Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Jan Schod 17. 12. 2019, 15:58:53

Název: VPN pro road warriory
Přispěvatel: Jan Schod 17. 12. 2019, 15:58:53
Zdravím,

dlouhodobě ve firmě používáme pro přípojení uživatelů (road warrior) OpenVPN. Je nás sice jen 30, ale i tak máme Win 10, Linux i Mac OS X uživatele.

Největší bolestí je funkční OpenVPN pro Mac OS X (se schopnosti nastavit DNS server a search).

Měl jsem funkční řešení s OpenConnect a AnyConnect klientem, který fungoval dobře, dokud nepřešel Mac OS X na 64bit. Novější AnyConnect již nelze legálně stáhnout, nemáme cisco service contract.

Takže momentálně koketuji s Wireguard. Ten se sice krásně konfiguruje, ale tam mám problém s nastavením vnitřního DNS serveru a domain search, po přípojení na VPN.

Nenapadají mě už žádné funkční open source řešení a tak zkouším najít hardwarový VPN gateway.
Na první dobrou mě zaujal Cisco ASA popřípadě RV, kvůli dobré zkušenosti s AnyConnect.

Můžete doporučit obdobná zařízení, které:
 - Má funkčního VPN klienta na Win, Linux, Mac OS
 - VPN klientovi lze nastavit DNS a search domain po připojení
 - Jednoduchá klientská instalace

Předem moc děkuji za odpovědi.
Název: Re:road warrior vpn
Přispěvatel: Medo77 17. 12. 2019, 17:02:39
napr. https://www.softether.org/  (https://www.softether.org/)...
Vie to kadejake psie kusy ... (VPN over ICMP and VPN over DNS, podpora CMD, ma to vlastne DynDNS, MultiHub, load Balancing, VirtualNAT+VirtualDHCP,..)
Zaloha v jednom textaku ..
Název: Re:road warrior vpn
Přispěvatel: drmartins 17. 12. 2019, 17:33:17
u wireguardu lze nastavit vlastní dns jednoduše
v sekci [interfaces] se to zapíše jako DNS = 8.8.8.8
ale domain search jsem teda v dokumentaci nedohledal, používám jenom dns


a wireguard funguje všude. Win, macos, ios, android, linux
Název: Re:road warrior vpn
Přispěvatel: RomanusRemus 17. 12. 2019, 17:35:14
IKE2
Název: Re:VPN pro road warriory
Přispěvatel: noob 18. 12. 2019, 12:49:44
Strongswan (https://strongswan.org/ (https://strongswan.org/)) a IKEv2.
Název: Re:VPN pro road warriory
Přispěvatel: Jan Schod 18. 12. 2019, 14:10:04
Děkuji za tipy na SoftEther a strongSwan a za nakopnutí, že nemám hledat kouzelnou krabičku a ještě jednou zkusit open source :)

U wireguardu máte pravdu, jde tam zadat DNS a dokonce to tak máme nakonfigurované. Má chyba :)
Bohužel absence DNS search způsobí, že interní DNS stejně nevyužijeme. Všechny domény totiž používáme bez interní tld.
Název: Re:VPN pro road warriory
Přispěvatel: mkaluza 19. 12. 2019, 01:59:18
A Tunnelblick (OpenVPN) si neskusal? https://tunnelblick.net
Název: Re:VPN pro road warriory
Přispěvatel: Miroslav Šilhavý 19. 12. 2019, 11:48:55
Jednoznačně se soustředit na IKEv2, tu podporují všechny zmíněné platformy.
Je potřeba nastavit DHCP aby odpovídalo na DHCPINFORM a nastavila options (některé, vím o routách, jsou v MS pod jinou konstantou než pro ostatní).
Dobrou prostupnost pro MS-MS má jejich SSTP.

OpenVPN nebrat.

Pokud by byl problém s připojováním, doporučuji to přijmout jako fakt a nesnažit se to obejít dalšími a dalšími typy VPN - to je marný boj a náročné na správu. Levnější je důležitým lidem zaplatit data (modem, LTE modul do laptopu, WiFi hotspot z telefonu atd.)

