VPN pro road warriory

VPN pro road warriory
« kdy: 17. 12. 2019, 15:58:53 »
Zdravím,

dlouhodobě ve firmě používáme pro přípojení uživatelů (road warrior) OpenVPN. Je nás sice jen 30, ale i tak máme Win 10, Linux i Mac OS X uživatele.

Největší bolestí je funkční OpenVPN pro Mac OS X (se schopnosti nastavit DNS server a search).

Měl jsem funkční řešení s OpenConnect a AnyConnect klientem, který fungoval dobře, dokud nepřešel Mac OS X na 64bit. Novější AnyConnect již nelze legálně stáhnout, nemáme cisco service contract.

Takže momentálně koketuji s Wireguard. Ten se sice krásně konfiguruje, ale tam mám problém s nastavením vnitřního DNS serveru a domain search, po přípojení na VPN.

Nenapadají mě už žádné funkční open source řešení a tak zkouším najít hardwarový VPN gateway.
Na první dobrou mě zaujal Cisco ASA popřípadě RV, kvůli dobré zkušenosti s AnyConnect.

Můžete doporučit obdobná zařízení, které:
 - Má funkčního VPN klienta na Win, Linux, Mac OS
 - VPN klientovi lze nastavit DNS a search domain po připojení
 - Jednoduchá klientská instalace

Předem moc děkuji za odpovědi.
« Poslední změna: 17. 12. 2019, 22:23:55 od Petr Krčmář »


Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:road warrior vpn
« Odpověď #1 kdy: 17. 12. 2019, 17:02:39 »
napr. https://www.softether.org/ ...
Vie to kadejake psie kusy ... (VPN over ICMP and VPN over DNS, podpora CMD, ma to vlastne DynDNS, MultiHub, load Balancing, VirtualNAT+VirtualDHCP,..)
Zaloha v jednom textaku ..

Re:road warrior vpn
« Odpověď #2 kdy: 17. 12. 2019, 17:33:17 »
u wireguardu lze nastavit vlastní dns jednoduše
v sekci [interfaces] se to zapíše jako DNS = 8.8.8.8
ale domain search jsem teda v dokumentaci nedohledal, používám jenom dns


a wireguard funguje všude. Win, macos, ios, android, linux

Re:road warrior vpn
« Odpověď #3 kdy: 17. 12. 2019, 17:35:14 »
IKE2

noob

Re:VPN pro road warriory
« Odpověď #4 kdy: 18. 12. 2019, 12:49:44 »
Strongswan (https://strongswan.org/) a IKEv2.


Re:VPN pro road warriory
« Odpověď #5 kdy: 18. 12. 2019, 14:10:04 »
Děkuji za tipy na SoftEther a strongSwan a za nakopnutí, že nemám hledat kouzelnou krabičku a ještě jednou zkusit open source :)

U wireguardu máte pravdu, jde tam zadat DNS a dokonce to tak máme nakonfigurované. Má chyba :)
Bohužel absence DNS search způsobí, že interní DNS stejně nevyužijeme. Všechny domény totiž používáme bez interní tld.

Re:VPN pro road warriory
« Odpověď #6 kdy: 19. 12. 2019, 01:59:18 »
A Tunnelblick (OpenVPN) si neskusal? https://tunnelblick.net

Re:VPN pro road warriory
« Odpověď #7 kdy: 19. 12. 2019, 11:48:55 »
Jednoznačně se soustředit na IKEv2, tu podporují všechny zmíněné platformy.
Je potřeba nastavit DHCP aby odpovídalo na DHCPINFORM a nastavila options (některé, vím o routách, jsou v MS pod jinou konstantou než pro ostatní).
Dobrou prostupnost pro MS-MS má jejich SSTP.

OpenVPN nebrat.

Pokud by byl problém s připojováním, doporučuji to přijmout jako fakt a nesnažit se to obejít dalšími a dalšími typy VPN - to je marný boj a náročné na správu. Levnější je důležitým lidem zaplatit data (modem, LTE modul do laptopu, WiFi hotspot z telefonu atd.)

Pro 30 lidí se už také může vyplatit vzít rovnou od operátora datové služby s vlastním APN. Pak je vše přímo dostupné v místní síti a náročnost řešení se tím radikálně sníží.
« Poslední změna: 19. 12. 2019, 11:51:06 od Miroslav Šilhavý »

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:VPN pro road warriory
« Odpověď #8 kdy: 19. 12. 2019, 12:13:44 »
S Tunnelblickem problémy moc nejsou.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:VPN pro road warriory
« Odpověď #9 kdy: 19. 12. 2019, 13:25:12 »
OpenVPN pre MacOS -> tunnelblick, do server.conf dat:

Kód: [Vybrat]
push "dhcp-option DNS ip-adresa-dns"
push "dhcp-option DOMAIN domena-kde-hladat"

V tunnelblicku mat pre dane pripojenie nastavene "Nastavit nameserver"

Wireguard: pre vsetky platformy DNS server je v [Interface]. Ako ho nechat pouzivat iba pre konkretne domeny, sa nastavuje v kazdom systeme inac, genericky pre jednotlive interface. V Linuxe NetworkManager, ked sa pouziva backed dnsmasq alebo systemd-network vie forwardovat na specificke resolvery pre konkretne domeny; v macos sa to da nastavit v /etc/resolver/ (man 5 resolver), vo Windows cez Add-DnsClientNrptRule.

