Skocz do zawartości


 

Zdjęcie

Duża sieć VPN - pytania

Duża sieć VPN - pytania vpn

  • Proszę się zalogować aby odpowiedzieć
56 odpowiedzi na ten temat

Duża sieć VPN - pytania

#1 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 10 listopad 2015 - 19:23

Witam,

 

Planuje stworzyć dosyć sporą sieć VPN za pomocą PPTP lub w ostateczności, gdyby PPTP nie dało rady, OpenVPN. Z tego co się orientuję to podczas konfiguracji PPTP można ustawić jedynie taką pulę adresową dla klientów:

 

192.168.0.x, gdzie x to dowolna cyfra 1-255

 

czyli jesteśmy ograniczeni do +/- 250 klientów.

 

Zastanawiam się czy jest możliwe pokonanie tej bariery i korzystanie z puli:

 

192.168.y.x 

 

Chcę wszystko ustawić tak aby komputery w sieci wzajemnie się "widziały" (pingowały i udostępniały zasoby). Czy jest to wykonalne? Jakie inne problemy mogę spotkać?



#2 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 10 listopad 2015 - 19:31

PPTP to dziurawy antyk, który się do niczego nie nadaje.

Co chcesz osiągnąć? Dlaczego budujesz tę sieć? Dlaczego chcesz używać PPTP?

#3 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 10 listopad 2015 - 19:41

@blfr 

 

Ad.1. Chcę zbudować sieć, w której wszystkie komputery będą się wzajemnie "widziały", pingowały, mogły udostępniać zasoby jak w sieci domowej.

 

Ad.2. Narazie to czysto teoretyczne rozważania.

 

Ad.3. Chcę użyć PPTP ponieważ jest najprostszy w konfiguracji po stronie klienta, a bezpieczeństwo to dla mnie kwestia drugorzędna.



#4 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 10 listopad 2015 - 20:28

1) Przecież to nie ma żadnego znaczenia czy taki klient będzie w 192.168.0.x czy 192.168.1.x - będą siebie widzieć jeżeli ładnie ustawisz routing.
 

2) Tak jak blfr powiedział - PPTP to antyk. Nie używaj tego wogóle. Użyj np. openvpn'a.

 

3) Do takich rozwiązań najlepiej napisać swojego klienta openvpn'a, tak aby kowalski umiał sobie to zainstalować i z tego korzystać.



#5 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 10 listopad 2015 - 20:39

@Spoofy

 

Ad.1.

 

To jest dla mnie jasne tylko jak to ustawić w OpenVPN czy PPTP. Z tego co pamiętam zapis w confingu wygląda tak:

 

192.168.0.1-255

 

i jak to rozszerzyć na większą pule adresu?

 

192.168.0.1 - 192.168.255.255 zadziała?



#6 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 10 listopad 2015 - 20:52

1) PPTP, jak sama nazwa wskazuje, to Point-to-Point, więc nie ma tam formalnie czegoś takiego, jak sieć.

Oczywiście, można próbować przydzielać klientom adresy z maską inną niż /32, ale ciężkie będzie ustawienie tego tak, aby była łączność między tymi klientami.

 

2) PPTP technicznie nie wymusza jakiejkolwiek adresacji, można stosować dowolną.

 

3) Przez PPTP ciężko przepchnąć multicast/broadcast - a m.in. tak komunikuje się Windowsowa obsługa udostępniania plików.

 

4) Z implementacją kliencką PPTP jest zasadniczo taki problem, że pozwala przyjąć albo trasę domyślną, albo nie modyfikować trasy wcale*. W efekcie albo koncentrator będzie robił za proxy dostępowe do internetu dla wszystkich klientów, albo ci klienci będą musieli ręcznie (z wiersza poleceń) po każdym połączeniu dodawać sobie statyczny routing.

 

5) Lekarstwem na te problemy jest faktycznie OpenVPN - pozwala zrobić ładną sieć, dodawać częściowe trasy (w razie potrzeby nawet domyślną) i po zainstalowaniu i poprawnym skonfigurowaniu na komputerze (a w sumie można zrobić ładny instalatorek provisioningowanego klienta) tak naprawdę wszystko działa. Jak ktoś się uprze, to i jako usługę systemową da się to postawić.

 

* - protokół oczywiście przewiduje push-route przez koncentrator, ale część implementacji klienckich to olewa i nie ma gwarancji, że to będzie działać poprawnie na wszystkich urządzeniach.



#7 cdcd

cdcd

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 257 postów

Napisany 10 listopad 2015 - 22:59

PPTP to dziurawy antyk, który się do niczego nie nadaje.

Co chcesz osiągnąć? Dlaczego budujesz tę sieć? Dlaczego chcesz używać PPTP?

 

Kolejny raz piszesz o dziurawym pptp i kolejny raz zapytam w czym on jest dziurawy poza oczywiście

MITM?


Edytowany przez cdcd, 10 listopad 2015 - 23:00.


