vzdálený síťový disk (home > work)

[sasha]

otazka je co presne potrebujes vedet
moje zkusenost s ipsecem je na ciscu, juniperu a checkpointu, pricemz se tyhle hw/sf platformy i krizi.
nejoblibenejsim a take nejlevnejsim resenim je pro mne juniper, pokud je remote gateway taky od juniperu, je to ponekud jednodussi, ale potom zalezi na tom kdo se o druhou stranu stara (je to jen branch office a nebo 3rd party)

v praci na tom juniperu bezi okolo 300 s2s vpn tunelu
nakonfigurovani ipsecu, routingu a policy pro novou vpn mi trva asi 1-2 hodiny, podle policy
pokud je to cerstvy box tak s upgradem a zakladni konfiguraci tak o hodinu az dve vice.

co se tyce konfigurace samotneho tunelu tak je nekolik moznosti, zakladni jsou postavene na routingu (tunnel se postavi prvni packetem a traffic je poslan do tunnelu na zaklade routingu a povolen pres policy) a na policy (traffic ktery pasuje na danou policy je povolen a encryptovan a nasledne odroutovan)
jinak pouzivam tunnel mode...

vicemene nejvice casu zabere nez vlastni konfigurace vyjednani vsech potrebnych parametru a pak dost casu prida - ten jsem zapomnel pripocist konfigurace NATu - v pripade vpn do 3rd party - vetsinou kvuli overlapping ip addresam a z duvodu zkryti interniho ip rozsahu...)

samozrejme peer muze byt staticky a nebo dynamicky

no a tady je konfigurace route based vpnky:

definovani jednotlivych siti (pripadne hostu, rozsahu, etc)
Corp-VPN-Hub-> set address trust local_lan 10.140.10.0/24
Corp-VPN-Hub-> set address vpn denton_lan 10.70.1.0/24

vytvoreni tunnel interfacu (logicky) a prirazeni fyzickemu portu/interfacu
Corp-VPN-Hub-> set zone name vpn
Corp-VPN-Hub-> set interf tun.10 zone vpn
Corp-VPN-Hub-> set interface tun.10 ip unnumbered interface eth0/3

na druhem firewallu
S1-Denton-> set interface tun.10 ip unnumbered interface eth0/0

routing
Corp-VPN-Hub-> set route 10.70.1.0/24 interface tun.10
S1-Denton-> set route 10.140.10.0/24 interface tun.10

specifikace IKE Phase-1 and Phase-2 parameteru:
Corp-VPN-Hub-> set ike gateway denton address 10.0.1.71 main outgoing-
Interface eth0/3 preshare ocuguru sec-level standard
Corp-VPN-Hub-> set vpn denton gateway denton sec-level standard
Corp-VPN-Hub-> set vpn denton bind interface tun.10

S1-Denton-> set ike gateway corp address 10.140.0.3 main outgoing-
interface eth0/0 preshare ocguru sec-level standard
S1-Denton-> set vpn corp gateway corp sec-level standard
S1-Denton-> set vpn corp bind interface tun.10

samo ze jde pouzit certifikat atd a sec-level jde rucne nadefinovat (to jsou vlastne ike proposals tzn konfigurace jednotlivych fazi a ktere algoritmy jsou pouzity, ten sec-level standard je jeden z defaultnich)

IKE Phase-1 Standard Level:
Id Name Auth Grp ESP-e ESP-a Lifetime
-- ------------------ -------- --- ------ ----- ----------
5 pre-g2-3des-sha Preshare 2 3DES SHA-1 28800
7 pre-g2-aes128-sha Preshare 2 AES128 SHA-1 28800

pokud ma byt vpnka porad nahore z duvodu applikacnich:
Corp-VPN-Hub-> set vpn denton monitor rekey

no a policy na zaver:
Corp-VPN-Hub-> set policy from trust to vpn local_lan denton_lan any
permit policy id = 5
Corp-VPN-Hub-> set pol from vpn to trust denton_lan local_lan any
permit policy id = 6

samo ze jde specifikovat jaky service ma byt povolen...

v tuto chvili mohu lehce videt jestli je vpn nahore, popripadne v ktere fazi kkonci a co je duvodem, logovany traffic atd...

tak snad jsem neco nevynechal uz hlady sotva vidim. takze jak vidite je to proste..
no a samozrejme tu neni konfigurace veci jako jsou dns proxy, alg, dynamicky routing, traffic shaping, content security, high availability, multikastink, virtualni systemy, nat atd...

takze to je pro priklad, pro mini firmu to samozrejme bude moc cool reseni, ale krabicka ktera tohle zvladne stoji okolo 300 dolaru... nevim kolik stoji licence pro klastrovani.... to bych musel zjistit.

