Ako vytvorit IPsec VPN server

IPsec

Ako vytvorit IPsec VPN server
« kdy: 18. 04. 2018, 16:46:11 »
Ahoj,

moze mi prosim niekto vysvetlit, aky je rozdiel medzi site-to-site IPsec VPN a IPsec VPN?
Chcel by som si spravit doma VPN server s IPsec, ale mam zatial v tom riadny gulas. Napr. co je t l2tp/IPsec, ked l2tp, je tiez VPN. Ak by ma niekto mohol nejako rozumne nasmerovat, popr9pade nejaky dobry navod, ako na to...


aaa158

  • ***
  • 230
    • Zobrazit profil
    • E-mail

Sten

Re:Ako vytvorit IPsec VPN server
« Odpověď #2 kdy: 18. 04. 2018, 18:17:48 »
network-to-network (site-to-site): propojí se dvě uzavřené sítě, typicky třeba kanceláře/serverovny jedné firmy v různých fyzických lokalitách
host-to-network (host-to-site): „klasická“ VPN, počítač se připojuje k uzavřené síti přes VPN (např. vzdálený přístup do kanceláře)
host-to-host: mesh síť, každý host je propojen s každým (např. pro šifrované přenosy souborů)

L2TP je velmi jednoduchý protokol pro vytváření tunelů, který nemá šifrování ani autentizaci. IPSec se používá právě pro to.

Miky

Re:Ako vytvorit IPsec VPN server
« Odpověď #3 kdy: 18. 04. 2018, 19:50:59 »
Ahoj,

moze mi prosim niekto vysvetlit, aky je rozdiel medzi site-to-site IPsec VPN a IPsec VPN?
Chcel by som si spravit doma VPN server s IPsec, ale mam zatial v tom riadny gulas. Napr. co je t l2tp/IPsec, ked l2tp, je tiez VPN. Ak by ma niekto mohol nejako rozumne nasmerovat, popr9pade nejaky dobry navod, ako na to...
Ahoj, uz mas vybrano na cem to chces vytvorit (nakup routeru, existujici masina) ?
L2TP/IPsec je popsano v predchozim prispevku.

IPsec

Re:Ako vytvorit IPsec VPN server
« Odpověď #4 kdy: 18. 04. 2018, 20:19:21 »
VPN server by mal bez vo virtualke HYPER-V na debiane. To je zatial vsetko, co viem xD PReto som chcel nejake info o otm, ze co ako to vlastne funguje... Nez sa do toho pustim...


pb.

Re:Ako vytvorit IPsec VPN server
« Odpověď #5 kdy: 18. 04. 2018, 21:18:47 »
V první řadě bych zkusil přestat označovat IPsec jako VPN a doporučil bych uvažovat v prostředí, kde IPsec vzniklo - v IPv6. Bude to jasnější.

Představte si dvě sítě IPv6, propojené routerem. Obě sítě jsou mezi sebou routované, tudíž všechny počítače v jedné síti vidí na všechny počítače v druhé síti.  Teď vložte mezi obě sítě internet. U IPv6 adresy jsou veřejné, obě sítě tedy na sebe pořád vidí. Potíž je, že jedna síť je třeba v Praze, druhá síť na pobočce v Brně a přenos je zajištěný po internetu, kde se na pakety může kdokoliv podívat. Vašim zájmem je proto provoz mezi routerem v Praze a routerem v Brně zašifrovat. Pomocí IPsec můžete proto všechen provoz mezi oběma routery zapnout šifrování. U IPv6 tímto úloha IPsec končí. Nastavení je jednoduché a zcela bez záludností. Žádný "tunel" nebo "VPN" zde není - pouze se šifruje provoz mezi dvěma sítěmi (pomíjím rozíly mezi režimy transport a tunel).

Do toho přichází IPv4 se svým zoufalým nedostatkem adres a natem na každém rohu. Sítě na pobočkách mezi sebou v normálním stavu nevidí, někde něco mezi routery samovolně mění adresy (NAT), nebo dokonce svévolně ukončuje spojení (NAT). Počítače mají přístup na internet pouze zprostředkovaný, bez skutečného připojení.

Abyste se dostal na zařízení, které není připojené k internetu, musíte si před tím z takového zařízení udělat tunel někam, kde přístup k internetu je. K tomu lze použít PPTP. To můžete použít například i v případě, že jedné ze sítí se mění IP adresa. Pokud chcete zabezpečit dvě sítě na pobočkách, obvykle PPTP nepotřebujete.

Na firewallu se pak musíte duševně vyrovnat se skutečností, že na venkovním rozhraní firewallu se vám objevují "vnitřní" adresy druhé sítě (pokud použijete racoon, setkey) a zohlednit tento stav v pravidlech firewallu.

Jestli máte zprovozněné IPv6, doporučuji vám začít experimentovat s IPsec právě na IPv6, je to jednodušší a srozumitelnější. IPv4 zkuste, až když vám bude fungovat IPsec na IPv6.

Miky

Re:Ako vytvorit IPsec VPN server
« Odpověď #6 kdy: 18. 04. 2018, 21:47:29 »
VPN server by mal bez vo virtualke HYPER-V na debiane. To je zatial vsetko, co viem xD PReto som chcel nejake info o otm, ze co ako to vlastne funguje... Nez sa do toho pustim...
1) Jaky mas router (vyrobce/model) ?
2) Mas verejnou IP ?
3) Potrebujes toto reseni postavit presne na L2TP/IPsec pripadne co rikas na OpenVPN ?