#8 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 11 listopad 2015 - 12:03

Kombinuję z OpenVPN i mam jedno pytanie, jak ustawić w kliencie Windows, żeby nie korzystał z połączenia OpenVPN jako bramy do Internetu? Nie widzę nigdzie w ustawieniach interfejsu OpenVPN tego haczyka "Użyj domyślnej bramy sieci zdalnej".



#9 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 11 listopad 2015 - 12:05

Kolejny raz piszesz o dziurawym pptp i kolejny raz zapytam w czym on jest dziurawy


https://en.wikipedia...otocol#Security

Edytowany przez blfr, 11 listopad 2015 - 12:06.


#10 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 11 listopad 2015 - 13:37

Kombinuję z OpenVPN i mam jedno pytanie, jak ustawić w kliencie Windows, żeby nie korzystał z połączenia OpenVPN jako bramy do Internetu? Nie widzę nigdzie w ustawieniach interfejsu OpenVPN tego haczyka "Użyj domyślnej bramy sieci zdalnej".

 

Zasadniczo na serwerze powinieneś wyłączyć opcję pushowania domyślnej trasy/gatewaya do klientów.

Jeśli już upierasz się, żeby zrobić to po stronie klienta, to

https://community.op...RedirectGateway



#11 cdcd

cdcd

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 257 postów

Napisany 11 listopad 2015 - 14:35

 

to jest MITM a te dziury ?



#12 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 11 listopad 2015 - 14:48

Tam jest cała lista i nie wszystkie słabości polegają na aktywnym ataku:

MS-CHAP-v2 is vulnerable to dictionary attack on the captured challenge response packets. Tools exist to perform this process rapidly.


Nie rozumiem przywiązania do tego antyku.

#13 cdcd

cdcd

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 257 postów

Napisany 11 listopad 2015 - 20:00

MS-CHAP-v2 is vulnerable to dictionary attack on the captured challenge response packets. Tools exist to perform this process rapidly.

 

Asleep to tez MITM



#14 Gość_Kamikadze_*

Gość_Kamikadze_*
  • Goście

Napisany 11 listopad 2015 - 20:08

A nie możesz ustalić sobie adresacji 10.0.0.0/8?



#15 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 11 listopad 2015 - 20:10

@Kamikadze

 

A da radę ustawić taką adresacje w OpenVPN lub PTPP dla klientów?



#16 Gość_Kamikadze_*

Gość_Kamikadze_*
  • Goście

Napisany 11 listopad 2015 - 21:28

W sumie nie próbowałem, ale na praktykach jak byłem to mieli VPN zrobiony na tej adresacji.



#17 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 11 listopad 2015 - 22:37

Przetestuje na żywym organizmie i zobaczymy ;)



#18 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 17 listopad 2015 - 21:18

Odświeżam temat. Jestem na etapie konfiguracji OpenVPN.

 

Założenia są takie:

 

- OpenVPN nie służy do łączenia się z Internetem (nie jest bramką Internetową);

- Komputery podłączone do sieci OpenVPN mogą nawiązywać wzajemne połączenia (mogą się pingować, grać w gry po sieci VPN);

- Po podłączeniu do OpenVPN komputery-klienci korzystają ze swoich fizycznych łączy internetowych.

- Nie mogę ustawić tras 'route' w konfiguracji serwera ponieważ nie znam i nie będę znał adresacji sieci klientów;

 

Wszystko fajnie działa tylko i wyłącznie z parametrem "push "redirect-gateway def1"" na serwerze, czyli po wymuszeniu całego ruchu sieciowego po VPN. W tym momencie klienci tracą dostęp do Internetu. A znanego triku z połączeń PPTP nie mogę zastosować ponieważ w konfiguracji wirtualnej karty sieciowej OpenVPN (windows 7) nie ma nigdzie haczyka "Użyj domyślnej bramy sieci zdalnej".

Gdy wyłączę parametr "push "redirect-gateway def1"" na serwerze OpenVPN, wtedy klienci nie mogą łączyć się między sobą, pingi nie dochodzą.

 

Czy istnieje możliwość aby wymusić na Windowsie korzystanie z innej bramki do Internetu? Lub czy da się zmusić sieć VPN do pracy bez wymuszania całego ruchu sieciowego po VPN?

 

Na starym PPTP zawsze udało mi się, a tutaj nie mogę sobie poradzić :/

 



#19 behemoth

behemoth

    Weteran WHT

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 1236 postów
  • Skąd:Łódź
  • Firma:swhosting.pl
  • Imię:Jakub

Napisany 17 listopad 2015 - 21:37

Możesz użyć ForceBindIP, żeby powiązać konkretny program z konkretnym interfacem.



#20 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 17 listopad 2015 - 22:08

@behemtoh

 

Niestety odpada. Muszę mieć uniwersalne i idiotoodporne rozwiązanie najlepiej po stronie serwera.








Także otagowane jednym lub więcej z tych słów kluczowych: vpn

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników