Jaký software na VPN „router“?

Jan Novák · « **kdy:** 05. 04. 2018, 10:39:03 »

Ahoj,

potřeboval bych poradit s řešením následujícího problému:
Mám několi lokalit, které potřebuji propojit pomocí VPN.
Mám jeden uzel na rychlé lince, kam bych rád umístíl router - veřejná IP.
Otázka je, co zvolit. Jako VPN mi asi nejlépe vychází OpenVPN - dá se připojit i s mikrotik klientem a zároveň by mohl být i bezpečný.
Hlavní otázka je co na server - buď nějaké čisté distro (ale nevýhoda je nutnost vše konfigurovat - inslatovat) a nebo něco hotového - pfSense?? Klienti by měli být mikrotik a openwrt. Možná ještě android.

Reklama

M. · « **Odpověď #1 kdy:** 05. 04. 2018, 10:50:54 »

Mikrotik podpora OpenVPN je limitován jen pro TCP spojení, což občas není nejlepší pro výkon. Ať už kvůli TCPinTCP přenosu nebo jen SW šifrování.
Pokud jde o přenos pár dat nějakého monitoringu/sběru dat, tak pak OpenVPN není problém, případně SSTP. Mám takto několik set SSTP VPN tunelů a jede to OK (koncentrátor Mikrotik RB1100AHx2, konce různé).

Pokud je třeba větší datový tok, tak IPsec a volit něco, co má podporu pro HW šifrování.

Hobbit · « **Odpověď #2 kdy:** 05. 04. 2018, 10:53:37 »

Polož si jestě otázku, kolik dat ti po tech VPNkách poteče - jestli "něco málo" v řádu megabitů, nepotřebujes HW šifrování a ukousáš to na čemkoliv. Pokud tam budou větší toky, tak už to chce HW podporu.

Miroslav Šilhavý · « **Odpověď #3 kdy:** 05. 04. 2018, 11:00:50 »

OpenVPN je katastrofálně nevýkonná. Je to víceméně hračka.

Reálně má smysl uvažovat o IPIP nebo GRE tunelu plus je potřeba počítat s HW akcelerátorem šifrování. Dnešní toky v řádku megabitů už CPU nezvládají dobře a VPN zlobí.

Jan Novák · « **Odpověď #4 kdy:** 05. 04. 2018, 11:11:05 »

Ano, půjde o toky s limitem někde k 10 Mbps. Nelze počítat s tím, že na všech bodech bude veřejná IP.

Reklama

Miroslav Šilhavý · « **Odpověď #5 kdy:** 05. 04. 2018, 11:17:39 »

Citace: Jan Novák 05. 04. 2018, 11:11:05

Ano, půjde o toky s limitem někde k 10 Mbps. Nelze počítat s tím, že na všech bodech bude veřejná IP.

To je prakticky neřešitelné spolehlivě. OpenVPN neustíhá takový tok a latence bude špatná. Jako základ bych viděl naopak mít pevné IP adresy na všech koncích, ne nadarmo to tak všichni operátoři požadují (kdyby to uměli lépe bez toho, určitě by rádi šetřili i oni, ve velkém).

Dzavy · « **Odpověď #6 kdy:** 05. 04. 2018, 11:20:30 »

OpenVPN je uplne v pohode, na 100M lince jsme pres to tlacili 100M a jelo to krasne.

Doporucuju pfSense nebo jetou ASA5510/5520 (IPsec only plus Cisco SSL VPN) z ebaye.

Jan Novák · « **Odpověď #7 kdy:** 05. 04. 2018, 11:23:40 »

Citace: Miroslav Šilhavý 05. 04. 2018, 11:17:39

Citace: Jan Novák 05. 04. 2018, 11:11:05
Ano, půjde o toky s limitem někde k 10 Mbps. Nelze počítat s tím, že na všech bodech bude veřejná IP.

To je prakticky neřešitelné spolehlivě. OpenVPN neustíhá takový tok a latence bude špatná. Jako základ bych viděl naopak mít pevné IP adresy na všech koncích, ne nadarmo to tak všichni operátoři požadují (kdyby to uměli lépe bez toho, určitě by rádi šetřili i oni, ve velkém).

Pro mě neřešitelné minimálně do doby, než IPv4 konečně chcípne.
Ale potřebuju řešení teď, s tím co mám nebo můžu snadno zažídit. Reálné využití bude hlavně na synchronizace několika uložišť. Sen tam přístup z venku (přes VPN klienta v NTB), takže mě ani ta latence netrápí. Většinou se bude pracovat s lokálními data, jediné, kde se to může projevit je nějaká RDP).

Jan Novák · « **Odpověď #8 kdy:** 05. 04. 2018, 11:25:13 »

Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?

