LINUX.ORG.RU
ФорумAdmin

Как зашифровать трафик между офисами?

 , ,


2

1

есть такая сеть из 2х офисов:
1. сервер-шлюз + сервер баз + локальная сеть
2. локальная сеть
сейчас эти сети прозрачно через vlan объединяет провайдер, с нашей стороны комок уровня 2 и тупой свич на другом конце, но хотелось бы зашифровать весь трафик между офисами так же прозрачно без установки каких либо драйверов-клиентов на рабочие места, причем с возможностью переключаться на 4G, когда vlan неожиданно падает.
какие есть варианты? желательно в варианте приобретения одного роутера (думаю за микротик RB3011UIAS-RM) в удаленный офис, я так понимаю надо что то на основе IPSec делать на сервере-шлюзе, т.к. dhcp, dns, voip, rdp, базы, принтеры и тыды удаленный офис получает прозрачно и городить там свою подсеть с vpn не хотелось бы.

★★★

Ответ на: комментарий от Radjah

Radjah

и в чем между ними разница? хотелось бы чтобы удаленный офис все настройки сети получал из головного, т.е. рабочие места не заметили бы разницы

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

Если маршруты и прочее получать-передавать, то ИМХО лучше openvpn, там всё это сервер умеет. На клиенте нужно будут только сертификаты и адрес сервера в конфиг прописать, всё остальное можно с сервера передавать. Трафик от пользователей так и так разруливать маршрутизатор будет, так что они ничего не заметят.

// на правах админа локалхоста

Radjah ★★★★★
()
Ответ на: комментарий от Radjah

На клиенте нужно будут только сертификаты и адрес сервера в конфиг прописать

и openvpn клиента поставить, нет такое не подходит, нужно чтобы как работающие в одном свиче было, хотя бы на случай если тот же роутер погорит.

wolverin ★★★
() автор топика
Ответ на: комментарий от Deleted

один нюанс - микротик умеет только в tcp openvpn

ну вот, а как же тогда, например, dns!? роутером было бы удобнее - места и электричества меньше.

wolverin ★★★
() автор топика
Ответ на: комментарий от Deleted

и опять же хотелось бы чтобы машины удаленного офиса выполняя dhcp запросы - получали ответы от головного сервера-шлюза, а не от локального сервиса

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

не, ты не правильно понял.
в openvpn есть два типа построения связи - tcp и udp.
udp даёт меньшие задержки, но в твоём случае, скорее всего ты разницы и не заметишь.

Deleted
()
Ответ на: комментарий от Deleted

udp даёт меньшие задержки, но в твоём случае, скорее всего ты разницы и не заметишь

понятно, может быть, но влан у меня 100мбит

для этого есть dhcp-proxy.

спасибо, почитаю, а чем этот вариант лучше IPSec ? так вроде яндекс не мало примеров приводит связки debian - ipsec - mikrotik, правда в варианте использования разных подсетей, что мне не подходит.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

да просто для меня ipsec на микротиках это нопнятная тумба-юмба которая может не работать из-за погоды на марсе. поэтому и не могу посоветовать.

Deleted
()

ну, народ конечно советует тут openVPN, но я выскажусь за ipsec+gre+ospf. а то потом будет третий офис, потом четвертый, потом еще один этаж, подсеть для камер, подсеть для сетевых принтеров... на микротике настройка может быть не слишком тривиальна, по моим тестам лучше всего это работает в следующем варианте - ip2ip -> ipsec -> gre -> ospf. если делать без ipip-тоннеля - может глючить.

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

upcFrost

тоже склоняюсь все же к IPSec поскольку как понимаю в этом случае dhcp сервер (и возможно остальное) будет прозрачно работать в удаленный офис, про ip2ip (ethernet over ip) предварительно ознакомился, а зачем gre?

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

а зачем gre

за маршрутизацией в целом, и OSPF в том числе. Ну, что такое вообще GRE? это инкапсуляция маршрутов.

