Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Milouš 21. 06. 2017, 19:42:49
-
Potřebuji pomoc s výběrem vhodné VPN technologie pro use case:
- klient má mít přístup na nekolik intranetových portálů
- split tunneling + resolving interních DNS záznamů - je to vůbec možný?
- klient nemá administrátorský oprávnění, nutnost pushnout nějaké routy
- klienti na 90% Windows 7 a 10, zbytek Apple a Linux.
SSTP neumí routy, OpenVPN vyžaduje admin oprávňení, IPSec nemám zkušenosti.
-
routy a DNS bez admin práv nezměníš, btw.
Na tohle co vím používáme cisco vpn, je to sra*ka, ale mají dobré HW krabičky a zvládne desítky tisíc klientů bez složité infrastruktury.
-
OpenVPN vyžaduje admin oprávňení
Od verze 2.4 už ne.
-
IPSec nemám zkušenosti.
L2TP/IPsec má nepříjemnou vlastnost, že nemůže být více VPN klientů za jedním NATem. S čímž mimochodem v poslední době docela bojuju...
-
IPSec nemám zkušenosti.
L2TP/IPsec má nepříjemnou vlastnost, že nemůže být více VPN klientů za jedním NATem. S čímž mimochodem v poslední době docela bojuju...
Tedy za předpokladu, že VPN klient použije, pro L2TP, UDP source port 1701, nikoli náhodně zvolený. Což bohužel dělá VPN klient, který je součástí Windows nebo i např. ten co je v RouterOSu. V Linuxu jsem to nezkoušel a v mpd, který je ve FreeBSD portech, se - tuším - source port nějak nastavit dá. Ale taky jsem ho nezkoušel, jenom jsem zběžně prohlédl config.
-
OpenVPN vyžaduje admin oprávňení
Od verze 2.4 už ne.
Sice se spustí a přípojí, ale už neumí pushnout routy, na to musí být Administrátor nebo aspoň Network operátor. Pokud jsi četl původní dotaz (v to doufám), tazatel chce i routování, tvoje odpověď je hodně zavádějící.
-
Sice se spustí a přípojí, ale už neumí pushnout routy, na to musí být Administrátor nebo aspoň Network operátor.
Ne. https://community.openvpn.net/openvpn/wiki/OpenVPNInteractiveService
-
čteš odkazy, které sem házíš? Ano, lze openvpn lze spustit pod obyčejným uživatelem, ale bez patřičných práv nemůžeš nahodit routy.
-
dokonce to mají popsané na jejich stránkách https://community.openvpn.net/openvpn/wiki/Nonprivileged, bez patřičných práv to jde velice těžko :), ty workaroundy, které tam mají nefungují v běžných korporátech, kde nejsou admin práva
-
čteš odkazy, které sem házíš? Ano, lze openvpn lze spustit pod obyčejným uživatelem, ale bez patřičných práv nemůžeš nahodit routy.
Narozdíl od tebe ano, magore.
"OpenVPNServiceInteractive", is a Windows system service which allows unprivileged users to do certain privileged operations required by OpenVPN, such as adding routes.
...
if openvpn.exe wants to do ifconfig/route/dns stuff, it sends these as requests over the service pipe to the Interactive Service, which will then execute them (and clean up should openvpn crash)
-
L2TP/IPsec má nepříjemnou vlastnost, že nemůže být více VPN klientů za jedním NATem. S čímž mimochodem v poslední době docela bojuju...
Tedy za předpokladu, že VPN klient použije, pro L2TP, UDP source port 1701, nikoli náhodně zvolený. Což bohužel dělá VPN klient, který je součástí Windows nebo i např. ten co je v RouterOSu. V Linuxu jsem to nezkoušel a v mpd, který je ve FreeBSD portech, se - tuším - source port nějak nastavit dá. Ale taky jsem ho nezkoušel, jenom jsem zběžně prohlédl config.
Vice klientu L2TP (windows) za jednim NATem provozuji bezne. Port 1701 nepouzivam, nemam ho ani povolen na firewallu.
-
Jinak server (hub) L2TP na linuxu bez portu 1701 funguje urcite dobre pro windowsi i apple klienty (linux jsem ke sve hanbe nezkousel :) )
-
Vice klientu L2TP (windows) za jednim NATem provozuji bezne. Port 1701 nepouzivam, nemam ho ani povolen na firewallu.
L2TP nebo L2TP/IPsec? Je v tom rozdíl. U prostého L2TP se source port zaNATuje a skutečně jich tam může být víc.