Pokial sa niekomu podarilo rozbehat IKEv2/Strongswan tak, ze to fungovalo s Windows/Linux/Android/MacOS/iOS aj spoza NAT, tak sa rad pozriem na to, aky konfig pouzil.

Re:VPN pro road warriory
« Odpověď #10 kdy: 19. 12. 2019, 18:05:57 »
Předřečníci probrali už prakticky všechno. Spíš jenom v rámci vyváženosti a plurality názorů se přidávám s hlášením, že mi OpenVPN funguje dlouhá léta k téměř naprosté spokojenosti. Asi nemám vysoké nároky.

Uživatele s jabkem taky nějaké máme - ani nevím, co používají na OpenVPN za klienta, řeší si to sami a nestěžujou si. Je fakt, že se možná nenaučili, používat lokální jména, na ty dva servery si pamatujou IP adresy... (Naši jablíčkáři tvrdí, že pokud to není "just works", tak je to rozbité, ale lokální jména serverů si nepamatují, radši IP adresy.) Já mám samozřejmě interně nakonfigurováno privátní DNS, něco jako  fajly.in.firma.cz  se dá na klientu přičarovat většinou zadáním jména poslední úrovně (zde "fajly"), protože jsem si z OpenVPN "access serveru" pushnul na klienta interní DNS a doménu in.firma.cz :

push "dhcp-option DNS ip.adr.interniho.DNSserveru"
push "dhcp-option DOMAIN in.firma.cz"

Na serveru jede standardní OpenVPN z repa linuxového distra, na klientech "komunitní" OpenVPN klient stažený z webu.

Trochu mě štve komunitní klient do Windows, čerstvé verze OpenVPN démona a GUI (potřebné pro Win10) už nepodporují opšnu "disconnect_on_suspend" (zmizela při nějaké dost radikální čistce ve zdrojákách, nejde snadno vrátit) - ale jsem na stopě možnosti, zařídit to nějakou naplánovanou úlohou, tyto se dají zavěsit na event usnutí nebo probuzení Windows.

S panem Šilhavým a možná dalšími spolu navzájem dlouhá léta "zdvořile nesouhlasíme" v názoru na OpenVPN vs. IPSec. Tenhle dotaz vcelku spolehlivě rozdmychá doutnající flame war :-) Zdá se, že každému vyhovuje něco jiného. Osobně jsem rád za ten pestrý výběr.

Re:VPN pro road warriory
« Odpověď #11 kdy: 19. 12. 2019, 18:13:06 »
Flamewar nebude. Ostatně, lhal bych, kdybych tvrdil, že nikde nepoužívám OpenVPN.

Mám proti ní čtyři argumenty, které jen pro úplnost napíšu:
1) IKEv2 je řešení out-of-box, plně integrované do MacOS i Windows, spravovatelné přes centrální nástroje pro správu, hesla jsou chráněna v rámci OS zabezpečeného storu
2) OpenVPN dochází dech při větších průtocích
3) pro Windows je potřeba na OpenVPN nastavit jinak přidělování adres, podle /30 bloků (jestli si to správně pamatuju), což je pain ve větších počtech uživatelů

Výhodou OpenVPN je, že když už se nastaví, tak proleze na kdejaké lince.

Kdybych si vybíral pro firmu o 30 zaměstnancích, nechal bych u operátora zřídit APN a s žádnými VPN bych se nepatlal.

Re:VPN pro road warriory
« Odpověď #12 kdy: 19. 12. 2019, 18:40:42 »
Kdybych si vybíral pro firmu o 30 zaměstnancích, nechal bych u operátora zřídit APN a s žádnými VPN bych se nepatlal.

Jediná věc mi vrtá hlavou: jak to kombinovat s přístupem do divokého internetu. Možnosti jsou jistě různé. Třeba jestli by šlo, routovat do APN jenom pár subnetů, a default route do nějaké jiné konektivity. Nebo pokud je mobil jediná konektivita, tak udělat díru ven taky z té APN někde v DC. Samotný 4G modem asi nebude umět 2 paralelní PDP kontexty...

Re:VPN pro road warriory
« Odpověď #13 kdy: 19. 12. 2019, 18:49:48 »
Jediná věc mi vrtá hlavou: jak to kombinovat s přístupem do divokého internetu. Možnosti jsou jistě různé. Třeba jestli by šlo, routovat do APN jenom pár subnetů, a default route do nějaké jiné konektivity. Nebo pokud je mobil jediná konektivita, tak udělat díru ven taky z té APN někde v DC. Samotný 4G modem asi nebude umět 2 paralelní PDP kontexty...

Ano, to je pak pain. Buďto přepínat připojení "do práce" / "internetu", což je práce srovnatelného charakteru se zapínáním / vypínáním VPN. Většinou stačí toto, nebo se divoký internet žene přes práci (mívá to bezpečnostní výhody, ale žere to pásmo).

Žádné řešení není takový "killer" aby se dalo říct, že je nejlepší.

Re:VPN pro road warriory
« Odpověď #14 kdy: 19. 12. 2019, 21:40:40 »
Kdybych si vybíral pro firmu o 30 zaměstnancích, nechal bych u operátora zřídit APN a s žádnými VPN bych se nepatlal.

Jak tohle pomuze notebookarum na dovolene v Patagonii nebo uzivatelum WiFi iPadu?

Dik