберешься. Сейчас выбираю между OpenVPN (более распространен) и Wireguard (проще и удобнее). Но вдруг всезнающий all подскажет что-то более удобное? Или подскажет, как вернуть PPTP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted Wednesday at 09:12 PM В общем выбрал Wireguard. Даже в документацию заглядывать не пришлось, все вполне интуитивно оказалось. OpenVPN в legacy-режиме предупреждает, что с 26 версии это работать перестанет. А в нынешней имплементации там с настройками и сертификатами перемудрили. И с IPsec аналогично — замороченные настройки и все на сертификаты завязано. А с ними с самые неподходящие моменты всякие нюансы могут всплыть типа неподдерживаемых алгоритмов или слишком слабого/сильного шифрования. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex39x Posted Thursday at 06:14 AM Как впечатления от OPNsense? На каком железе используете? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted Thursday at 06:22 AM Wiregard прост, и эффективен для обсчёта на CPU. Но РосКомНадзор уже давно научился его давить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted Thursday at 09:41 AM Цитата На каком железе используете? i7-5500U, RAM 8GB, SSD. Точную модель не найду, но что-то типа этого. Цитата Как впечатления от OPNsense? Если сравнивать с микротиком или vyatta, то логичнее и удобнее. Несколько напрягает, что там многое прячется от пользователя (для упрощения) и в связи с этим какие-то возможности недоступны или доступны через костыли (например в файрволе я так и не нашел, как можно правило сделать перед автоматическими правилами). Но в целом нравится, штудировать документацию не надо, терминология и логика близка к стандартным (а не как в микротиках, где некоторые вещи сделаны по своему и нужно в эту логику вникать). Опять же, есть нормальный шелл и пакетный менеджер, при большом желании необходимое можно доставить. Цитата Но РосКомНадзор уже давно научился его давить Ну это не для обхода блокировок, а для безопасного удаленного доступа. Всяко лучше, чем порты пробрасывать. Проверил на двух фиксированных и двух мобильных операторах — все работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted Thursday at 09:53 AM Quote Ранее был удобный протокол PPTP, клиент которого был встроен в Windows, андроид и в 90% роутеров. Но нынче он считается небезопасным и из OPNsense его выпилили. Не знаю что у вас в OPNsense, но того же порядка есть ещё L2TP, который можно использовать в режиме без IPsec (без шифрования), если вас это устраивает. И проблем с ним гораздо меньше на всяких клиентских файрволах и натах, т.к. он работает полностью поверх UDP, а не TCP+GRE, как PPTP. Quote для безопасного удаленного доступа. Обычно поверх VPN всё равно протоколы с шифрованием (HTTPS, SSH, RDP), поэтому IPsec самого VPN не всегда обязателен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted Thursday at 09:58 AM Цитата есть ещё L2TP В списке пакетов и плагинов его нет, а с установкой дополнительного ПО решил не связываться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
naves Posted Thursday at 02:00 PM (edited) Какие-то немного взаимоисключающиеся требования появившиеся из-за сервера в виде OPNsense есть такая софтина SoftEtherVPN которая умеет OpenVPN (L3-mode and L2-mode) L2TP/IPsec MS-SSTP (Microsoft Secure Socket Tunneling Protocol) L2TPv3/IPsec что дает без дополнительного софта подключаться клиентам: 1) винде через SSTP, нужно прикрутить только letsencrypt сертификат на сервере, можно хоть на ptr-запись провайдера вида 123-123-123-123.clients.telecom.com 2) андроидам и огрызкам через l2tp over ipsec with preshared key, без сертификатов. Еще вариант OpenConnect (ocserv) на линукс-сервере обычная служба. На клиентах нужно поставить или официальный cisco client, который не умеет сохранять пароли, или опенсорсный OpenConnect-клиент. на сервере можно использовать просроченный TLS-сертификат или опять же letsencrypt Причем ничего не мешает использовать все это одновременно на разных портах... Edited Thursday at 02:01 PM by naves Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted Thursday at 09:23 PM SSTP еще протокол с гарантированной доставкой пакетов, но и ресурсы требует для работы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
