VPN bez verejnej IP adresy

VPN bez verejnej IP adresy
« kdy: 05. 01. 2020, 20:09:15 »
Ahojte,

Chcel by som sa spýtať či by mi niekto vedel poradiť ako si spraviť VPN pokiaľ nemám priradenú verejnú IP adresu od poskytovateľa. Mám len jeho verejnú IP adresu na ktorej mám otvorené nejaké porty.

Je nejaká možnosť spraviť si VPN ? Som v tomto viac menej nováčik.

Ďakujem


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #1 kdy: 05. 01. 2020, 20:38:48 »
Ano, například OpenVPN stačí libovolný jeden port (pokud možno UDP).

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #2 kdy: 05. 01. 2020, 21:06:29 »
Ano, například OpenVPN stačí libovolný jeden port (pokud možno UDP).
V tomto pripade nikoliv. Tazatel v minulych prispevcich zminoval, ze ma Mikrotik a ten podporuje pouze TCP. Dle mych zkusenosti to funguje obstojne.
https://wiki.mikrotik.com/wiki/OpenVPN#Unsupported

Re:VPN bez verejnej IP adresy
« Odpověď #3 kdy: 05. 01. 2020, 21:18:12 »
Tazatel v minulych prispevcich zminoval, ze ma Mikrotik a ten podporuje pouze TCP. Dle mych zkusenosti to funguje obstojne.

Pokud jde o spolehlivost přístupu, tak to funguje obstojně. Co se týče rychlosti a latence je to už horší. TCP má větší režii i prodlevu. Mikrotik obvykle nestíhá šifrovat, takže východiskem je null šifra :), pokud jde aspoň trochu o výkon (víc než pár jednotek megabitů).

Do mikrotiku bych spíš zvážil SSTP, je to lepší protokol než OpenVPN.

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #4 kdy: 05. 01. 2020, 21:18:27 »
Ahojte,

Chcel by som sa spýtať či by mi niekto vedel poradiť ako si spraviť VPN pokiaľ nemám priradenú verejnú IP adresu od poskytovateľa. Mám len jeho verejnú IP adresu na ktorej mám otvorené nejaké porty.

Je nejaká možnosť spraviť si VPN ? Som v tomto viac menej nováčik.

Ďakujem
V minulem tematu, ktere jste zalozil, jsem Vam na to jiz odpovedel - staci, kdyz Vam ISP presmeruje jeden TCP port na Vas Mikrotik. Prilozil jsem take odkaz na (velice dobrou) dokumentaci Mikrotiku. Pokud neni problem anglictina, tak bych se ji drzel - existuje nekolik slusnych navodu v cestine, ale nedavno se menil (a zjednodusil) zpusob generovani certifikatu, ktery v techto navodech pouzity neni...


robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #5 kdy: 05. 01. 2020, 21:25:15 »
Tazatel v minulych prispevcich zminoval, ze ma Mikrotik a ten podporuje pouze TCP. Dle mych zkusenosti to funguje obstojne.

Pokud jde o spolehlivost přístupu, tak to funguje obstojně. Co se týče rychlosti a latence je to už horší. TCP má větší režii i prodlevu. Mikrotik obvykle nestíhá šifrovat, takže východiskem je null šifra :), pokud jde aspoň trochu o výkon (víc než pár jednotek megabitů).

Do mikrotiku bych spíš zvážil SSTP, je to lepší protokol než OpenVPN.
Otazkou je, jake potrebujete rychlosti. Do 15Mbit/s to neni problem ani na nejpomalejsim Mikrotiku (klient), zaroven na RB 2011 (server) mam desitky klientu a vyrazne vestsi provoz (ale stale jen desitky Mbit/sec) a je to OK.

S SSTP mate pravdu, na nej jsem zapomnel. Nikdy jsem to jeste nenasazoval, ale konfigurace (hlavne klientu) je vice user friendly. Pokud se ale nepletu, tak treba s Windows klientem (nativnim) bude problem se split tunneling.

Re:VPN bez verejnej IP adresy
« Odpověď #6 kdy: 05. 01. 2020, 21:26:35 »
S SSTP mate pravdu, na nej jsem zapomnel. Nikdy jsem to jeste nenasazoval, ale konfigurace (hlavne klientu) je vice user friendly. Pokud se ale nepletu, tak treba s Windows klientem (nativnim) bude problem se split tunneling.

Neměl by být. Jaký problém máte na mysli?

