GoldenLine
Zaloguj się
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Witam,

Chciałbym wdrożyć serwer VPN w firmie, mam w związku z tym kilka pytań:

1. Chciałbym uniknąć instalowania serwera VPN na firewallu, który chroni sieć. Czy instalacja serwera VPN poza firewallem jest dobrym rozwiązaniem? Gdzie powinienem umieścić taki serwer VPN? Jak powinienem to rozwiązać, żeby było tak jak powinno być :)
Czy serwer VPN powinienem wstawić do osobnego VLANu?

Chciałbym się dowiedzieć jak to powinienem rozwiązać. Jak wyglądają schematy profesjonalnych sieci w których taki serwer funkcjonuje.

2. Jakie rozwiązanie stosowane jest w firmach? Czy zwykły Debianek+OpenVPN wchodzi w grę? Czy warto kupić dedykowane rozwiązanie i jeśli tak to jakie? (z VPN będzie korzystało do max 10 userów jednocześnie. Ilość kont: około 20-30).

3. Jak rozwiązać problem haseł do VPN. W standardowym rozwiązaniu użytkownik będzie korzystał z własnego loginu i hasła. Oznacza to, że może zalogować się z dowolnego komputera aby dostać się do zasobów firmy...

Chciałbym jakoś to ograniczyć, np. wprowadzając hasła jednorazowe albo najlepiej jakieś rozwiązanie oparte o tokeny lub inne tego typu rozwiązania.

Bardzo dziękuję za wszelkie wskazówki.
Link do wypowiedziLink
Rafał Dudziak

Rafał Dudziak Kierownik d/s
informatyki"AQUA
–Grupa SBS” sp. z
o.o

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

"1. Chciałbym uniknąć instalowania serwera VPN na firewallu, który chroni sieć. Czy instalacja serwera VPN poza firewallem jest dobrym rozwiązaniem? Gdzie powinienem umieścić taki serwer VPN? Jak powinienem to rozwiązać, żeby było tak jak powinno być :)"

Dziura jest dziurą, obojętnie gdzie będzie. Lokalizacja "na firewalu" - rozumiem że na tym samym adresie ip co firewall i brama, ma tą wadę, że domyślnie "wystawiasz- podpowiadasz" adres ip bramy, firewalla i vpn, jako adres potencjalnego ataku. Ale poza tym, jest to jedyne logiczne umieszczenie serwera VPN, no chyba że dysponujesz dodatkowym, publicznym adresem ip, najlepiej "nie sąsiadującym" z adresem twojej bramy...

Sugeruję kupić gotowca - wszystko w jednym - router, brama, firewall - sprzętowy, - na tą ilość klientów może być nawet "cienki" draytek. Koszt zakupu, zwróci się z roczną fakturą za prąd, o supporcie nie wspominając. Rafał Dudziak edytował(a) ten post dnia 15.10.12 o godzinie 19:39
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

polecam pfsense i openvpn na nim, trywialne w instalacji i konfiguracji, dziala zarowno jako serwer jak i klient w konfiguracjach point to point, end point, road warrior itd, wygodne zarzadzanie z poziomu przegladarki
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Rafał Dudziak:
Dziura jest dziurą, obojętnie gdzie będzie. Lokalizacja "na firewalu" - rozumiem że na tym samym adresie ip co firewall i brama, ma tą wadę, że domyślnie "wystawiasz- podpowiadasz" adres ip bramy, firewalla i vpn, jako adres potencjalnego ataku. Ale poza tym, jest to jedyne logiczne umieszczenie serwera VPN, no chyba że dysponujesz dodatkowym, publicznym adresem ip, najlepiej "nie sąsiadującym" z adresem twojej bramy...

W chwili obecnej firewall to Forefront TMG, który ma problemy z podłączeniem się z OpenVPN, site-to-site, które też chciałbym zastosować za chwilę...