Miky

Re:Ako vytvorit IPsec VPN server
« Odpověď #7 kdy: 18. 04. 2018, 22:21:36 »
VPN server by mal bez vo virtualke HYPER-V na debiane. To je zatial vsetko, co viem xD PReto som chcel nejake info o otm, ze co ako to vlastne funguje... Nez sa do toho pustim...
1) Jaky mas router (vyrobce/model) ?
2) Mas verejnou IP ?
3) Potrebujes toto reseni postavit presne na L2TP/IPsec pripadne co rikas na OpenVPN ?

Tak jinak. Pokud to ma byt virtualka je mozne tam nahodit i pfsense

https://doc.pfsense.org/index.php/Virtualizing_pfSense_under_Hyper-V
https://www.root.cz/clanky/firewall-pfsense-vpn-ipsec-tunely-a-ha-rezim/

V pripade Debianu
https://technet.microsoft.com/cs-cz/library/dn614985.aspx
http://www.cluberti.com/blog/2016/03/21/debian-8-3-on-hyper-v-the-recommended-way/
https://github.com/hwdsl2/setup-ipsec-vpn

trocha teorie
https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
https://cs.wikipedia.org/wiki/IPsec

Pokud hyper-v bezi ve windows serveru pak se to nasadit primo ve windows

https://www.youtube.com/watch?v=LuWGuU2LW24

atd. atd. atd.

Chtel jsi navest, uvedl jsem par odkazu zabyvajici se puvodnim dotazem.
Zdroje jsou volne dostupne, zbytek je samostudium.
Pokud narazis na specificky problem pri konfiguraci napis.







naseptavac

Re:Ako vytvorit IPsec VPN server
« Odpověď #8 kdy: 18. 04. 2018, 23:15:35 »
Neznam lehci ulohu nez rozebehnout VPN server. To urcite zvladne i clovek, ktery se musi ptat na vyznam site-to-site. Mnohem horsi pak bude k nemu pripojovat klienty.

Jinak dotaz je formulovan stylem: "Chtel bych se stat profesorem v nejakem podoboru kvantove mechaniky, ale zatim v tom mam poradny gulas ... Naucte me to!"
Nenapsals ani, k cemu to ma slouzit.

Janci

Re:Ako vytvorit IPsec VPN server
« Odpověď #9 kdy: 19. 04. 2018, 08:11:29 »
Najvacsie zaludnosti v IPSec su, ze kazdy vendor podporuje iny subset rezimov, sifrovani a rozsireni a v konfiguracnom rozhrani ich uvadza pod inymi nazvami. Potom nastavit dve rozdielne strany aby si rozumeli byva dost obtiazne, hlavne ak nepisu nic zmysluplne do logu. Phase 1 sa da este oddebugovat pomocou wiresharku, potom uz to je vsetko sifrovane ...

naseptavac

Re:Ako vytvorit IPsec VPN server
« Odpověď #10 kdy: 19. 04. 2018, 19:25:29 »
Tak jo, pokud sam nevis, k cemu to potrebujes, tak vsechno je pro strongswan na debianu tady:
https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation

Dzavy

Re:Ako vytvorit IPsec VPN server
« Odpověď #11 kdy: 20. 04. 2018, 10:42:37 »
Urcite na to doporucuju virtualku s pfSense.

Re:Ako vytvorit IPsec VPN server
« Odpověď #12 kdy: 20. 04. 2018, 11:00:20 »
...

podla tvojho prispevku usudzujem ze si nepochopil podstatu ipv6 a co je horsie ani ipv4.

Inak sa Sten k tomu vyjadril najvecnejsie.

pb.

Re:Ako vytvorit IPsec VPN server
« Odpověď #13 kdy: 20. 04. 2018, 17:07:51 »
...
podla tvojho prispevku usudzujem ze si nepochopil podstatu ipv6 a co je horsie ani ipv4.

Na jaké podstatné nepochopení IPv6 a co je horšího, ani IPv4, lze z mého příspěvku usoudit?

RE:

Re:Ako vytvorit IPsec VPN server
« Odpověď #14 kdy: 26. 04. 2018, 21:18:52 »
Proc to tak strasne komplikujete IPSecem? To je jako kanonem na vrabce. SSH umi i L2 (TAP) i L3 (TUN) site-to-site tunnely. Pro routing ma kolega vyse pravdu, ze IPSec je policy based, takze pro routing potrebujes jeste encapsulovat vnitrni tunnel, treba jako GRE anebo IPIP anebo jakykoliv jiny, podle potreb.

Priklad L2 tunelu:
[root@A ~]$ ssh -o Tunnel=ethernet -w 1:1 root@B

Vytvori mi tap1 interface na obou boxech, ktere muzu treba pridat do bridge (brctl).

Priklad L3 tunelu:
[root@A ~]$ ssh -w 1:1 root@B
Vytvori mi tun1 interface na obou boxech, kterym pridam adresu.

Je to:
1. Ultrarychle nahozene
2. Je to SSH, takze se da snadno naskriptovat
3. Moznost volby sifry a prihlasovani klicema + known_hosts (AAA)
4. SSH ma i moje lampicka

Nevyhoda:
1. Potrebuje roota