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #7 kdy: 05. 01. 2020, 21:40:16 »
Neměl by být. Jaký problém máte na mysli?
Kdyz jsem si to nastavoval naposledy (klient, Windows 10), tak to pri konfiguraci pres GUI neslo nakonfigurovat jinak nez tunnel-all (tj. vsechen provoz do VPN tunelu), coz je stejne chovani, jako to (mysleno Windows) melo drive (a predpokladam stale) pri konfiguraci IPSec. Jedinou moznosti, jak udelat split bylo pouzit CMAK (https://bit.ly/36raGPp), nakonfigurovat route, ktere se zavedou pri pripojeni VPN a VPN na klientovi nastavit instalaci .exe, ktere vygeneroval CMAK. A tusim, ze navic CMAK uz neni podporovany... Ale treba jsem neco prehledl.

Re:VPN bez verejnej IP adresy
« Odpověď #8 kdy: 05. 01. 2020, 21:44:48 »
Kdyz jsem si to nastavoval naposledy (klient, Windows 10), tak to pri konfiguraci pres GUI neslo nakonfigurovat jinak nez tunnel-all (tj. vsechen provoz do VPN tunelu), coz je stejne chovani, jako to (mysleno Windows) melo drive (a predpokladam stale) pri konfiguraci IPSec. Jedinou moznosti, jak udelat split bylo pouzit CMAK (https://bit.ly/36raGPp), nakonfigurovat route, ktere se zavedou pri pripojeni VPN a VPN na klientovi nastavit instalaci .exe, ktere vygeneroval CMAK. A tusim, ze navic CMAK uz neni podporovany... Ale treba jsem neco prehledl.

To samozřejmě lze nastavit poměrně jednoduše. Vypnete vzdálenou bránu sítě - to se nakliká.
Routa se musí poslat přes DHCPINFORM, nebo ji ručně můžete přidat z powershellu (a pak zůstane na trvalo k tomu připojení).

Kód: [Vybrat]
Add-VpnConnectionRoute -ConnectionName nazev_vpn -DestinationPrefix 192.168.4.0/22 -PassThru
https://docs.microsoft.com/en-us/powershell/module/vpnclient/add-vpnconnectionroute?view=win10-ps

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #9 kdy: 05. 01. 2020, 21:53:04 »
To samozřejmě lze nastavit poměrně jednoduše...
Ten powershell tedy pro bezneho uzivatele neni moc "friendly", ale diky za info...

Re:VPN bez verejnej IP adresy
« Odpověď #10 kdy: 05. 01. 2020, 21:56:51 »
Ten powershell tedy pro bezneho uzivatele neni moc "friendly", ale diky za info...

Pro uživatele má být nastavený ten dhcpinform, aby se mu vše nastavilo. PS je jen obezlička, pokud není dobře nakonfigurovaný server.

MS i Apple vycházejí z toho, že buďto to máte nastavené podnikem - pak to vše připraví správce. Nebo jste laik - a pak je nejbezpečnější, aby vše fungovalo, posílat provoz do VPN. Odborníka to dráždí, ale pro BFU to zametá cestu.

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:VPN bez verejnej IP adresy
« Odpověď #11 kdy: 26. 01. 2020, 19:05:18 »
To samozřejmě lze nastavit poměrně jednoduše. Vypnete vzdálenou bránu sítě - to se nakliká.
Routa se musí poslat přes DHCPINFORM, nebo ji ručně můžete přidat z powershellu (a pak zůstane na trvalo k tomu připojení).

Kód: [Vybrat]
Add-VpnConnectionRoute -ConnectionName nazev_vpn -DestinationPrefix 192.168.4.0/22 -PassThru
https://docs.microsoft.com/en-us/powershell/module/vpnclient/add-vpnconnectionroute?view=win10-ps

No, tak jsem se nakonec dostal k tomu, že SSTP nastavuji a nyní marně přemýšlím, jak to pan Šilhavý myslel.

Pokud jste to myslel tak, že klienti dostanou route ze svého DHCP serveru v LAN (kde se zrovna nacházejí), tak to není řešení ničeho. Uživatelé, kteří VPN používají, nesedí vedle sebe v jednom baráku - jsou to zaměstnanci, často se svými soukromými zařízeními, externisté atd. Představa, že nastavuji DHCP servery zaměstnancům (jejichž modemy mnohdy ani DHCP options neumějí) doma nebo např. ve všech kavárnách v Praze je absurdní.

Ze všeho, co jsem nyní prošel, mi znovu vychází, že jediným použitelným řešením je CMAK, ale třeba něco přehlížím...

Re:VPN bez verejnej IP adresy
« Odpověď #12 kdy: 26. 01. 2020, 19:15:03 »
...

DHCPOPTIONS jdou skrz VPN.
Naváže se VPN. Do VPN se pošle dotaz na DHCPOPTIONS a podle nich se nastaví zbytek.

Možná jen nerozumím otázce.