Jump to content
Калькуляторы

Выбор правильного VPN-Тунеля IPSec\OpenVPN

Reply to this topic

chery_qq_091   

chery_qq_091
Posted (edited)

Добрый день.

В интернете полно сравнений и описаний данных технологий.

Я хочу обсудить основной для меня вопрос правильности\защищенности сети.

 

Суть вот в чем:

1)IPSec требуется поднимать на фаерволе т.е. единый рубеж получается.В случае выхода из строя ложится как сеть так и интернет,в случае взлома имеется доступ ко всем туннелям и соответственно сетевому трафику.Насколько я понимаю лишаемся возможности мониторить обращения,исход... в рамках суровой действительности использования Р2Р и прочего...(естественно если у нас нет некоего анализатора как FortiAnalyzer ... SysLog не разгребешь,а по увеличению утилизации канала судить как бы и не правильно)))

2)OpenVPN можно пробросить порт за фаервол(выделить список адресов для который вообще разрешён доступ к порту) и контролировать\ограничить исходящий трафик т.е. некоторое предоставление гибкости в политике безопасности.Хотя остается открытым вопрос надежности шифрования (http://www.linux.org.ru/forum/admin/7126071 - не совсем понятно про "заголовки"...)

 

Немного отступлюсь.Требуется выбрать правильно, перспективное направление построения VPN каналов для организации с распределенной офисной структурой т.е. имеется порядка 100 офисов.Требуется соединить сеть-сеть с предоставлением ограниченного доступа к ресурсам т.е. исключительно в зону DMZ на указанные порты серверов.

Кроме всего в канале будет бегать VoIP т.е. проброс vLAN обязателен + QoS.

Упор на безопасность, надежность и построение приоритетов трафика(да бы не административными мерами урегулировать качество аудио и видео звонков,...)

*** *** ***

Ну и паровозом бытует мнение и я его уже почувствовал на себе что при правильном построение лучше строить на серверах и самому настраивать т.е. железные решения в большинстве своем представлены на рынке(в ценовом диапазоне недорого ПК или того же HP ProLiant MicroServer) не предоставляют никакого анализа.(имеется в виду железки типа D-link DFL,ZYXEL...)

 

Прошу осудить\подсказать правильное на Ваш взгляд построение корпоративных сетей.

Edited by chery_qq_091

Share this post

Link to post
Share on other sites

idv   

idv
Posted

1) а у конторы на 100 офисов денег на решение на циске или джунипере не хватит?

2) это как бы пример хреновой постановки задачи. "какие-то 100 туннелей"

 

напоминает курсовую работу ))

в том числе и по знаниям сетевых технологий ("IPSec требуется поднимать на фаерволе") - с этим уровнем строить сеть на 100 офисов пока рановато

Share this post

Link to post
Share on other sites

chery_qq_091   

chery_qq_091
Posted (edited)

idv IPSec работает на сетевом уровне,что не правильно "IPSec требуется поднимать на фаерволе"?Готов учится :)

https://ru.wikipedia.org/wiki/IPsec

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C_OSI

http://ru.wikipedia.org/wiki/TCP/IP

 

У конторы на 100 офисов на сиськи НЕ хватит да и есть некоторая неприязнь к данному бренду,скажем религиозная да бы не плодить демагогию.Вопрос стоял не в производителях и деньгах,а в правильности.

2) это как бы пример хреновой постановки задачи. "какие-то 100 туннелей"

в общих чертах.

Требуется соединить сеть-сеть с предоставлением ограниченного доступа к ресурсам т.е. исключительно в зону DMZ на указанные порты серверов.

Кроме всего в канале будет бегать VoIP т.е. проброс vLAN обязателен + QoS.

Углубляться можно много(скажем на своем примере - среднестатистический,хотя тут вопрос не о реальной ситуации,а выбор правильно подхода!):

-Каждый канал на АДСЛ с перспективой роста - 10-50Мбит симметрии

-Кол. пользователей в каждом удаленном филиале от 7 до 25 человек.

-Часть каналов через интернет часть по транспорту от оператора по L2

-Вся маршрутизация интернет трафика через центральный прокси сервер(Интернет,Джабер,...)

-Почта через центральный почтовый сервер

-По сети будет гулять аудио- видео- трафик,SMB,AD,RDP...

-По возможности "vLAN на пользователя" ну или на коммутатор(начнем с центра)

Edited by chery_qq_091

Share this post

Link to post
Share on other sites

idv   

idv
Posted

что не правильно "IPSec требуется поднимать на фаерволе"

 

Тем, что правильнее будет на роутере (вы, кстати, знаете, чем оный отличается от маршрутизатора и коммутатора?). Я усматриваю пока дизайн, в котором один хост и впнит, и натит и т.д.

Надо мыслить ширше )))

 

В десиджн гайдах от циски все красиво расписано, кстати.