Pro 30 lidí se už také může vyplatit vzít rovnou od operátora datové služby s vlastním APN. Pak je vše přímo dostupné v místní síti a náročnost řešení se tím radikálně sníží.
Název: Re:VPN pro road warriory
Přispěvatel: DgBd 19. 12. 2019, 12:13:44
S Tunnelblickem problémy moc nejsou.
Název: Re:VPN pro road warriory
Přispěvatel: ja. 19. 12. 2019, 13:25:12
OpenVPN pre MacOS -> tunnelblick, do server.conf dat:

Kód: [Vybrat]
push "dhcp-option DNS ip-adresa-dns"
push "dhcp-option DOMAIN domena-kde-hladat"

V tunnelblicku mat pre dane pripojenie nastavene "Nastavit nameserver"

Wireguard: pre vsetky platformy DNS server je v [Interface]. Ako ho nechat pouzivat iba pre konkretne domeny, sa nastavuje v kazdom systeme inac, genericky pre jednotlive interface. V Linuxe NetworkManager, ked sa pouziva backed dnsmasq alebo systemd-network vie forwardovat na specificke resolvery pre konkretne domeny; v macos sa to da nastavit v /etc/resolver/ (man 5 resolver), vo Windows cez Add-DnsClientNrptRule.

Pokial sa niekomu podarilo rozbehat IKEv2/Strongswan tak, ze to fungovalo s Windows/Linux/Android/MacOS/iOS aj spoza NAT, tak sa rad pozriem na to, aky konfig pouzil.
Název: Re:VPN pro road warriory
Přispěvatel: František Ryšánek 19. 12. 2019, 18:05:57
Předřečníci probrali už prakticky všechno. Spíš jenom v rámci vyváženosti a plurality názorů se přidávám s hlášením, že mi OpenVPN funguje dlouhá léta k téměř naprosté spokojenosti. Asi nemám vysoké nároky.

Uživatele s jabkem taky nějaké máme - ani nevím, co používají na OpenVPN za klienta, řeší si to sami a nestěžujou si. Je fakt, že se možná nenaučili, používat lokální jména, na ty dva servery si pamatujou IP adresy... (Naši jablíčkáři tvrdí, že pokud to není "just works", tak je to rozbité, ale lokální jména serverů si nepamatují, radši IP adresy.) Já mám samozřejmě interně nakonfigurováno privátní DNS, něco jako  fajly.in.firma.cz  se dá na klientu přičarovat většinou zadáním jména poslední úrovně (zde "fajly"), protože jsem si z OpenVPN "access serveru" pushnul na klienta interní DNS a doménu in.firma.cz :

push "dhcp-option DNS ip.adr.interniho.DNSserveru"
push "dhcp-option DOMAIN in.firma.cz"

Na serveru jede standardní OpenVPN z repa linuxového distra, na klientech "komunitní" OpenVPN klient stažený z webu.

Trochu mě štve komunitní klient do Windows, čerstvé verze OpenVPN démona a GUI (potřebné pro Win10) už nepodporují opšnu "disconnect_on_suspend" (zmizela při nějaké dost radikální čistce ve zdrojákách, nejde snadno vrátit) - ale jsem na stopě možnosti, zařídit to nějakou naplánovanou úlohou, tyto se dají zavěsit na event usnutí nebo probuzení Windows.

S panem Šilhavým a možná dalšími spolu navzájem dlouhá léta "zdvořile nesouhlasíme" v názoru na OpenVPN vs. IPSec. Tenhle dotaz vcelku spolehlivě rozdmychá doutnající flame war :-) Zdá se, že každému vyhovuje něco jiného. Osobně jsem rád za ten pestrý výběr.
Název: Re:VPN pro road warriory
Přispěvatel: Miroslav Šilhavý 19. 12. 2019, 18:13:06
Flamewar nebude. Ostatně, lhal bych, kdybych tvrdil, že nikde nepoužívám OpenVPN.

Mám proti ní čtyři argumenty, které jen pro úplnost napíšu:
1) IKEv2 je řešení out-of-box, plně integrované do MacOS i Windows, spravovatelné přes centrální nástroje pro správu, hesla jsou chráněna v rámci OS zabezpečeného storu
2) OpenVPN dochází dech při větších průtocích
3) pro Windows je potřeba na OpenVPN nastavit jinak přidělování adres, podle /30 bloků (jestli si to správně pamatuju), což je pain ve větších počtech uživatelů

Výhodou OpenVPN je, že když už se nastaví, tak proleze na kdejaké lince.

Kdybych si vybíral pro firmu o 30 zaměstnancích, nechal bych u operátora zřídit APN a s žádnými VPN bych se nepatlal.
Název: Re:VPN pro road warriory
Přispěvatel: František Ryšánek 19. 12. 2019, 18:40:42
Kdybych si vybíral pro firmu o 30 zaměstnancích, nechal bych u operátora zřídit APN a s žádnými VPN bych se nepatlal.

