Duża sieć VPN - pytania

[kaziu 0]

Witam,

 

Planuje stworzyć dosyć sporą sieć VPN za pomocą PPTP lub w ostateczności, gdyby PPTP nie dało rady, OpenVPN. Z tego co się orientuję to podczas konfiguracji PPTP można ustawić jedynie taką pulę adresową dla klientów:

 

192.168.0.x, gdzie x to dowolna cyfra 1-255

 

czyli jesteśmy ograniczeni do +/- 250 klientów.

 

Zastanawiam się czy jest możliwe pokonanie tej bariery i korzystanie z puli:

 

192.168.y.x

 

Chcę wszystko ustawić tak aby komputery w sieci wzajemnie się "widziały" (pingowały i udostępniały zasoby). Czy jest to wykonalne? Jakie inne problemy mogę spotkać?

[blfr 225]

PPTP to dziurawy antyk, który się do niczego nie nadaje.

 

Co chcesz osiągnąć? Dlaczego budujesz tę sieć? Dlaczego chcesz używać PPTP?

[kaziu 0]

@blfr

 

Ad.1. Chcę zbudować sieć, w której wszystkie komputery będą się wzajemnie "widziały", pingowały, mogły udostępniać zasoby jak w sieci domowej.

 

Ad.2. Narazie to czysto teoretyczne rozważania.

 

Ad.3. Chcę użyć PPTP ponieważ jest najprostszy w konfiguracji po stronie klienta, a bezpieczeństwo to dla mnie kwestia drugorzędna.

[Gość Spoofy]

1) Przecież to nie ma żadnego znaczenia czy taki klient będzie w 192.168.0.x czy 192.168.1.x - będą siebie widzieć jeżeli ładnie ustawisz routing.

2) Tak jak blfr powiedział - PPTP to antyk. Nie używaj tego wogóle. Użyj np. openvpn'a.

 

3) Do takich rozwiązań najlepiej napisać swojego klienta openvpn'a, tak aby kowalski umiał sobie to zainstalować i z tego korzystać.

[kaziu 0]

@Spoofy

 

Ad.1.

 

To jest dla mnie jasne tylko jak to ustawić w OpenVPN czy PPTP. Z tego co pamiętam zapis w confingu wygląda tak:

 

192.168.0.1-255

 

i jak to rozszerzyć na większą pule adresu?

 

192.168.0.1 - 192.168.255.255 zadziała?

[kafi 2425]

1) PPTP, jak sama nazwa wskazuje, to Point-to-Point, więc nie ma tam formalnie czegoś takiego, jak sieć.

Oczywiście, można próbować przydzielać klientom adresy z maską inną niż /32, ale ciężkie będzie ustawienie tego tak, aby była łączność między tymi klientami.

 

2) PPTP technicznie nie wymusza jakiejkolwiek adresacji, można stosować dowolną.

 

3) Przez PPTP ciężko przepchnąć multicast/broadcast - a m.in. tak komunikuje się Windowsowa obsługa udostępniania plików.

 

4) Z implementacją kliencką PPTP jest zasadniczo taki problem, że pozwala przyjąć albo trasę domyślną, albo nie modyfikować trasy wcale*. W efekcie albo koncentrator będzie robił za proxy dostępowe do internetu dla wszystkich klientów, albo ci klienci będą musieli ręcznie (z wiersza poleceń) po każdym połączeniu dodawać sobie statyczny routing.

 

5) Lekarstwem na te problemy jest faktycznie OpenVPN - pozwala zrobić ładną sieć, dodawać częściowe trasy (w razie potrzeby nawet domyślną) i po zainstalowaniu i poprawnym skonfigurowaniu na komputerze (a w sumie można zrobić ładny instalatorek provisioningowanego klienta) tak naprawdę wszystko działa. Jak ktoś się uprze, to i jako usługę systemową da się to postawić.

 

* - protokół oczywiście przewiduje push-route przez koncentrator, ale część implementacji klienckich to olewa i nie ma gwarancji, że to będzie działać poprawnie na wszystkich urządzeniach.

[cdcd 29]

PPTP to dziurawy antyk, który się do niczego nie nadaje.

 

Co chcesz osiągnąć? Dlaczego budujesz tę sieć? Dlaczego chcesz używać PPTP?

 

Kolejny raz piszesz o dziurawym pptp i kolejny raz zapytam w czym on jest dziurawy poza oczywiście

 

MITM?

Edytowano Listopad 10, 2015 przez cdcd (zobacz historię edycji)

[kaziu 0]

Kombinuję z OpenVPN i mam jedno pytanie, jak ustawić w kliencie Windows, żeby nie korzystał z połączenia OpenVPN jako bramy do Internetu? Nie widzę nigdzie w ustawieniach interfejsu OpenVPN tego haczyka "Użyj domyślnej bramy sieci zdalnej".