 

И дизайн сети в целом вначале хорошо проработать, тогда будут понятны технологии. Обсуждать оные отдельно смысла нет.

 

Различие между OpenVPN и решениями от "железного вендора" - оно есть. И не в пользу OpenVPN на сети из сотни филиалов.

Share this post

Link to post
Share on other sites

chery_qq_091   

chery_qq_091
Posted (edited)

Не бывает такого в АДСЛ.

Товарищи,ну что же вы так придираетесь к словам,по тексту написано что есть каналы от оператора на L2 ...

Понятное дело что АДСЛ не даст симметричный канал...На АДСЛ сейчас порядка 15/1,5

 

idv "кстати, знаете, чем оный отличается от маршрутизатора и коммутатора?"

Спасибо за высокую оценку моих знаний,вы прям телепат.

ЗНАЮ!

"Фаервол" - http://dlink.ru/ru/products/6/ - данное оборудование выполняет сейчас положенные не него задачи.

 

Попрошу больше не не дискутировать о теме знаний,а высказывать свое мнение\делится ссылками именно по правильности и функциональному предназначению технологий.С учетом использования IEEE 802.1Q, QoS, ... при построении сети.

Edited by chery_qq_091

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted

ипсек.

Это хардкорное индустриальное решение которому сто лет в обед.

Если покупать железки то не длинк с зухелом, а мт, оно дешевле и функциональнее. Можно за цену младшей DFL взять два мт которые ни чуть не хуже.

 

-Вся маршрутизация интернет трафика через центральный прокси сервер(Интернет,Джабер,...)

%)

 

В десиджн гайдах от циски все красиво расписано, кстати.

Не кошкой единой.

тоже мне бренд.

Share this post

Link to post
Share on other sites

idv   

idv
Posted

Не кошкой единой.

 

угу. что не мешает быть ей весьма хорошо документированной. В том числе масса хороших гайдов, по тому же IPSec+GRE хотя бы... ТС полезно почитать

Share this post

Link to post
Share on other sites

idv   

idv
Posted

Спасибо за высокую оценку моих знаний

Имею обыкновение иногда мягко стебаться. Это хорошо, что знаете - примерно 30 человек в прошлом году, побывавшие на собеседовании у меня, на оный вопрос не могли дать нормальный ответ )) Вакансия сисадмина была, кстати...

По ссылке на длинк более десятка продуктов, кстати, и что оно из себя представляет и как работает в вашем случае - отсюда не видать )

 

Возвращаясь к основной теме - каждой технологии свое место. Но вам надо начинать с пересмотра взглядов типа "IPSec требуется поднимать на фаерволе т.е. единый рубеж получается.В случае выхода из строя ложится как сеть так и интернет,в случае взлома имеется доступ ко всем туннелям и соответственно сетевому трафику".

 

По вашим вопросам вполне ясно, что знаний на тему того, как строить такие сети - у вас нет. Вы даже минимум документации поленились почитать )

И тут есть два варианта - либо это чисто теоретическая задача, либо этой компании работающая сеть нафиг не сдалась и денег нет на более-менее приличное железо. Расходы на серьезную инфраструктуру для серьезных задач обычно таковы, что ценник за брендовое железо там далеко не основная статья расходов.

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Надо смотреть шире, уже давно есть SSTP - туннель с шифрованием, аналог IPSec, только намного удобнее и работает без сертификатов.

Share this post

Link to post
Share on other sites

pppoetest   

pppoetest
Posted
роутере (вы, кстати, знаете, чем оный отличается от маршрутизатора

О_о а это кагбе не одно и тоже?

 

Всю жизнь щитал, шо назначение роутера - маршрутизировать проходящщий траффик. (((

Share this post

Link to post
Share on other sites

vovannovig   

vovannovig
Posted

Всю жизнь щитал, шо назначение роутера - маршрутизировать проходящщий траффик

Мыслется мне многие так :)

http://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80 + http://www.empirewifi.ru/faq/marshrutizator-vs-router

Но бытует мнение - http://otvet.mail.ru/question/56505873

 

 

По теме почему именно IPSec+GRE, а не скажем L2TPv3 IPSEC...

Вопрос насколько понял с упором на проборм vLAN

Share this post

Link to post
Share on other sites

Картуччо   

Картуччо
Posted

OpenVPN какой то пионерский. До сих пор в ядро его никто не запихал.

Не знаю, чего в нём пионерского. Было время, использовали как корпоративный VPN для удалённой работы. Висели сессии сотен сотрудников. Работало ничуть не хуже IPSEC или SSL VPN.

Другое дело что IPSEC и Cisco ASA/ACS/VPN клиент/Anyconnect заинтегрированы с виндо-доменами и учётными записями оттуда.

Для себя использую OpenVPN туннель между Microtik и Vyatta. Отлично, стабильно работает.

Share this post

Link to post
Share on other sites

idv   

idv
Posted

О_о а это кагбе не одно и тоже?