Zastanawiałem się, czy mógłbym wstawić coś za Forefrontem, które pełniłoby rolę serwera VPN.
Nie chcę zestępować całego Firewalla. Chciałbym tylko stworzyć serwer VPN dla pracy zdalnej pozwalający wykorzystać inne moetody autentykacji niż tylko hasło.

Czy postawienie czegoś ZA firewallem jest dobrym rozwiązaniem?
Link do wypowiedziLink

konto usunięte

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Jak ja tworzyłem infrastrukturę dla pewnej firmy, to openVPN stał na serwerze pełniącym funkcję routera oraz firewalla. Uwierzytelnianie użytkowników było na poziomie certyfikatów, więc sprawa dość bezpieczna, tym bardziej, że użytkownicy nie wiedzieli, gdzie mają zainstalowany certyfikat, co wykluczyło manipulację nimi ze strony pracowników. Jedynym zagrożeniem były ataki zewnętrzne oraz fizyczna utrata sprzętu.
Link do wypowiedziLink
Stefan J.

Stefan J. Dyplomowany operator
łopaty samojezdnej

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Microtik :) działa, polecam :)
Link do wypowiedziLink

konto usunięte

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Łukasz Kisielewicz:
Rafał Dudziak:
Dziura jest dziurą, obojętnie gdzie będzie. Lokalizacja "na firewalu" - rozumiem że na tym samym adresie ip co firewall i brama, ma tą wadę, że domyślnie "wystawiasz- podpowiadasz" adres ip bramy, firewalla i vpn, jako adres potencjalnego ataku. Ale poza tym, jest to jedyne logiczne umieszczenie serwera VPN, no chyba że dysponujesz dodatkowym, publicznym adresem ip, najlepiej "nie sąsiadującym" z adresem twojej bramy...

W chwili obecnej firewall to Forefront TMG, który ma problemy z podłączeniem się z OpenVPN, site-to-site, które też chciałbym zastosować za chwilę...

a co logi na to że nie może się połączyć?
znając życie to pewnie coś jest nie ustawione tak jak trzeba
Zastanawiałem się, czy mógłbym wstawić coś za Forefrontem, które pełniłoby rolę serwera VPN.
Nie chcę zestępować całego Firewalla. Chciałbym tylko stworzyć serwer VPN dla pracy zdalnej pozwalający wykorzystać inne moetody autentykacji niż tylko hasło.

wujek Google mówi:
http://ariessysadmin.blogspot.com/2012/05/create-l2tpi...
Czy postawienie czegoś ZA firewallem jest dobrym rozwiązaniem?
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Bardzo ubogo w logi odnosnie VPNa w Forefroncie (lub co bardzo prawdopodobne nie potrafię ich odnaleźć).

Zwróciłem się do administratorów DataCenter, z którym muszę się połączyć o logi z ich OpenVPNa.
Może one coś powiedzą.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Oj widzę że trzeba najpierw nadrobić trochę teorii. I nie piszę tego wyłącznie do autora pytania bo jak czytam niektóre odpowiedzi to .......Polecam "The Complete Cisco VPN Configuration Guide". Mimo tego że w tytule pada nazwa Cisco a wydana jest przez Cisco Press to kompendium wiedzy (cegła 1000 stron) o tym co to VPN, jakie są VPN'y (IPSec, PPTP, L2TP, SSL VPN), jak projektować rozwiązania z użyciem VPN'ów, jak je konfigurować i jak prowadzić troubleshooting. A tak już na marginesie OpenVPN to rozwiązanie, no powiedzmy do domu. Standardem na tę chwilę jest IPSec.
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Krzysztof Kania:
Oj widzę że trzeba najpierw nadrobić trochę teorii. I nie piszę tego wyłącznie do autora pytania bo jak czytam niektóre odpowiedzi to .......Polecam "The Complete Cisco VPN Configuration Guide". Mimo tego że w tytule pada nazwa Cisco a wydana jest przez Cisco Press to kompendium wiedzy (cegła 1000 stron) o tym co to VPN, jakie są VPN'y (IPSec, PPTP, L2TP, SSL VPN), jak projektować rozwiązania z użyciem VPN'ów, jak je konfigurować i jak prowadzić troubleshooting. A tak już na marginesie OpenVPN to rozwiązanie, no powiedzmy do domu. Standardem na tę chwilę jest IPSec.