[blfr 225]

Kolejny raz piszesz o dziurawym pptp i kolejny raz zapytam w czym on jest dziurawy

https://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security

Edytowano Listopad 11, 2015 przez blfr (zobacz historię edycji)

[kafi 2425]

Kombinuję z OpenVPN i mam jedno pytanie, jak ustawić w kliencie Windows, żeby nie korzystał z połączenia OpenVPN jako bramy do Internetu? Nie widzę nigdzie w ustawieniach interfejsu OpenVPN tego haczyka "Użyj domyślnej bramy sieci zdalnej".

 

Zasadniczo na serwerze powinieneś wyłączyć opcję pushowania domyślnej trasy/gatewaya do klientów.

Jeśli już upierasz się, żeby zrobić to po stronie klienta, to

https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

[cdcd 29]

https://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security

 

to jest MITM a te dziury ?

[blfr 225]

Tam jest cała lista i nie wszystkie słabości polegają na aktywnym ataku:

 

MS-CHAP-v2 is vulnerable to dictionary attack on the captured challenge response packets. Tools exist to perform this process rapidly.

Nie rozumiem przywiązania do tego antyku.

[cdcd 29]

MS-CHAP-v2 is vulnerable to dictionary attack on the captured challenge response packets. Tools exist to perform this process rapidly.

 

Asleep to tez MITM

[Gość Kamikadze]

A nie możesz ustalić sobie adresacji 10.0.0.0/8?

[kaziu 0]

@Kamikadze

 

A da radę ustawić taką adresacje w OpenVPN lub PTPP dla klientów?

[Gość Kamikadze]

W sumie nie próbowałem, ale na praktykach jak byłem to mieli VPN zrobiony na tej adresacji.

[kaziu 0]

Przetestuje na żywym organizmie i zobaczymy

[kaziu 0]

Odświeżam temat. Jestem na etapie konfiguracji OpenVPN.

 

Założenia są takie:

 

- OpenVPN nie służy do łączenia się z Internetem (nie jest bramką Internetową);

- Komputery podłączone do sieci OpenVPN mogą nawiązywać wzajemne połączenia (mogą się pingować, grać w gry po sieci VPN);

- Po podłączeniu do OpenVPN komputery-klienci korzystają ze swoich fizycznych łączy internetowych.

- Nie mogę ustawić tras 'route' w konfiguracji serwera ponieważ nie znam i nie będę znał adresacji sieci klientów;

 

Wszystko fajnie działa tylko i wyłącznie z parametrem "push "redirect-gateway def1"" na serwerze, czyli po wymuszeniu całego ruchu sieciowego po VPN. W tym momencie klienci tracą dostęp do Internetu. A znanego triku z połączeń PPTP nie mogę zastosować ponieważ w konfiguracji wirtualnej karty sieciowej OpenVPN (windows 7) nie ma nigdzie haczyka "Użyj domyślnej bramy sieci zdalnej".

Gdy wyłączę parametr "push "redirect-gateway def1"" na serwerze OpenVPN, wtedy klienci nie mogą łączyć się między sobą, pingi nie dochodzą.

 

Czy istnieje możliwość aby wymusić na Windowsie korzystanie z innej bramki do Internetu? Lub czy da się zmusić sieć VPN do pracy bez wymuszania całego ruchu sieciowego po VPN?

 

Na starym PPTP zawsze udało mi się, a tutaj nie mogę sobie poradzić :/

 

[behemoth 230]

Możesz użyć ForceBindIP, żeby powiązać konkretny program z konkretnym interfacem.

[kaziu 0]

@behemtoh

 

Niestety odpada. Muszę mieć uniwersalne i idiotoodporne rozwiązanie najlepiej po stronie serwera.

[blfr 225]

- Nie mogę ustawić tras 'route' w konfiguracji serwera ponieważ nie znam i nie będę znał adresacji sieci klientów;

Możesz użyć route bez znajomości adresacji sieci klientów, bo pchasz tylko adresy, które chcesz obsługiwać. Prosty trick to użycie w miarę niepopularnego zakresu (192.168.213.1/24 czy 172.16.19.1/24).

 

Ale nie powinieneś musieć tego robić. Trasa dla domyślnego subnetu VPN (tego, w którym dostaje adres również serwer VPN) powinna istnieć niezależnie.

 

Czy jak łączysz się z VPN-em bez redirect gateway, to nie możesz pingnąć adresu serwera (domyślnie 10.8.0.4 czy 10.8.0.1, nie pamiętam)?

 

Jeśli to jest pod grę, to może wygodniej będzie zastosować Hamachi?