Собственно в чем основной косяк пиписека - IPsec это p2p-тоннель, и если тебе надо больше одной подсети и ты не можешь объединить их широкой маской (ну скажем сеть такая что есть подсети классов А и С одновременно, типа разделение для безопасности, вся фигня, бывает), то тебе нужен тоннель+маршрут на _каждую_ подсеть.

GRE упаковывает изначальный пакет в свою обертку, которая идет по p2p-тоннелю, потом в конечной точке она разуплотняется и идет дальше по таблице маршрутизации удаленной системы без всяких дополнительных телодвиженей со стороны пиписека. Так что остаются только маршруты.

Откуда их добыть? ну, можно и статикой. А можно и динамически. Если строить OSPF, то мало ли как топология может в случае косяка вылезти. Да и вообще мало ли какая у тебя топология. это универсальный вариант, когда у тебя полностью динамическая маршрутизация. Для совсем большой сети конечно можно лезть в BGP либо запариться с MPLS L2/L3VPN (мне кстати было б интересно), но для средних размеров сети эта связка работает на ура. По сути это то как работают DVPN/DMVPN от HP и сиськи соответственно

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

WAT? OSPF+GRE+IPIP+IPsec чтобы связать 2 локалки? И обмазываться всем этим на микротике? Вы знаете толк в извращениях.

Нормальная сетевая платформа в каждую сеть типа Alix/Lanner + обычный линукс на борту. IPSec через понравившийся *Swan. Сетевые настройки отдавать во вторую сеть через dhcp relay.

trancefer ★★
()
Ответ на: комментарий от trancefer

WAT? OSPF+GRE+IPIP+IPsec чтобы связать 2 локалки? И обмазываться всем этим на микротике? Вы знаете толк в извращениях

это их сейчас две. контора где я работал от 3 филиалов до 13 за полтора года раздулась. и вот тогда мы блин со статических IPsec, которых уже полсотни было, с матом и повышенной аккуратностью (продакшн же) слезали на эту связку.

Да и потом - это настроить и забыть. потом можно новые подсети добавлять, новые точки, внешних клиентов/франшиз, главное что ничего в корневой маршрутизации менять не надо будет. и главное - так можно легко и просто построить адекватный фул-меш, а ipsec'ами разве что звезду обмазывать, и то без связи между лучами даже через центр (а то писец), и это дело легко отработает почти любой косяк

ну и интересно же %)

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от wolverin

а. ну тогда вообще кинь один ipsec и не напрягайся. или правда OVPN, все равно если одна подсеть сдохла, то тоннель строить уже не с кем, и пофиг жив OVPN-сервер или нет.

просто ты ж написал voip, принтеры, базы... вот я и подумал что у тебя там отдельные подсети для разных типов устройств (как это кстати должно быть). trancefer, собственно вот потому я и подумал что их может быть больше одной и больше 3.5 компов

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 2)
Ответ на: комментарий от trancefer

3,5 компа в сети

побольше конечно, но не вижу пока смысла плодить подсети для каждого чиха, типа для 5х комков, 50 рабочих мест, 50 телефонов и тыды, не провайдер же, офис небольшой.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

типа для 5х комков, 50 рабочих мест, 50 телефонов и тыды

зря. management vlan с рабочими машинами в одной подсети точно лучше не держать. и кстати - из некоторых телефонов можно сделать бомбу замедленного действия т.к. они часто имеют недокументированный telnet/ssh и возможность выполнения скриптов, так что их лучше тоже нафиг в другую подсеть.

и потом - всегда держи в голове что контора может _очень_ быстро распухнуть. новый филиал, или наоборот купит кто большой. и тогда придется бегать в мыле все переделывать

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от wolverin

а. ну, тогда паранойя еще впереди. в любом случае - хорошо организованная сеть это всегда хорошо. иначе это грубо говоря как взять тарелку с едой, сунуть в блендер и потом съесть полученную баланду.

подсеть жрать не просит, надо поменять что, новое добавить, старое убрать - ты трогаешь только один маленький сегмент.