 

Ну как бы масса народа на этом вопросе срезается.

 

По теме почему именно IPSec+GRE, а не скажем L2TPv3 IPSEC...

Вопрос насколько понял с упором на проборм vLAN

 

Потому что проброс VLAN over IP более актуален для оператора связи, чем корпората с массой филиалов. Вопрос дизайна сети, на самом деле.

 

Работало ничуть не хуже IPSEC или SSL VPN.

 

В общем подтверждаю. Но юзать на сотне устройств я бы не стал просто.

Share this post

Link to post
Share on other sites

chery_qq_091   

chery_qq_091
Posted (edited)

По ссылке на длинк более десятка продуктов, кстати, и что оно из себя представляет и как работает в вашем случае - отсюда не видать )

Стоит DFL-1600,НАТит,IDP / IPS,PPTP Server,проблос,vLAN и держит IPSec + CentOS...

 

Потому что проброс VLAN over IP более актуален для оператора связи, чем корпората с массой филиалов. Вопрос дизайна сети, на самом деле.

Легко решаемо на OpenVPN - http://xgu.ru/wiki/OpenVPN_Bridge

В корпоративном секторе данный функционал будет интересен для разделения разного вида трафика,скажем VoIP.

OpenVPN еще и сжимает трафик что актуально на ADSL линиях,3G...

 

IPSec+GRE

Вот чего не знаю так это для чего GRE если мы подняли туннель IPSec(оба работаю на 3 уровне...)?Просветите пожалуйста.

Edited by chery_qq_091

Share this post

Link to post
Share on other sites

Картуччо   

Картуччо
Posted

А как через ипсек пустить динамическую маршрутизацию ?

Недавно что-то помню читал, про реализацию ипсек туннеля с л3 интерфейсами с обоих сторон. Но это явно пока не ходовой вариант.

Share this post

Link to post
Share on other sites

idv   

idv
Posted

А как через ипсек пустить динамическую маршрутизацию ?

Ну я там выше написал что-то про GRE. )))

 

Легко решаемо на OpenVPN - http://xgu.ru/wiki/OpenVPN_Bridge

В корпоративном секторе данный функционал будет интересен для разделения разного вида трафика,скажем VoIP.

 

Я знаю, что решаемо. Вот только VLAN - это не только разделение трафика, это еще и броадкаст-домен на L2. А трафик делить все равно не только VLANами можно и нужно.

Share this post

Link to post
Share on other sites

Картуччо   

Картуччо
Posted

Ну я там выше написал что-то про GRE. )))

А я вопрос задавал на вот это:

Вот чего не знаю так это для чего GRE если мы подняли туннель IPSec(оба работаю на 3 уровне...)?Просветите пожалуйста.

Share this post

Link to post
Share on other sites

idv   

idv
Posted

Вот чего не знаю так это для чего GRE если мы подняли туннель IPSec

 

Плохо, что не знаете. Для удобства маршрутизации, например.

 

 

PS: я как раз не оператор, я как раз корпоративный сектор. Правда с арендованными волокнами, CWDMом, каналами q-in-q от оператора, и т.д. и т.п.

 

А я вопрос задавал на вот это:

 

каюсь, каюсь, каюсь )))

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

А как через ипсек пустить динамическую маршрутизацию ?

Недавно что-то помню читал, про реализацию ипсек туннеля с л3 интерфейсами с обоих сторон. Но это явно пока не ходовой вариант.

 

Через L2TP / SSTP ее очень легко пускать, так все удаленные офисы и подключают. Стоит в центре 2 штуки Mikrotik RB1100AHx2, к каждому подключен индивидуальный канал интернета от разных операторов, вместе они соединены патчкордом. Сразу ко двум подключается каждый офис, там установлен RB951G-2HnD, на нем прописана подсеть для работы, например 192.168.0.0/24. Интернет идет через канал интернета у провайдера в офисе, а в центр летит только трафик к внутренним серверам, тем самым разгружая центральную железку и уменьшая задержку.

 

В итоге что бы вывести сеть из строя нужно отключить сразу 2 канала в центре, либо сломать сразу 2 железки=)

 

И вообще IPSec это прошлый век. Что бы его настроить нужно вводить намного больше команд, чем тот же SSTP.

Share this post

Link to post
Share on other sites

Картуччо   

Картуччо
Posted

Мне, честно говоря, ипсек тоже не нравится. Вечно куча времени убивается пока не разберёшься, что там не согласуется с двух сторон туннеля, особенно когда с той стороны чужое оборудование и персонал.

Однако, в IPv6 это ведь штатное решение, так что не прошлый век, а скорее будущий.

Share this post

Link to post
Share on other sites

^rage^   

^rage^
Posted

И вообще IPSec это прошлый век. Что бы его настроить нужно вводить намного больше команд, чем тот же SSTP.

 

а про проблемки SSTP(как и любого ip over tcp) умалчиваем? ;) ну там tcp meltdown?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...