Edytowano Listopad 18, 2015 przez blfr (zobacz historię edycji)

[kaziu 0]

@blfr

 

Bez redirect gateway pingi po VPN do serwera nie dochodzą. Hamachi odpada.

[Gość Spoofy]

Bład konfiguracji. Kompletnie źle się do tego zabierasz. Jak chcesz to mogę Ci pokazać gotowe, w pełni customowe i działające rozwiązanie oparte o openvpn'a z instalatorem, kilkoma feature'ami. Kilka razy nawet grałem z jednym znajomym przez tą sieć. To naprawdę da się zrobić.

[kaziu 0]

@Spoofy pewnie, że chce.

 

 

Mój Config:

 

1. Serwer

dev tun                        
local x.x.x.x                       
proto udp                       
port 1194                       
server 10.8.0.0 255.255.255.0   
#ifconfig-pool-persist ipp.txt
ca ca.crt                       
cert openvpn.crt         
key openvpn.key          
dh dh2048.pem                   
persist-tun                     
persist-key                    
keepalive 10 120                
cipher AES-256-CBC              
#comp-lzo                      
verb 1                        
user nobody                     
group nogroup                   
client-to-client
#push "redirect-gateway def1"    
#push "dhcp-option DNS 8.8.8.8"  
#push "dhcp-option DNS 8.8.4.4"  
duplicate-cn                    
log openvpn.log                 
status openvpn-status.log

# Konfiguracja tls-auth         
key-direction 0
<tls-auth>
#
# 2048 bit OpenVPN static key
#

2. Klient

# To connect to the VPN Server as a bridging equipment of "Site-to-Site VPN",
#  specify 'dev tap'. (Layer-2 Ethernet Bridgine Mode)

dev tun


###############################################################################
# Specify the underlying protocol beyond the Internet.
# Note that this setting must be correspond with the listening setting on
# the VPN Server.
# 
# Specify either 'proto tcp' or 'proto udp'.

proto udp


###############################################################################
# The destination hostname / IP address, and port number of
# the target VPN Server.
# 
# You have to specify as 'remote <HOSTNAME> <PORT>'. You can also
# specify the IP address instead of the hostname.
# 
# Note that the auto-generated below hostname are a "auto-detected
# IP address" of the VPN Server. You have to confirm the correctness
# beforehand.
# 
# When you want to connect to the VPN Server by using TCP protocol,
# the port number of the destination TCP port should be same as one of
# the available TCP listeners on the VPN Server.
# 
# When you use UDP protocol, the port number must same as the configuration
# setting of "OpenVPN Server Compatible Function" on the VPN Server.

remote x.x.x.x 1194


###############################################################################
# The HTTP/HTTPS proxy setting.
# 
# Only if you have to use the Internet via a proxy, uncomment the below
# two lines and specify the proxy address and the port number.
# In the case of using proxy-authentication, refer the OpenVPN manual.

;http-proxy-retry
;http-proxy [proxy server] [proxy port]


###############################################################################
# The encryption and authentication algorithm.
# 
# Default setting is good. Modify it as you prefer.
# When you specify an unsupported algorithm, the error will occur.
# 
# The supported algorithms are as follows:
#  cipher: [NULL-CIPHER] NULL AES-128-CBC AES-192-CBC AES-256-CBC BF-CBC
#          CAST-CBC CAST5-CBC DES-CBC DES-EDE-CBC DES-EDE3-CBC DESX-CBC
#          RC2-40-CBC RC2-64-CBC RC2-CBC
#  auth:   SHA SHA1 MD5 MD4 RMD160

cipher AES-256-CBC
auth SHA1


###############################################################################
# Other parameters necessary to connect to the VPN Server.
# 
# It is not recommended to modify it unless you have a particular need.

resolv-retry infinite
nobind
persist-key
persist-tun
client
verb 1
#auth-user-pass


###############################################################################
# The certificate file of the destination VPN Server.
# 
# The CA certificate file is embedded in the inline format.
# You can replace this CA contents if necessary.
# Please note that if the server certificate is not a self-signed, you have to
# specify the signer's root certificate (CA) here.

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----


</ca>


###############################################################################
# The client certificate file (dummy).
# 
# In some implementations of OpenVPN Client software
# (for example: OpenVPN Client for iOS),
# a pair of client certificate and private key must be included on the
# configuration file due to the limitation of the client.
# So this sample configuration file has a dummy pair of client certificate
# and private key as follows.

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----


</cert>

<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

</key>

# Konfiguracja tls-auth
ns-cert-type server
key-direction 1
 
<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----

</tls-auth> 

Macie jakieś pomysły?

 

 

 

 

[kafi 2425]

dev tap