если еще не смотрел - посмотри/почитай «сети для самых маленьких» на хабре или linkmeup, это самый зачетный сборник статей из тех что я знаю

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

подсеть жрать не просит, надо поменять что, новое добавить, старое убрать - ты трогаешь только один маленький сегмент

так в этом варианте я ничего не трогаю, все общее для всех (естественно с уровнями доступа), масштабы не те, больше настраивать, чем реально добавляет безопасности.

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от trancefer

trancefer
И обмазываться всем этим на микротике?
Alix/Lanner

а чем микротик плох в сравнении с этими платформами? цена ведь самый значимый фактор!

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

все общее для всех (естественно с уровнями доступа), масштабы не те, больше настраивать, чем реально добавляет безопасности

эх, рассказал бы я прохладную историю как у меня аналоговый гейт к факсу падал из-за того что в подсети был телик (!) и был влючен IGMP (!!), да времени нет, поезд через 2 часа.

в любом случае если внезапно будет время (ну, раз ты совмещаешь) - подумай может следует все-таки разделить подсети. и прочти/посмотри «сети для самых маленьких», нулевой выпуск, это как раз планирование. я не троллю названием, если что, статьи правда хорошие.

а по сабжу - да, одним ipsec можно обойтись в таком варианте, либо правда ovpn

upcFrost ★★★★★
()
Ответ на: комментарий от wolverin

Плох тем, что вендор-специфичное железо, в котором то работает, то нет.

Выше перечисленные штуки - просто x86/amd64 - ставите туда что хотите. Настраиваете стандартные пакеты. Выше надежность, все находится под вашим контролем.

trancefer ★★
()
Ответ на: комментарий от upcFrost

upcFrost

спасибо, у меня не все так разношерстно, и одним не обойтись, мне еще надо чтобы при падении vlan провайдера через 3/4G трафик шел опять же шифрованный и естественно чтобы это все было автоматически.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

мне еще надо чтобы при падении vlan провайдера через 3/4G трафик шел опять же шифрованный и естественно чтобы это все было автоматически.

если на микротике - два тоннеля, два маршрута с разным preference и health check куда-нибудь на тот же гугель. этот случай у них в вики описан, погугли там

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от trancefer

Плох тем, что вендор-специфичное железо, в котором то работает, то нет.

у пары провайдеров стоит, с которыми работаю, вроде не жалуются, ЦЕНА сравнительно низкая при неплохой производительности.

wolverin ★★★
() автор топика
Ответ на: комментарий от trancefer

Плох тем, что вендор-специфичное железо, в котором то работает, то нет.

у тебя тоже вафля при обновлении отваливалась? :)

Выше перечисленные штуки - просто x86/amd64 - ставите туда что хотите

вот тут не совсем согласен с выбором. имхо спецжелезо все-таки лучше, особенно если накручивать pbr и прочую тяжелую для системы фигню.

upcFrost ★★★★★
()

После прочтения вопроса и ответов на ответы у меня возникло ощущение, что надёжнее оставить всё как есть, без шифрования.

Если решите получить опыт, то можно попробовать. Я подобные вещи обычно делал через IPsec, но VoIP через VPN не пробовал. Также своими глазами видел, как люди делают site-to-site VPN через OpenVPN: они заявляли, что это проще, чем IPsec, и я им скорее верю. Полную конфигурацию VPN+DHCP+DNS+VoIP+RDP не подскажу. В целом направления для получения опыта в ответах подсказаны, но если вам нужно скорее что-то рабочее, чем опыт, то рекомендую оставить канал без шифрования.

Alexander7
()
Ответ на: комментарий от Alexander7

VoIP через VPN не пробовал

норм работает. главное чтоб там не ISA была, она sip не пускает.

