Hledám vhodné řešení pro šifrované spojení PC s serverem v České republice.
Klienti mají pouze notebooky s OS Win XP prof. nebo Win 7 prof., pripojení téměř výhradně přes místní wifi.
Problémem je ping nad 400ms, časté výpadky a téměř stálý packetloss v řádu až desítek procent.
Firemní řešení CISCO IPSEC bylo prakticky nepoužitelné, PPP jelo, ale nevyhovuje úroveň zabezpečení.
SecureLine od Avastu není možné naistalovat.
V naší serverovně jsou k dispozici CISCO RV082, Mikrotik v5.25 nebo s dd-wrt na Alixec jako server.
Budu vděčný za použitelné nápady.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Jakou VPN pro klienty v Latinské Americe
Jakou VPN pro klienty v Latinské Americe
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
Možná ještě uvést k čema a jak se ta VPNka používá.
Pokud to je jen obálka pro vzdálenou plichu a podobné, tak máme nasazeno NX v placené verzi ( http://www.nomachine.com/ - existuje i free klon FreeNX nebo X2go, ale tne je dost jednoúčelový). Fakticky je to SSH tunel.
Kde to bylo nasazneo právě na takovémto, kde IPsec z klientských noťasů pořád padal (nativní L2TP/IPsec klient v XP/7), po použití NX je klid. 400 ms je už trošku na hraně, záleží právě, k čemu by to bylo. Jak jsme pak zjistil, tak stejné řešení používá i O2 pro své pobíhající techniky, akorát oni mají NX server na Sunech pod Solarisem, my pod Linuchem.
Pokud jde pouze o RDP přístup, tak pro Win7 (asi i XP SP3) klienta a server W2K3R2 a výš, tak jde přímo RDP spojení korektně nastavit, aby bylo bezpečné a použilo TLS obálku nativně.
V čem nevyhovuje zabezpečení PPP? Tím máš na mysli asi PPTP klienta ve woknech nebo holé L2TP (po vypnutí IPsec obálky)? Ano, pokud ověřování dělá to Cisco nebo routerboard přímo, tka je problém. Pokud máš Radius server a ověření deleguješ na něj, tak můžeš použít EAP autorizaci místo holého MS-CHAPv1/2 a to už je jiné. Vlastní bezpečnost RC4 proudové šifry je pak pro běžný komerční sektor víc než dostačující, slabá je ta ověřovací fáze, což při použití EAP s certifikáty padá.
U Win7 máš i SSTP klienta, což je PPP skrz HTTPS kanál, ten je bezpečnostně v pořádku i při použití MS-CHAPv1/2, neboť je už tunelováno uvnitř TLS obálky (pokud na serveur trošku omeíš pokusy o hádání hesel).
Jo, jediné s čím jsme si trošku nabil držku je, že NX (klient pro Windows) nepodporuje IPv6 spojení. Win7 jako klient pro své nativní VPN klienty už Ipv6 použit umí, ale to zase neumí Mikrotik jako server... Ale s tím byl probém v číně, kde bylo k mání IPv6 only připojení.
Pokud to je jen obálka pro vzdálenou plichu a podobné, tak máme nasazeno NX v placené verzi ( http://www.nomachine.com/ - existuje i free klon FreeNX nebo X2go, ale tne je dost jednoúčelový). Fakticky je to SSH tunel.
Kde to bylo nasazneo právě na takovémto, kde IPsec z klientských noťasů pořád padal (nativní L2TP/IPsec klient v XP/7), po použití NX je klid. 400 ms je už trošku na hraně, záleží právě, k čemu by to bylo. Jak jsme pak zjistil, tak stejné řešení používá i O2 pro své pobíhající techniky, akorát oni mají NX server na Sunech pod Solarisem, my pod Linuchem.
