Mikrotik a OpenVPN?

Mikrotik a OpenVPN?
« kdy: 01. 11. 2020, 19:22:49 »
Ahoj!

Premyslim o nejvhodnejsim pripojeni client <-> kancelar, kde v kancelari maji zrejme UPC modem a bude tam brzy novy Windows 2019 server. Na tomto serveru bezi aplikace, kam potrebuji pristup z domova, cest apod.

Napada me jako reseni:
a)
- nejaky Mikrotik, napr. Mikrotik RB750Gr3 hned za UPC modem, na modemu otevrit OpenVPN port
- na Mikrotiku nastavit OpenVPN a komunikace jde dale jiz po Lanu na Win server v ramci stejneho subnetu
- na klientskem Windows nainstalovat a nastavit OpenVPN

nebo pripadne

b)
- Na Windows Server 2019 nakonfigurovat VPN (napr. SSTP)
- otevrit na UPC modemu potrebny port
- na klientskem Windows nakonfigurovat nativne podporovanou VPN

Mate nekdo zkusenosti s variantou a), spolehlivost, vykon, bezpecnost, doporuceni vhodneho routeru atp.?
Nejaky komentar k variante b)

Diky! :)


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Mikrotik a OpenVPN?
« Odpověď #1 kdy: 01. 11. 2020, 19:42:35 »
Ověřené a funkční:

1/ UPC modem v režimu bridge - máš pak IPv4 adresu a pomoci např. afraid.org a DynDNS se na ni můžeš připojovat

2/ za UPC modemem vlastní router s OpenWRT a OpenVPN serverem. Spokojenost s TP-Link Archer C7 (na něm běží DynDNS služba)

Re:Mikrotik a OpenVPN?
« Odpověď #2 kdy: 01. 11. 2020, 19:52:01 »
Pokud zvolíte variantu ovpn na MT, dobře zvažte ověřování uživatelů. Pokud to nespíchnete dohromady např. před LDAP, budou uživatelé muset udělat auth nadvakrát - poprvé k ovpn, podruhé k WS/doméně. Záleží také, jakou auth proti opvn zvolíte, jestli cert+cred, nebo jen cert (oboje má svoje výhody i nevýhody).

Obecně asi není od věci mít nějakou DMZ, ve které lze tohle bezpečně ošetřit, ale o tom jste nepsal nic.

Každé prostředí vyžaduje trochu něco jiného a za jiných podmínek, takže neexistuje univerzální, správné řešení. Ale jak jsem naznačil výše, pokud nevyřešíte správně auth, zaděláváte si do budoucna na vícero problémů.

Ještě jinak řečeno: pokud nebude LDAP / jiné řešení / DMZ asi jděte cestou VPN serveru na WS.

Re:Mikrotik a OpenVPN?
« Odpověď #3 kdy: 01. 11. 2020, 20:20:47 »
OpenVPN se vyhněte obloukem, má spoustu problémů a na Mikrotiku kór.
Pokud máte Windows server, a klient bude Windows, pak SSTP, nebo IKEv2. Windows Server je přímo podporuje.
U mikrotiku ještě narazíte na to, že má žalostný výkon, když použijete některou rozumnou šifru.

Re:Mikrotik a OpenVPN?
« Odpověď #4 kdy: 01. 11. 2020, 20:24:07 »
Ověřené a funkční:

1/ UPC modem v režimu bridge - máš pak IPv4 adresu a pomoci např. afraid.org a DynDNS se na ni můžeš připojovat

2/ za UPC modemem vlastní router s OpenWRT a OpenVPN serverem. Spokojenost s TP-Link Archer C7 (na něm běží DynDNS služba)

Tohle je spíš na domácí použití, než na enterprise, ne?

Z popisu OP to chápu tak, ze jde o firmu, a ty mají zpravidla statiky..


Re:Mikrotik a OpenVPN?
« Odpověď #5 kdy: 01. 11. 2020, 20:40:04 »
Ověřené a funkční:

1/ UPC modem v režimu bridge - máš pak IPv4 adresu a pomoci např. afraid.org a DynDNS se na ni můžeš připojovat

2/ za UPC modemem vlastní router s OpenWRT a OpenVPN serverem. Spokojenost s TP-Link Archer C7 (na něm běží DynDNS služba)

Tohle je spíš na domácí použití, než na enterprise, ne?

