Výběr vhodné VPN technologie

[Milouš]

Potřebuji pomoc s výběrem vhodné VPN technologie pro use case:
- klient má mít přístup na nekolik intranetových portálů
- split tunneling + resolving interních DNS záznamů - je to vůbec možný?
- klient nemá administrátorský oprávnění, nutnost pushnout nějaké routy
- klienti na 90% Windows 7 a 10, zbytek Apple a Linux.

SSTP neumí routy, OpenVPN vyžaduje admin oprávňení, IPSec nemám zkušenosti.

[Reklama]

[Tomas2]

routy a DNS bez admin práv nezměníš, btw.

Na tohle co vím používáme cisco vpn, je to sra*ka, ale mají dobré HW krabičky a zvládne desítky tisíc klientů bez složité infrastruktury.

[Lol Phirae]

OpenVPN vyžaduje admin oprávňení

Od verze 2.4 už ne.

[daemon]

IPSec nemám zkušenosti.

L2TP/IPsec má nepříjemnou vlastnost, že nemůže být více VPN klientů za jedním NATem. S čímž mimochodem v poslední době docela bojuju...

[daemon]

IPSec nemám zkušenosti.

L2TP/IPsec má nepříjemnou vlastnost, že nemůže být více VPN klientů za jedním NATem. S čímž mimochodem v poslední době docela bojuju...

Tedy za předpokladu, že VPN klient použije, pro L2TP, UDP source port 1701, nikoli náhodně zvolený. Což bohužel dělá VPN klient, který je součástí Windows nebo i např. ten co je v RouterOSu. V Linuxu jsem to nezkoušel a v mpd, který je ve FreeBSD portech, se - tuším - source port nějak nastavit dá. Ale taky jsem ho nezkoušel, jenom jsem zběžně prohlédl config.

[Reklama]

[Tomas2]

OpenVPN vyžaduje admin oprávňení

Od verze 2.4 už ne.

Sice se spustí a přípojí, ale už neumí pushnout routy, na to musí být Administrátor nebo aspoň Network operátor. Pokud jsi četl původní dotaz (v to doufám), tazatel chce i routování, tvoje odpověď je hodně zavádějící.

[Lol Phirae]

Sice se spustí a přípojí, ale už neumí pushnout routy, na to musí být Administrátor nebo aspoň Network operátor.

Ne. https://community.openvpn.net/openvpn/wiki/OpenVPNInteractiveService

[Tomas2]

čteš odkazy, které sem házíš? Ano, lze openvpn lze spustit pod obyčejným uživatelem, ale bez patřičných práv nemůžeš nahodit routy.

[Tomas2]

dokonce to mají popsané na jejich stránkách https://community.openvpn.net/openvpn/wiki/Nonprivileged, bez patřičných práv to jde velice těžko , ty workaroundy, které tam mají nefungují v běžných korporátech, kde nejsou admin práva

[Lol Phirae]

čteš odkazy, které sem házíš? Ano, lze openvpn lze spustit pod obyčejným uživatelem, ale bez patřičných práv nemůžeš nahodit routy.

Narozdíl od tebe ano, magore.

"OpenVPNServiceInteractive", is a Windows system service which allows unprivileged users to do certain privileged operations required by OpenVPN, such as adding routes.
...
if openvpn.exe wants to do ifconfig/route/dns stuff, it sends these as requests over the service pipe to the Interactive Service, which will then execute them (and clean up should openvpn crash)

[samohyb]

L2TP/IPsec má nepříjemnou vlastnost, že nemůže být více VPN klientů za jedním NATem. S čímž mimochodem v poslední době docela bojuju...

Tedy za předpokladu, že VPN klient použije, pro L2TP, UDP source port 1701, nikoli náhodně zvolený. Což bohužel dělá VPN klient, který je součástí Windows nebo i např. ten co je v RouterOSu. V Linuxu jsem to nezkoušel a v mpd, který je ve FreeBSD portech, se - tuším - source port nějak nastavit dá. Ale taky jsem ho nezkoušel, jenom jsem zběžně prohlédl config.

Vice klientu L2TP (windows) za jednim NATem provozuji bezne. Port 1701 nepouzivam, nemam ho ani povolen na firewallu.

[samohyb]

Jinak server (hub) L2TP na linuxu bez portu 1701 funguje urcite dobre pro windowsi i apple klienty (linux jsem ke sve hanbe nezkousel )

[daemon]

Vice klientu L2TP (windows) za jednim NATem provozuji bezne. Port 1701 nepouzivam, nemam ho ani povolen na firewallu.

L2TP nebo L2TP/IPsec? Je v tom rozdíl. U prostého L2TP se source port zaNATuje a skutečně jich tam může být víc.

[Tomas2]

čteš odkazy, které sem házíš? Ano, lze openvpn lze spustit pod obyčejným uživatelem, ale bez patřičných práv nemůžeš nahodit routy.

Narozdíl od tebe ano, magore.

"OpenVPNServiceInteractive", is a Windows system service which allows unprivileged users to do certain privileged operations required by OpenVPN, such as adding routes.
...
if openvpn.exe wants to do ifconfig/route/dns stuff, it sends these as requests over the service pipe to the Interactive Service, which will then execute them (and clean up should openvpn crash)

jasně, už se zmůžeš jen na urážky.

A ten OpenVPNServiceInteractive ti tam nainstaluje asi kdo? Samozřejmě správce, bez něj se tam nedostane. Důležité je, že openvpn gui a samotná aplikace již může být spuštěna bez správce, stejně tak může upravovat configy.

S úpravou route v korporátních systémech pod AD to je trochu horší.

[Lol Phirae]

A ten OpenVPNServiceInteractive ti tam nainstaluje asi kdo? Samozřejmě správce, bez něj se tam nedostane.

No to by blbej neřek. Nebo si u vás každej instaluje co ho napadne?