Miroslav Šilhavý · « **Odpověď #9 kdy:** 05. 04. 2018, 12:20:12 »

Citace: Jan Novák 05. 04. 2018, 11:25:13

Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?

Stále řešíte to samé: OpenVPN nebude fungovat ani na těchto zařízeních.
Pokud potřebujete synchronizovat úložiště, z praxe Vám mohu zaručit, že to ani Mikrotik neutáhne.
Jediné řešení je připlatit si konektivitu a IPv4 adresy a nasadit profesionální tunely, ne OpenVPN.

Nouzově lze použít OpenVPN s null šifrováním, ale to asi nechcete.

Jan Novák · « **Odpověď #10 kdy:** 05. 04. 2018, 13:01:49 »

Citace: Miroslav Šilhavý 05. 04. 2018, 12:20:12

Citace: Jan Novák 05. 04. 2018, 11:25:13
Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?

Stále řešíte to samé: OpenVPN nebude fungovat ani na těchto zařízeních.
Pokud potřebujete synchronizovat úložiště, z praxe Vám mohu zaručit, že to ani Mikrotik neutáhne.
Jediné řešení je připlatit si konektivitu a IPv4 adresy a nasadit profesionální tunely, ne OpenVPN.

Nouzově lze použít OpenVPN s null šifrováním, ale to asi nechcete.

Potrebuju resit 4 mista plus jedno mobilni s tim, ze min. na 2 neni vubec moznost ty IP ziskat. Ze to bude kompromis chapu, ale nic jineho neni rentabilni. Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.

Miroslav Šilhavý · « **Odpověď #11 kdy:** 05. 04. 2018, 13:14:37 »

Citace: Jan Novák 05. 04. 2018, 13:01:49

Potrebuju resit 4 mista plus jedno mobilni s tim, ze min. na 2 neni vubec moznost ty IP ziskat. Ze to bude kompromis chapu, ale nic jineho neni rentabilni. Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.

Ale to už je úplně jiná informace, než 10 Mbps, které jste zmiňoval dříve.
Pak bych zvážil buďto openvpn, ale počítejte s průtokem spíš v nižších jednotkách megabitů, nebo neřešit šifrování na úrovni VPN. Pokud třeba samotný protokol synchronizace šifruje, mohl byste nastavit null null šifru.

Jan Novák · « **Odpověď #12 kdy:** 05. 04. 2018, 13:18:47 »

Citace: Miroslav Šilhavý 05. 04. 2018, 13:14:37

Citace: Jan Novák 05. 04. 2018, 13:01:49
Potrebuju resit 4 mista plus jedno mobilni s tim, ze min. na 2 neni vubec moznost ty IP ziskat. Ze to bude kompromis chapu, ale nic jineho neni rentabilni. Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.

Ale to už je úplně jiná informace, než 10 Mbps, které jste zmiňoval dříve.
Pak bych zvážil buďto openvpn, ale počítejte s průtokem spíš v nižších jednotkách megabitů, nebo neřešit šifrování na úrovni VPN. Pokud třeba samotný protokol synchronizace šifruje, mohl byste nastavit null null šifru.

No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).

franta PH · « **Odpověď #13 kdy:** 05. 04. 2018, 13:34:58 »

Citace: Jan Novák 05. 04. 2018, 13:01:49

Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.

A nejde udělat prvotní synchronizace off-line "kabelovou poštou" pomocí externího disku?

Miroslav Šilhavý · « **Odpověď #14 kdy:** 05. 04. 2018, 13:38:30 »

Citace: Jan Novák 05. 04. 2018, 13:18:47

No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).

Máte to dost na vodě. Toto nejde spolehlivě odřídit, aby to dopadlo dobře. Můžete se pokusit vynaložit úsilí, aby to dopadlo dobře, ale na takové řešení by Vám žádný odborník nedal dopředu záruku, že bude fungovat. Jestli s tím počítá Váš zákazník (zaměstnavatel?), pak je to v pořádku.

Jaký software na VPN „router“?

Jan Novák

Jaký software na VPN „router“?

Reklama

M.

Re:VPN "Router"

Hobbit

Re:VPN "Router"

Miroslav Šilhavý

Re:VPN "Router"

Jan Novák

Re:VPN "Router"

Reklama

Miroslav Šilhavý

Re:VPN "Router"

Dzavy

Re:VPN "Router"

Jan Novák

Re:VPN "Router"

Jan Novák

Re:VPN "Router"

Miroslav Šilhavý

Re:VPN "Router"

Jan Novák

Re:VPN "Router"

Miroslav Šilhavý

Re:VPN "Router"

Jan Novák

Re:VPN "Router"

franta PH

Re:VPN "Router"

Miroslav Šilhavý

Re:VPN "Router"