Z popisu OP to chápu tak, ze jde o firmu, a ty mají zpravidla statiky..


Firma může být i o jednom člověku. Mám mezi zákazníky několik takových (realitky, správa budov aj..) a tam je to stejné jako doma - pronajatá jedna kancelář, internet od toho, kdo se na místě dostupný, pár notebooků, NAS, sdílená tiskárna a někdy i WS server na sdílené adresáře. U těchto zákazníků používám jen MT, tedy variantu "a".

A požadavek na vzdálený přístup na NAS nebo shares je častý.


Re:Mikrotik a OpenVPN?
« Odpověď #6 kdy: 01. 11. 2020, 20:52:10 »
Ověřené a funkční:

1/ UPC modem v režimu bridge - máš pak IPv4 adresu a pomoci např. afraid.org a DynDNS se na ni můžeš připojovat

2/ za UPC modemem vlastní router s OpenWRT a OpenVPN serverem. Spokojenost s TP-Link Archer C7 (na něm běží DynDNS služba)

Tohle je spíš na domácí použití, než na enterprise, ne?

Z popisu OP to chápu tak, ze jde o firmu, a ty mají zpravidla statiky..


Firma může být i o jednom člověku. Mám mezi zákazníky několik takových (realitky, správa budov aj..) a tam je to stejné jako doma - pronajatá jedna kancelář, internet od toho, kdo se na místě dostupný, pár notebooků, NAS, sdílená tiskárna a někdy i WS server na sdílené adresáře. U těchto zákazníků používám jen MT, tedy variantu "a".

A požadavek na vzdálený přístup na NAS nebo shares je častý.

Tak samozřejmě, je firma a “firma”. Buďto to chci mít udělané “pořádně” a trochu do toho zainvestuju (čas, finance, ..), nebo to chci mít jako “firma”, ale stejně to budu bastlit na koleně a vymýšlet “ohejbáky na narovnáváky” apod.

Nejsem příznivcem bastlení.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Mikrotik a OpenVPN?
« Odpověď #7 kdy: 01. 11. 2020, 21:19:35 »
Mate nekdo zkusenosti s variantou a), spolehlivost, vykon, bezpecnost, doporuceni vhodneho routeru atp.?
OpenVPN implementace na RouterOS je dokriplená (např. pouze TCP), ale on celý RouterOS je nesmyslně omezený systém, takže si tam dáš OpenWRT a to je na Mikrotiku naprosto v pohodě.

Ale problém je s výkonem. RB750Gr3 dá na OpenVPN maximálně tak 22 Mb/s. Oproti tomu třeba s WireGuardem dá 100 Mb/s. WireGuard má i klienta pro Windows, takže bych zkusil použít ten. Ale není to tak odladěné tím jak je to nové (ale zkoušel jsem to jen na Windows 7, třeba je to na novějších Windows v pohodě). A nebo nějaký lepší hardware, i to Raspberry (dát rootfs read-only) utáhne víc. A můžeš koupit dvě ať se dají při problému vyměnit.

Výhoda tohoto řešení je, že je nezávislé na Windows, která málokdo umí adminovat, a pokud to tam je kvůli nějakému podivnému speciálnímu SW/HW (proč by taky jinak někdo někam dával Windows), tak se to nebude nijak tlouct s těmito specialitami od dodavatele, a taky až to zastará, tak to bude skryto před internetem.

Nejaky komentar k variante b)
Na Windows jde spustit i OpenVPN server, ne? Bych udělal ten.
« Poslední změna: 01. 11. 2020, 21:21:39 od _Jenda »

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Mikrotik a OpenVPN?
« Odpověď #8 kdy: 01. 11. 2020, 21:23:02 »
Na Windows jde spustit i OpenVPN server, ne? Bych udělal ten.

Vcelku ne dobrý, ba přímo hloupý, nápad vystavovat firemní Windows server přímo do internetu. Ale každého volba

Re:Mikrotik a OpenVPN?
« Odpověď #9 kdy: 01. 11. 2020, 21:27:33 »
Na Windows jde spustit i OpenVPN server, ne? Bych udělal ten.