[sasha]

jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.

co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...

[sasha]

jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.

co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...

@iptables
300tunnelu x 10 - 30 policy .... tenhle job neberu

@server versus appliance pro firewall
selze appliance dam tam druhou nebo mam backup/standby boxik a jen naliju konfiguraci z konzole nebo tftp a frcim
selze server (pokud nemam stejnou hw konfiguraci a backup file systemu) tak to bude trvat ponekud dele rekl bych )))

nenabizim tohle reseni kazdemu, vysledek je obecne znamy:
enterprise/corporatni reseni - ...
stredni firmy - ...
male firmicky, domacnosti - ...
to co jsem popsal navrch jde pouzit v ruzne cene pri stejne kvalite ve vsech pripadech, cim niz tim vice je to otazka za co vsechno platit...

snad to pomuze no..

[Fox!MURDER]

...

ja se obavam, ze tva nenavist k opensource resenim spociva v jejich neznalosti ... standby, zalohy, stejna hw konfigurace, online redundance ... vsechno tohle je taaaak snadno resitelny ... staci zvolit spravnej software ...

nema smysl se o tom dohadovat. pokud do toho chces vrazet svoje penize (nebo ti je na to nekdo da), je to urcite fajn. a v tom pripade je to nejjednodussi outsourcovat, protoze pak mas na koho kricet, kdyz to nejde a nic z tohohle vubec resit nemusis ...

pokud ty prachy nemas, nebo te zabezpecena vpn zajima jen proto, ze se chces dostat domu na sdilenej disk (viz. tohle vlaknu), je to, co ty tady popisujes ne kanon, ale minimalne delostrelecka ceta na vrabce ...

stejnetak vyborne reseni je, nosit k ultralehkymu notebooku jeste 2kg krabku od juniperu...

[sasha]

no nevim jak je to s tou neznalosti a taky nevim na ktery juniper jsi se dival, ale ta krabicka za tech par stovek vazi 0,7 kg... jestli se ti zda byt 300 dolaru moc tak fakt nevim kolik te stoji ten server.... ja treba doma nepotrebuji dve grafiky za 5 000 a radeji si zabezpecim domaci sit... znamena to nenavist nebo ze si neco honim?

mimo to reseni ktere jsem tu popsal je site to site, pokud chces clientskou vpn tak staci nainstalovat maly softik do notebooku...

k opensource zadnou nenavist nechovam jen jsem prezentoval svoji zkusenost s jinymi produkty, ktere jsou overeny jako spicky mezi firewally a tvrdim, ze se za slusny peniz daji poridit i domu a ulehcit si konfiguraci a zmensit starosti s bugy, upgrady, balicky atd atd.
navic jsem se snazil popsat technicke reseni jestli te to urazi tak ti asi nerozumim

ano tenhle thread si zada malinke reseni, ale snazil jsem se jen odpoved na otazky jezevce a paola

od tebe mam zatim jen odpoved jak nenavidim opensource

pokud na to mas cas a chut, tak prosim prihod jak vypada konfigurace obdobneho scenare na openVPN at maji ostatni srovnani, myslim ze to bude vice uzitecne nez soucasne odpovedi (nic osobniho

[Fox!MURDER]

...

sorry, ale jak jinak to chces nazvat, kdyz tu i pres to, ze to tu x-lidem funguje, porad tlacis, jak je to spatny? krom toho tvrdis, ze na tom nejdou udelat veci, ktery na tom udelat jdou ... coz implikuje, ze o nich nevis. doufam totiz, ze tu nediskutujes s typickou obchodnickou taktikou - vsechny features konkurencniho produktu popreme ...

krabka 0,7kg za $300 je dobra, kdyz tim pripojujes x pobocek ... kdyz si tim chces pripojit jeden domaci pocitac na jeden pracovni pocitac, je to trosku ulet. na tom uz jsme se shodli. stejnetak by me zajimalo, jak k takove VPN pripojis alternativne nakonfigurovane notebooky (rozumej bez windows)

a kdyz te zajimala konfigurace ovpn, jsem teda linej generovat uplne novou konfiguraci jen proto, abychom se tu mohli dohadovat, ale jeden zajimavejsi projekt - firma za dvema NATama bez moznosti do nich realne zasahovat, potrebuje bezpecny pristup z nekolika notebooku do sve vlastni lokalni site + do site za prvnim natem (docela by me zajimalo, jak by se to resilo ajpiskem)
server uplne mimo jejich lan:

Kód:

port 12345
proto udp
dev bm
dev-type tun
ca /etc/openvpn/bm/ca.crt
cert /etc/openvpn/bm/x.bm.cz.crt
key /etc/openvpn/bm/x.bm.cz.key
dh /etc/openvpn/bm/dh2048.pem
crl-verify /etc/openvpn/bm/crl.pem
server 192.168.48.0 255.255.255.0 ### rozsah pro klienty
ifconfig-pool-persist ipp.txt ### Soubor, kam si server zapisuje IP prirazene klientum, pri dalsim pripojeni jim tak muze priradit stejne
push "route 192.168.32.0 255.255.240.0" ### nastavuje klientum routy skrz tunel
push "route 192.168.1.0 255.255.255.0" ### dtto
client-config-dir /etc/openvpn/bm/ccd/ ### kazdy klient muze mit vlastni konfiguraci
route 192.168.32.0 255.255.240.0 ### nastavuje lokalni routu serveru (bez ni to bude fungovat, ale ze serveru nebude vpn fungovat)
push "dhcp-option WINS 192.168.33.1" ### nastaveni WINS serveru pro prochazeni vzdalene LAN z notebooku
client-to-client ### povoleni komunikace mezi klienty 
tls-auth /etc/openvpn/bm/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 100
user openvpn
group openvpn
persist-key
persist-tun
status /etc/openvpn/bm/openvpn-status.log

klient za uvnitr site za NATama (konfigurace notebooku je vpodstate shodna pro vsechny OS, ale nemam ji po ruce, jediny co se lisi jsou klice/certifikaty, ty jsou pro kazdeho klienta zvlast)

Kód:

client
dev tun
proto udp
remote x.bm.cz 12345 ### kam se pripojit?
nobind
user nobody
group nobody
persist-key
persist-tun
ca bm/ca.crt
cert bm/z.bm.cz.crt
key bm/z.bm.cz.key
ns-cert-type server
tls-auth bm/ta.key 1
cipher AES-128-CBC
comp-lzo
status /var/log/openvpn-status.log

/etc/openvpn/bm/ccd/y.bm.cz - konfigurace i.bm.cz, rika openvpn serveru, ze na nej ma smerovat tyhle site

Kód:

iroute 192.168.32.0 255.255.240.0
iroute 192.168.1.0 255.255.255.0

z obou konfiguraci jsem vyhazel ptakoviny, ktery muzou zustat v defaultu.


je to uz docela dlouho (cca 5 let?) bezici vpn, na kterou se za tu dobu nemuselo sahnout, vyjma uprav v tom, kdo kam muze a tusim jednoho preklicovani...

celkova cena 0,- CZK
doba realizace od prvotniho napadu neco takoveho zridit, vcetne nauceni se, jak poresit interni routovani a hlavne nauceni se, jak pracovat s klicema, cca 6hod


a ad. tva poznamka o grafikach ... ja si radej koupim grafiku za $300, nebo server za $300, protoze mi poskytnou neco navic ... grafika zabavu, server mi doma poslouzi i jako storage, zalozni pracovni stanice, media-server a aplikacni server ... to mi bohuzel krabka s listeckem nenabidne ...

a neboj, par juniperu jsem uz v ruce mel, dokonce vykuchanejch ... pravda z trochu jine kategorie

[Petrik]

k opensource zadnou nenavist nechovam jen jsem prezentoval svoji zkusenost s jinymi produkty, ktere jsou overeny jako spicky mezi firewally a tvrdim, ze se za slusny peniz daji poridit i domu a ulehcit si konfiguraci a zmensit starosti s bugy, upgrady, balicky atd atd.
navic jsem se snazil popsat technicke reseni jestli te to urazi tak ti asi nerozumim

Bugy...hm nekde jsem videl srovnani proprietalnich FW a iptables v linuxu a iptables vysly jako zdaleka nejmene buggy, navic s velmi rychlou opravou pripadnych bugu. Nevim, zda to byla pravda ci ne, ale kdyz se clovek podiva na pocet chyb v cisco routerech, tak bych tomu klidne veril.

