Mikrotik като OpenVPN сървър за фирмени цели

[ddimitrov]

Ситуацията е следната. Фирма с офис, сървърно и всичко както си му е реда. На доста от потребителите се налага отдалечен достъп поради пътувания или работа от вкъщи в належащи моменти. Рутера е Mikrotik. Потребителите се закачат от служебни лаптопи или от домашни компютри. Нивото на сигурност трябва да е добро. Към момента с тестова цел съм дигнал OpenVPN на микротика, като за клиент използвам Securepoint VPN. Клиента ми допада, лесен за конфигуриране и не се налага да си администратор на машината за да го стартираш. Сертификата за няколкото тестови потребителя е един и същ, като се използва и идентификация с персонални пароли, който са с достатъчна сложност.

 

От тук идват въпросите ми:

1. Какви са рисковете при използване на един сертификат от всички потребителите + уникална парола?

2. Ако генерирам различни сертификати за всеки потребител колко ще се усложни администрацията?

3. Кой от двата варианта бихте предпочели и защо?

[emc1000]

3. Кой от двата варианта бихте предпочели и защо?

След двуседмични мъки с настройката на Микротик за OpenVPN и с помощта на 111111, подкарахме сървъра. Възникнаха редица проблеми след това, което бързо ме отказа от този вариант.

 

Вдигни си отделна машина в локалната мрежа за OpenVPN сървър. При мен така стана, Supermicro с Atom процесорче, Ос - Ipcop 2.0.6 с вграден OpenVPN сървър. Настройва се лесно и бързо през web интерфейс. Поддържа неограничен брой акаунти, което е голямо приимущество, тъй като OpenVPN за линукс базирани сървъри е с огриничен (по спомени 2) брой свободни акаунти.

Редактирано 30 Март, 2014 от emc1000

[111111]

IPCop Не бих предложил при налична дистрибуция от рода на pfSense

но самия протокол OpenVPN е калпав от към UI и имплементация

L2TP e IPSec доста по гъвкъв и вграден протокол

[ddimitrov]

Ще погледна и L2TP/IPSec. Точно заради такива таблици и сравнения OpenVPN ми се стори най-най. Вече 3 седмици тест с 5-6 потребителя и нещата изглеждат обещаващо добре.

 

Mupo neTkoB: Принципа на работи ли не го пипай е ясен, но там е и единия проблем. PPTP-то не се закача от всякъде и прави проблеми когато повече от един потребител се връзва зад един и същ рутер.

[111111]

Ще погледна и L2TP/IPSec. Точно заради такива таблици и сравнения OpenVPN ми се стори най-най. Вече 3 седмици тест с 5-6 потребителя и нещата изглеждат обещаващо добре.

 

Mupo neTkoB: Принципа на работи ли не го пипай е ясен, но там е и единия проблем. PPTP-то не се закача от всякъде и прави проблеми когато повече от един потребител се връзва зад един и същ рутер.

в момента имам 40 сесии РРТР към сървър който реално е зад нат без ядове

[ddimitrov]

в момента имам 40 сесии РРТР към сървър който реално е зад нат без ядове

 

Може би аз не се изразих правилно. Проблема е когато машината, която вдига pptp-то е зад NAT. Когато имам например два служебни лаптопа в отдалечена дестинация. Двата са зад някакъв си рутер отсреща и вържат и двата pptp към офиса. В някой случай връзка изобщо няма, заради блокиране на GRE протокола, а в някой случай се връзва, но само един от двамата. При опит да се върже и втория връзката на първия прекъсва.

[kokaracha]

PPTP pass through ?

[111111]

Може би аз не се изразих правилно. Проблема е когато машината, която вдига pptp-то е зад NAT. Когато имам например два служебни лаптопа в отдалечена дестинация. Двата са зад някакъв си рутер отсреща и вържат и двата pptp към офиса. В някой случай връзка изобщо няма, заради блокиране на GRE протокола, а в някой случай се връзва, но само един от двамата. При опит да се върже и втория връзката на първия прекъсва.

да всичките клиенти са зад нат както и сървъра е зад нат

[pavlan]

Може би аз не се изразих правилно. Проблема е когато машината, която вдига pptp-то е зад NAT. Когато имам например два служебни лаптопа в отдалечена дестинация. Двата са зад някакъв си рутер отсреща и вържат и двата pptp към офиса. В някой случай връзка изобщо няма, заради блокиране на GRE протокола, а в някой случай се връзва, но само един от двамата. При опит да се върже и втория връзката на първия прекъсва.

 

Това го установих за L2TP със сигурност и след малко ровене се оказа, че проблема е в имплементацията на Mikrotik.

Не съм го пробвал с PPTP, мислех че няма проблем там...

Можеш ли да пост-неш конфиг-а който ползваш с този SecirepointVPN към Mikrotik-а ?

[ddimitrov]

За да се настрои Securepoint-a правя една папка, в нея слагам сертификатите и един ovpn файл в който имам:

 

client

dev tun

proto tcp

remote tvoiahost.com 443

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert ec2.crt

key ec2.key

verb 3

pull

auth-user-pass

route 10.10.10.0 255.255.255.0

 

Като си пуснеш клиента има опция за import на готова конфигурация. Изпортваш от файла и си готов. На последния ред с route описвам рутиранията за мрежите през тунела. Хареса ми, че си ги слага в windows-а без да има нужда от админ права и си работи. Единствено неможах да намеря начин в този конфиг да му окаща като се закачи да изполва default dns sufix за връзката или dns-а от офиса. Това ръчно в настройките на TAP адаптера.

да всичките клиенти са зад нат както и сървъра е зад нат

 

Добре де, когато клиента отсреща е зад рутер, който блокира gre-то (vpn pass through не е пуснато) какво да ги правя? То е ясно, пращам ги да ползват 3g стик, ама не винаги върши работа. 

[pavlan]

Забелязал ли си проблем с препълването на route cache-а при теб ? 

много хора с vpn концентратори се оплакват , a в 6.11 било няква трагедия...

аз държа моя на 6.7 по тази и др причини.

[ddimitrov]

На едната машина, която е с повече натоварване съм на доста по стара версия 5 нещо си беше и проблем не съм забелязъл. На един друг рутърборд RB750 съм с 6.10 и също не съм забелязаъл проблем, но на него се закачат от време на време максимум 2-3 клиента.

[kokaracha]

Ако РРТР сървъра ти е с публичен адрес,избягваш пробелмите с нат-а от твоя страна (ако имасш такива).

GRE е малко вероятно да се блокира от доставчици или на някой рутер.По скоро не е конфигуриран advanced nat/vpn pass through на крайното устроиство за което се закача примерно вашия служител и съответно неможе да се вдига тунел ( или повече от един).

Може би трябва да използваш хибридна схема за свързване.Например може да раздадете на служителите които се свързват от вкъщи/работят у дома по един рутер с конфигуриран тунел (ipsec примерно)   а за тия който пътуват флашка в комбинация с pptp/open vpn.