Vcelku ne dobrý, ba přímo hloupý, nápad vystavovat firemní Windows server přímo do internetu. Ale každého volba

Ono záleží na okolnostech.
Každopádně je pitomina utíkat k OpenVPN nebo Wireguardu, pokud obě strany podporují něco standardního. Např. IKEv2. Dobře funguje i SSTP.

Pokud jsou oba konce pevné, tak bych neuvažoval o ničem jiném než o GRE a IPsec.

Mimochodem, pokud má OpenVPN smysl, tak možná na vyhnilých linkách, kde se naopak hodí TCP režim, který má Mikrotik. Spousta lidí za to Mikrotik kritizuje, ale podle mě neprávem. Na dobré linky existují lepší volby, a na špatné je tu právě OpenVPN.

Re:Mikrotik a OpenVPN?
« Odpověď #10 kdy: 01. 11. 2020, 21:46:02 »
Ověřené a funkční:

1/ UPC modem v režimu bridge - máš pak IPv4 adresu a pomoci např. afraid.org a DynDNS se na ni můžeš připojovat

2/ za UPC modemem vlastní router s OpenWRT a OpenVPN serverem. Spokojenost s TP-Link Archer C7 (na něm běží DynDNS služba)


Tohle je spíš na domácí použití, než na enterprise, ne?

Z popisu OP to chápu tak, ze jde o firmu, a ty mají zpravidla statiky..

je to mini firma, tak 1-3 uzivatele...
diky!

Re:Mikrotik a OpenVPN?
« Odpověď #11 kdy: 01. 11. 2020, 22:05:59 »
Mate nekdo zkusenosti s variantou a), spolehlivost, vykon, bezpecnost, doporuceni vhodneho routeru atp.?
OpenVPN implementace na RouterOS je dokriplená (např. pouze TCP), ale on celý RouterOS je nesmyslně omezený systém, takže si tam dáš OpenWRT a to je na Mikrotiku naprosto v pohodě.

Ale problém je s výkonem. RB750Gr3 dá na OpenVPN maximálně tak 22 Mb/s. Oproti tomu třeba s WireGuardem dá 100 Mb/s. WireGuard má i klienta pro Windows, takže bych zkusil použít ten. Ale není to tak odladěné tím jak je to nové (ale zkoušel jsem to jen na Windows 7, třeba je to na novějších Windows v pohodě). A nebo nějaký lepší hardware, i to Raspberry (dát rootfs read-only) utáhne víc. A můžeš koupit dvě ať se dají při problému vyměnit.

Výhoda tohoto řešení je, že je nezávislé na Windows, která málokdo umí adminovat, a pokud to tam je kvůli nějakému podivnému speciálnímu SW/HW (proč by taky jinak někdo někam dával Windows), tak se to nebude nijak tlouct s těmito specialitami od dodavatele, a taky až to zastará, tak to bude skryto před internetem.

Nejaky komentar k variante b)
Na Windows jde spustit i OpenVPN server, ne? Bych udělal ten.


takze RB750Gr3  s WireGuard... zajimavy napad, mrknu na to. Diky.

5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:Mikrotik a OpenVPN?
« Odpověď #12 kdy: 01. 11. 2020, 22:57:56 »
Mám-li Mikrotik jako router, ukončuji VPN zde. Mám-li server s AD, ověřuji pomocí NPS vůči doméně. Na Mikrotiku používám primárně SSTP, případně L2TP s PSK pro Android a Linux klienty. Lze i IKEv2, zatím jsem netestoval. Konfiguruji split tuneling. Mikrotik router pouze s HW akcelerovaným šifrováním. Výhodou řešení je navázání na doménu (pro uživatele jeden login, částečný SSO -> po ověření do VPN pak stejný login windows používá i do SMB) a nativní VPN klienti v klientských OS. VPN profil pro WIndows klienty lze konfigurovat automaticky pomocí GPO. Mikrotik ve spojení s NPS podporuje více VPN profilů, lze ve firewallu rozlišovat různé skupiny a dle toho řídit přístup do sítě z VPN.