[sasha]

@Fox
- netlacim ze je to spatne, jen jsem napsal porovnani tak jak ho vidim a svoji zkusenost v reakci na tve odpovedi, naopak ty mne v teto pozici presentujes
- zajima me oboji reseni ale v praxi jsem se potkal s tim, ktere jsem popsal
- ipsec dnes uz nema problem s natem
- naklady nejsou nulove, nejak jsi zapomnel na ten server
- doma mam pixik, kolegove treba maji ns5-gt (juniper) a vsichni jsme spokojeni, pokud ti jde o domaci server tak bych rekl ze vetsina lidi ma doma pocitace popripadne server za nejakym routro/fw/adsl/cimkoliv takze jim tam stejne neco maleho vrci. me za tim fw vrci tri pc a jeden servrik...
- kuprikladku ta ns5ka muze mit jak adsl port tak ethernet tak wifi a v ruznych kombinacich (in/out)
- grafika je ciste osobni volba, tipnul bych si a je to videt i z podpisu tady na foru, ze kazdy tech 300$ za ni zkratka neda... (z duvodu penez, prace, rodina atd...)
- hlavne jsem se dostali mimo tema (vpn) protoze ten fw dela spoustu dalsich veci jak jsem napsal drive... ale asi zalezi na tom jak chce kdo mit zabezpeceny webovy nebo databasovy server pred pristupem z internetu...

@Petrik
- urcite kazdy sw/hw ma sve mouchy nicmene nezapomen ze jde o pripadny bug v cemkoliv co na tom serveru bezi - nejde jen o iptables...
- u appliance mas prakticky okamzitou pomoc od vendora (aspon moje zkusenost) u opensource veci pomuze asi vice lidi, ale je otazka jak u tezsiho problemu bude trvat reseni (to se tyka obou) a to asi nejsme schopni srovnat (museli by jsme najit spolecny bug)

kuprikladu openVPN pouziva openSSL (aspon co jsem se docetl) coz znamena ze pro bezpecny provoz je potreba spravna configurace openVPN, openSSL a obe teto aplikace bez chyb a bugu (tento problem zavislosti appliance nema), no a tehle zavislosti bude asi vice.

[Fox!MURDER]

@Fox
- ipsec dnes uz nema problem s natem

ipsec nema problemy s natem, nebo nat nema problemy s ipsecem?

- naklady nejsou nulove, nejak jsi zapomnel na ten server

server uz se davno pouzival jako storage a stejne dobre mohl poslouzit i kterykoliv jiny pocitac v siti...

- doma mam pixik, kolegove treba maji ns5-gt (juniper) a vsichni jsme spokojeni, pokud ti jde o domaci server tak bych rekl ze vetsina lidi ma doma pocitace popripadne server za nejakym routro/fw/adsl/cimkoliv takze jim tam stejne neco maleho vrci. me za tim fw vrci tri pc a jeden servrik z duvodu me prace a sluzeb na boxech bezicich by byla hloupost nechat tam nejaky assus nebo linksys...

ve tvym pripade a v pripade koloegu asi ano, v pripade 99% beznych lidi, je pix, netscreen nebo cokoliv jinyho zbytecnej a drahej overkill, za jehoz cenu si muzou koupit klidne tu grafiku ... opravdu verim, ze velke vetsine beznych uzivatelu (i tady na foru) lip poslouzi hloupej linksys za 500.

- grafika je ciste osobni volba, tipnul bych si a je to videt i z podpisu tady na foru, ze kazdy tech 300$ za ni zkratka neda... (z duvodu penez, prace, rodina atd...)

tim spis neda $300 za krabicku, ktera mu nic navic neprinese ...

- hlavne jsem se dostali mimo tema (vpn) protoze ten fw nedal jen vpn

asi bychom to tu meli ukoncit...

kuprikladu openVPN pouziva openSSL (aspon co jsem se docetl) coz znamena ze pro bezpecny provoz je potreba spravna configurace openVPN, openSSL a obe teto aplikace bez chyb a bugu (tento problem zavislosti appliance nema), no a tehle zavislosti bude asi vice.

tohle vetsinou resi rozumna distribuce - napr. ubuntu ma updaty vetsinou pravidelne a rychle ...

co se reseni problemu a velky spolecnosti tyce, je docela sranda, kdyz u velkyho boxu prijdou na to, ze maj dost mizernej design ... jednu takovou zpravu od cisca jsem cetl