Jediná věc mi vrtá hlavou: jak to kombinovat s přístupem do divokého internetu. Možnosti jsou jistě různé. Třeba jestli by šlo, routovat do APN jenom pár subnetů, a default route do nějaké jiné konektivity. Nebo pokud je mobil jediná konektivita, tak udělat díru ven taky z té APN někde v DC. Samotný 4G modem asi nebude umět 2 paralelní PDP kontexty...
Název: Re:VPN pro road warriory
Přispěvatel: Miroslav Šilhavý 19. 12. 2019, 18:49:48
Jediná věc mi vrtá hlavou: jak to kombinovat s přístupem do divokého internetu. Možnosti jsou jistě různé. Třeba jestli by šlo, routovat do APN jenom pár subnetů, a default route do nějaké jiné konektivity. Nebo pokud je mobil jediná konektivita, tak udělat díru ven taky z té APN někde v DC. Samotný 4G modem asi nebude umět 2 paralelní PDP kontexty...

Ano, to je pak pain. Buďto přepínat připojení "do práce" / "internetu", což je práce srovnatelného charakteru se zapínáním / vypínáním VPN. Většinou stačí toto, nebo se divoký internet žene přes práci (mívá to bezpečnostní výhody, ale žere to pásmo).

Žádné řešení není takový "killer" aby se dalo říct, že je nejlepší.
Název: Re:VPN pro road warriory
Přispěvatel: messagebus 19. 12. 2019, 21:40:40
Kdybych si vybíral pro firmu o 30 zaměstnancích, nechal bych u operátora zřídit APN a s žádnými VPN bych se nepatlal.

Jak tohle pomuze notebookarum na dovolene v Patagonii nebo uzivatelum WiFi iPadu?

Dik
Název: Re:VPN pro road warriory
Přispěvatel: M_D 20. 12. 2019, 08:06:49
Jak tohle pomuze notebookarum na dovolene v Patagonii nebo uzivatelum WiFi iPadu?

Privátní/firemní APN funguje i v roamingu. iPAD se dělá snad i ve Wifi/LTE verzi. Ale ano, vždy, všem a ve všem vyhovět nejde.

Také bych se klonil k variantě na bázi IPsec IKEv2.

Pokud vlastní APN a beru to vážně, tak i u něj vždy to IKEv2, protože operátor do toho vidí. Ale že by to bylo zrovna úplně láce, pokud to nemám v nějakém velko firemním balíku služeb, tak to bude něco znatelného stát také. Výhodu u tohoto mám, pokud neřeším dilema internet/vlasntí APN, politika je žádný přímý internet, vše musí jít přes firmu. Stejně jak, pokud se mobilní zařízení dovolí připojit k wifi/ethernetu jen s politikou Always on VPN, kdy přes takové připojení automaticky jde ihned do VPN a vůbec nedovolí komunikaci mimo něj.
Název: Re:VPN pro road warriory
Přispěvatel: Miroslav Šilhavý 20. 12. 2019, 09:40:06
Pokud vlastní APN a beru to vážně, tak i u něj vždy to IKEv2, protože operátor do toho vidí. Ale že by to bylo zrovna úplně láce, pokud to nemám v nějakém velko firemním balíku služeb, tak to bude něco znatelného stát také. Výhodu u tohoto mám, pokud neřeším dilema internet/vlasntí APN, politika je žádný přímý internet, vše musí jít přes firmu. Stejně jak, pokud se mobilní zařízení dovolí připojit k wifi/ethernetu jen s politikou Always on VPN, kdy přes takové připojení automaticky jde ihned do VPN a vůbec nedovolí komunikaci mimo něj.

K ceně - to si musí spočítat každá firma zvlášť. Ve spoustě firem nevědí ajťáci kam dřív skočit a místo toho, aby řešili posun vpřed, tak supportují spoustu "udělátorů". V tomto ohledu se může vlastní APN vyplatit víc a managementu se s tím i líp pracuje - jasný náklad na hlavu měsíčně a (jakš takš) jistota, že to funguje.

S bezpečnostní politikou souhlas, myslím, že to je nejvhodnější řešení. Always on VPN se dá kombinovat s guest accountem, který to nevyžaduje - i to je přijatelný kompromis firemní bezpečnosti vs. pohodlí pracovníka.