Pokud jde pouze o RDP přístup, tak pro Win7 (asi i XP SP3) klienta a server W2K3R2 a výš, tak jde přímo RDP spojení korektně nastavit, aby bylo bezpečné a použilo TLS obálku nativně.
V čem nevyhovuje zabezpečení PPP? Tím máš na mysli asi PPTP klienta ve woknech nebo holé L2TP (po vypnutí IPsec obálky)? Ano, pokud ověřování dělá to Cisco nebo routerboard přímo, tka je problém. Pokud máš Radius server a ověření deleguješ na něj, tak můžeš použít EAP autorizaci místo holého MS-CHAPv1/2 a to už je jiné. Vlastní bezpečnost RC4 proudové šifry je pak pro běžný komerční sektor víc než dostačující, slabá je ta ověřovací fáze, což při použití EAP s certifikáty padá.
U Win7 máš i SSTP klienta, což je PPP skrz HTTPS kanál, ten je bezpečnostně v pořádku i při použití MS-CHAPv1/2, neboť je už tunelováno uvnitř TLS obálky (pokud na serveur trošku omeíš pokusy o hádání hesel).
Jo, jediné s čím jsme si trošku nabil držku je, že NX (klient pro Windows) nepodporuje IPv6 spojení. Win7 jako klient pro své nativní VPN klienty už Ipv6 použit umí, ale to zase neumí Mikrotik jako server... Ale s tím byl probém v číně, kde bylo k mání IPv6 only připojení.
0 x
Teď mám PPTP a právě z tohoto důvodu nevyhovuje. Zkusím rozjet Radius.
NX vypadá velmi dobře, bohužel ho nedokážu včas koupit.
V čem nevyhovuje zabezpečení PPP? Tím máš na mysli asi PPTP klienta ve woknech nebo holé L2TP (po vypnutí IPsec obálky)? Ano, pokud ověřování dělá to Cisco nebo routerboard přímo, tka je problém. Pokud máš Radius server a ověření deleguješ na něj, tak můžeš použít EAP autorizaci místo holého MS-CHAPv1/2 a to už je jiné. Vlastní bezpečnost RC4 proudové šifry je pak pro běžný komerční sektor víc než dostačující, slabá je ta ověřovací fáze, což při použití EAP s certifikáty padá.
NX vypadá velmi dobře, bohužel ho nedokážu včas koupit.
Pokud to je jen obálka pro vzdálenou plichu a podobné, tak máme nasazeno NX v placené verzi ( http://www.nomachine.com/ - existuje i free klon FreeNX nebo X2go, ale tne je dost jednoúčelový). Fakticky je to SSH tunel.
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
U NXka mají free verzi pro dva klienty, to je tak ideální pro admina pro vzdálenou správu serveru, když to vyžaduje používat klikátko.
Dá se stáhnout, nainstlaovat požadovanou verzi a měsíc běží jako zkušebka, pak se do toho jen dohodí ty dva soubory s licencí.
Klient je zdarma a možno instlaovat všemožně dle libosti (a funguje i proto FreeNX serveru).
Jinak autoři jsou taliáni a občas to dle toho i vypadá (i když přesídlili finančně někam do Lucemburgu)...
Dá se stáhnout, nainstlaovat požadovanou verzi a měsíc běží jako zkušebka, pak se do toho jen dohodí ty dva soubory s licencí.
Klient je zdarma a možno instlaovat všemožně dle libosti (a funguje i proto FreeNX serveru).
Jinak autoři jsou taliáni a občas to dle toho i vypadá (i když přesídlili finančně někam do Lucemburgu)...
0 x
OpenVPN pres UDP jsi zkousel? To bych asi resil jako prvni...to UDP bude zrejme nutnost.
To NX, pokud to je na bazi SSH, pojede predpokladam pres TCP, coz si moc neumim predstavit po spatne lince...
To NX, pokud to je na bazi SSH, pojede predpokladam pres TCP, coz si moc neumim predstavit po spatne lince...
0 x