Krzysztofie bardzo Ci dziękuję za odpowiedź.

Nie jestem jednak w stanie przeczytać wskazanej przez Ciebie pozycji w dostatecznie krótkim czasie.

Czy mógłbyś mi polecić rozwiązanie, które powinienem zastosować?

Zdaję sobie sprawę, że linux + open VPN w moim wykonaniu nie jest rozwiązaniem profesjonalnym, stąd poszukuję czegoś co jest do tego stworzone :)

Przy okazji, jak wdrożyć rozwiązanie oparte o tokeny?
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

To co chcesz gotowiec+tokeny, z tanich np. Fortigate, z tanszych Zywall.
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Krzysztof Kania:
A tak już na marginesie OpenVPN to rozwiązanie, no powiedzmy do domu. Standardem na tę chwilę jest IPSec.

ehe, taa... u nas cisco kurzy sie na polce bo przenieslismy sie na openvpn, przyjemniej tym zarzadzac i o dziwo sprawdza sie u nas lepiej niz ipsec ktory mielismy dotychczas, zarowno dla road warriorow jak i do polaczenia biur jak i do produkcji, jedyna wada to ze na windowsie trzeba sobie klienta zainstalowac, kilkadziesiat pracownikow i kilka serwerow vpn
Link do wypowiedziLink
Łukasz D.

Łukasz D. Software Developer,
DevOps Fan

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Krzysztof Kania:
A tak już na marginesie OpenVPN
to rozwiązanie, no powiedzmy do domu. Standardem na tę chwilę jest IPSec.

http://www.ivpn.net/knowledgebase/62/PPTP-vs-L2TP-vs-O...

Jakieś argumenty za IPSec? Z tego wiem i co przeczytałem, OpenVpn jest szybszy, równie bezpieczny, obsługuje więcej trybów pracy oraz jest dużo prostszy od IPSec
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Łukasz C.:

ehe, taa... u nas cisco kurzy sie na polce

ee szkoda zeby wam serwerownia zagracało... ;)
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Łukasz C.:
ehe, taa... u nas cisco kurzy sie na polce bo przenieslismy sie na openvpn, przyjemniej tym zarzadzac i o dziwo sprawdza sie u nas lepiej niz ipsec ktory mielismy dotychczas, zarowno dla road warriorow jak i do polaczenia biur jak i do produkcji, jedyna wada to ze na windowsie trzeba sobie klienta zainstalowac, kilkadziesiat pracownikow i kilka serwerow vpn


Bo obecnie takie rzeczy sie robi via clientless ssl vpn, w ciagu ostatnich dwoch lat, przypominam sobie tylko jeden telefon dotyczacy instalacji takiego vpn klienta, a uzytkownikow sporo wiecej niz kilkudziesieciu. Moze dlatego, ze nie jestem pierwsza linia wsparcia ;)
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Łukasz D.:
http://www.ivpn.net/knowledgebase/62/PPTP-vs-L2TP-vs-O...
Jakieś argumenty za IPSec?