рекомендую оставить канал без шифрования

зачастую оно может быть необходимо. да и начальство может просто сказать «надо и точка»

Кстати, ТС, а тебе оно нужно потому что «хочу», или по соображениям легальности? а то закон об ИСПДн требует сертификацию железа, и в рф количество таких железок не слишком велико

upcFrost ★★★★★
()
Ответ на: комментарий от Alexander7

Alexander7

)) да я бы оставил как есть, благо много лет все это работало, но появились 2 проблемы - 1 влан иногда падает, 2 законодатель требует защищать каналы передачи персональных данных

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

законодатель требует защищать каналы передачи персональных данных

оп-па... тогда смотри мой коммент выше. тебе нужны _сертифицированные_ железки. это совсем другие бабки и другие методы. гугли в сети по что там есть. и да - не бери ни в коем случае модули гост-шифрования с сиськам, это шлак.

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

VoIP через VPN не пробовал

норм работает. главное чтоб там не ISA была, она sip не пускает.

где то норм, а где то на мту ругается или возникают неожиданные обрывы на узких каналах, поэтому iax2 с md5 вместо sip по vpn работает стабильнее

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 2)
Ответ на: комментарий от upcFrost

тебе нужны _сертифицированные_ железки.

не обязательно, от модели угроз зависит, деактуализации.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

не обязательно, от модели угроз зависит, деактуализации

да, от класса СПДн зависит. но сертификат ФСТЭК вроде как обязателен в любых СПДн, просто уровень сертификата опять же разный

upcFrost ★★★★★
()
Ответ на: комментарий от wolverin

Не только. Медицина скажем требует даже частная. Главное - очень внимательно прочти закон и при малейших сомнениях запроси юр консультацию. Иначе можно попасть на бабки два раза - с железом и со штрафом

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

Медицина скажем требует даже частная.

да согласен, но у нас как и у большинства частников общие ПДн, консалтинг заказывали, для Роскомнадзора как правило бумаг достаточно с обоснованием не применения сертифицированных, на проверку ФСТЭКа или ФСБ еще напроситься надо.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

ТС, можешь называть меня очконавтом и паранойиком, но я бы запросил ещё одну юр консультацию что провентилировать вообще все «если». Так как первым под раздачу попадёт админ, то есть ты. И там будет от круглого штрафа и вплоть до торговли очком на зоне. Даже 0.5% - это уже высокая вероятность.

Хз как там сейчас, а 4 года назад было так. Как не-гос оператор СПДн ты имеешь право выбора - шифровать или нет. Если нет - подпиши бумагу у начальства и взятки гладки. Если ты решил шифровать - ты обязан шифровать по закону. То есть просто длинк с 3DES не катит, у него должна быть бумажка с соответствующим уровнем сертификата. «Не шифровать» != «шифровать не по госту»

Потому лучше утряси вообще любые «если» и подумай как поступить. Нам так пришлось в свое время больше 2млн только на роутеры отдать, не говоря уж об остальном

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 2)
Ответ на: комментарий от upcFrost

Если ты решил шифровать - ты обязан шифровать по закону.

нет обязательства использовать только сертифицированные СКЗИ для всех, главное не использовать нелицензионные (к примеру у многих даже госструктур нет полного перечня документов на тот же КриптоПРО - считай используют левый, т.к. любой СКЗИ не является теперь частью чего либо), вот тут точно можно присесть ) кстати касаемо бумажки - ее можно подписать с провайдером и тоже теоретически проблем быть не должно.
вообщем это все демагогия к теме не относящаяся.

Нам так пришлось в свое время больше 2млн только на роутеры отдать

а что за оборудование взяли?

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

что за оборудование взяли?

Stonegate. Их потом McAfee купил. Очень странная железка с очень кхм интересной логикой. Но тогда когда покупали в списке было 20 железок всего

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

upcFrost

спасибо, буду еще смотреть что сейчас из самого дешевого сертифицированного оборудования можно купить, опять же пару штук нужно с 2х концов.
из дешевых тот же длинк DFL-260E уже снят с производства

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от upcFrost

С падающей вафлей не сталкивался. А вот падающие L2TP туннели видел.

Чем PBR «тяжел»? Вроде у ТС не стоит задача роутить гигабитные потоки.

trancefer ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.