-
čteš odkazy, které sem házíš? Ano, lze openvpn lze spustit pod obyčejným uživatelem, ale bez patřičných práv nemůžeš nahodit routy.
Narozdíl od tebe ano, magore.
"OpenVPNServiceInteractive", is a Windows system service which allows unprivileged users to do certain privileged operations required by OpenVPN, such as adding routes.
...
if openvpn.exe wants to do ifconfig/route/dns stuff, it sends these as requests over the service pipe to the Interactive Service, which will then execute them (and clean up should openvpn crash)
jasně, už se zmůžeš jen na urážky.
A ten OpenVPNServiceInteractive ti tam nainstaluje asi kdo? :) Samozřejmě správce, bez něj se tam nedostane. Důležité je, že openvpn gui a samotná aplikace již může být spuštěna bez správce, stejně tak může upravovat configy.
S úpravou route v korporátních systémech pod AD to je trochu horší.
-
A ten OpenVPNServiceInteractive ti tam nainstaluje asi kdo? :) Samozřejmě správce, bez něj se tam nedostane.
No to by blbej neřek. Nebo si u vás každej instaluje co ho napadne?
-
L2TP nebo L2TP/IPsec? Je v tom rozdíl. U prostého L2TP se source port zaNATuje a skutečně jich tam může být víc.
Vzdyt prave IPSEC slouzi k tomu, ze se vsechno prenasi uvnitr, tak jakepak NATovani nejakych portu? IPSEC NAT-traversal a jedu.
-
L2TP nebo L2TP/IPsec? Je v tom rozdíl. U prostého L2TP se source port zaNATuje a skutečně jich tam může být víc.
Vzdyt prave IPSEC slouzi k tomu, ze se vsechno prenasi uvnitr, tak jakepak NATovani nejakych portu? IPSEC NAT-traversal a jedu.
Co používáš za VPN server? Dopustil jsem se jisté nepřesnosti a zamlčel, že já používám Mikrotik. Na něm mi to nefunguje. Je pravda, že v tom L2TP protokolu je uvnitř informace, podle které lze jednotlivá spojení rozeznat. To ale záleží na implementaci L2TP serveru.
IPsec NAT-traversal na to ale vliv nemá, protože slouží k něčemu jinému.
-
A ten OpenVPNServiceInteractive ti tam nainstaluje asi kdo? :) Samozřejmě správce, bez něj se tam nedostane.
No to by blbej neřek. Nebo si u vás každej instaluje co ho napadne?
Takže tazatel požaduje "klient nemá administrátorský oprávnění", ty mu na to odpovíš, že openVPN 2.4 ho nepotřebuje, pak z tebe vyleze, že tam potřebuje službu, kterou si bez admin práv nenaistaluje a teď píšeš, že je běžné, že zaměstnanec nemůže nic instalovat :), proč sem vůbec přispíváš, když tazateli jsou tvojě odpovědi k ničemu? Bavit se s demagogem je opravdu zábava.
-
Takže tazatel požaduje "klient nemá administrátorský oprávnění", ty mu na to odpovíš, že openVPN 2.4 ho nepotřebuje, pak z tebe vyleze, že tam potřebuje službu, kterou si bez admin práv nenaistaluje
Bez admin práv tam nenainstaluje ani to OpenVPN (ta služba je součástí, součástí je taky TAP ovladač, který si bez admin práv taky nenainstaluje).
Dotazem chápu, že chce, aby samotný uživatel POTOM, co se to zprovozní, nemusel mít admin práva. To je snad normální stav u jakéhokoliv softwaru, co v tom hledáš ty, opravdu nevím.
P.S. Bavit se s natvrdlem tvého typu je opravdu k ničemu.
-
Co používáš za VPN server? Dopustil jsem se jisté nepřesnosti a zamlčel, že já používám Mikrotik. Na něm mi to nefunguje. Je pravda, že v tom L2TP protokolu je uvnitř informace, podle které lze jednotlivá spojení rozeznat. To ale záleží na implementaci L2TP serveru.
IPsec NAT-traversal na to ale vliv nemá, protože slouží k něčemu jinému.
Jako L2TP/IPSEC (PSK) server jsem pouzival: Centos7 (xl2tp) (podobne musi fungovat i Debian, akorat to neni muj salek caje), Win SBS 2008, Win SBS 2011.
IPSEC NAT-T je krucialni, jinak to prece vubec nedava smysl. Ve windows se kvuli NAT-T musi neco zmenit regeditem (na obou stranach) - da se to dohledat na netu, ja uz to nedelam.