Tak, i to nawet wprost z Twojej tabelki:

IPSec: An advanced protocol formally standardized in IETF RFC 3193 vs OpenVPN: OpenVPN is an advanced open source VPN solution backed by the company 'OpenVPN technologies' Ergo IPSec zadziała między rożnymi rozwiązaniami rożnych dostawców. Zatem IPSec w tym zestawieniu górą.
Z tego wiem i co przeczytałem, OpenVpn jest szybszy

Szybszy w czym? Znaczenie dla użytkownika ma szybkość algorytmów szyfrujących a te zależą od tego jak i na czym zostaną zaimplementowane. Nie chcę się teraz wdawać w polemiki co jest robione programowo a co sprzętowo ani jaki producent jakiej akceleracji na jakim procesorze używa. Uznajmy zatem że tego wątku tu i teraz nie rozstrzygniemy bo trzeba by porównać dwa konkretne rozwiązania mierząc ich wydajność w środowisku produkcyjnym. Ale nie pisz że z definicji 3DES w wydaniu OpenVPN jest wydajniejszy niż 3DES w implementacji XXX. Zatem remis.
równie bezpieczny

Cóż, to już dyskusja o ideologi czy open source jest bezpieczniejsze od zamkniętych rozwiązań czy nie jest. Dla ukrócenia dyskusji zgodzę się na remis i w tej kategorii.
obsługuje więcej trybów pracy

Nie bardzo rozumiem ten argument. OpenVPN może pracować w trybie tunelowym i transportowym. Chyba że miałeś na myśli ilość algorytmów które obsługuje. Ale w zależności od implementacji ilość tych algorytmów jest rożna co czyni OpenVPN niekompatybilnym samym ze sobą w zależności od środowiska w jakim jest używany i powoduje konieczność budowania rożnych konfiguracji dla rożnych środowisk. I tak wyprzedziliśmy ostatni punkt.
oraz jest dużo prostszy od IPSec

To już raczej kwestia wiedzy administratora i/lub rozwiązań z których korzysta. Konfigurowanie OpenVPN'a na RouterOSie to koszmar (przynajmniej za pierwszym razem). Nie wyobrażam sobie korzystania z OpenVPN'a w środowiskach rozproszonych w połączeniu z routingiem dynamicznym (ala DMVPN). A gdybyśmy dodatkowo porównali już konkretne produkty to IPSec na Cisco ASA z możliwością kontroli dostępu do zasobów per login użytkownika czy integrację z Active Directory powstaje całkiem inny obraz sytuacji.

Do tego dodajmy że klient dla użytkownika końcowego jest koszmarny - szczególnie gdy musi się on łaczyć nie z jednym serwerem ale z wieloma lokalizacjami w zależności od sytuacji. Również brak wsparcia dla iOS jest w dzisiejszych czasach poważnym mankamentem bo środowiska biznesowe częściej wybierają iPhony/iPady od rozwiązań bazujących na systemie Android.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Łukasz C.:
ehe, taa... u nas cisco kurzy sie na polce bo przenieslismy sie na openvpn, przyjemniej tym zarzadzac i o dziwo sprawdza sie u nas lepiej niz ipsec ktory mielismy dotychczas, zarowno dla road warriorow jak i do polaczenia biur jak i do produkcji, jedyna wada to ze na windowsie trzeba sobie klienta zainstalowac, kilkadziesiat pracownikow i kilka serwerow vpn

I o czym to ma świadczyć? O źle przeprowadzonej analizie potrzeb? O błędach na etapie wdrożenia? O braku szkoleń?
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Łukasz Kisielewicz:
Czy mógłbyś mi polecić rozwiązanie, które powinienem zastosować?

Widzisz problem w doradzaniu przez Internet na forum jest taki że ciężko poznać dobrze wasze rzeczywiste potrzeby. I łatwo popełnić błąd.
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

Krzysztof Kania:
I o czym to ma świadczyć? O źle przeprowadzonej analizie potrzeb? O błędach na etapie wdrożenia? O braku szkoleń?
o tym, ze u nas dziala, sprawdza sie, jestesmy zadowoleni bo nie trzeba przy tym grzebac, czytac 1000 stron dokumentacji i tak dlugo jak dziala tak dlugo kolo tylka lata nam czy jest "pro" czy nie,
w ostatecznosci mamy pptp gdyby ktos mial problem z korzystaniem z ovpn
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Serwer VPN w firmie. Jakie rozwiązanie zastosować?

A nie taniej zrobic port forwarding? ;)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj