Диверсификация VPN каналов
Задумался над диверсификацией VPN у себя дома. Периодически случаются ситуации, когда я создаю временные туннели для контор через свой домашний роутер. Конечно, они прокидываются в своих собственных VLAN-ах и не видят друг-друга. И так, в чём же проблема? Дело в том, что по умолчанию я создаю VPN используя L2TP, но он удобен если на конечных точках стоит Cisco или компьютер. Так же есть проблемы в тех местах, где используется домашний интернет, почему-то провайдеры лочат возможность работать через PPTP и L2TP.
Соответственно для обхода подобных ограничений можно воспользоваться следующими тремя выходами:
- Cisco: WebVPN
- Windows: SSTP
- UNIX-like: OpenVPN
И так, по немногу обо всех.
Cisco: WebVPN
Интересная технология. Даже старенькие Cisco 871 понимают эту технологию и поддерживают одно соединение. Из минусов то, что очень уж эта технология специфична и не распространена среди разработчиков железа. За-то работает как часики, всё чётко и ровно, без проблем и косяков. Подключение происходит по 443 порту и передача данных выглядит как обычное HTTPS соединение.
В качестве основного VPN не подходит так как на конечных точках не всегда стоит оборудование компании CISCO.
Windows: SSTP
Так же как и WebVPN работает по 443 порту, поддерживается операционными системами от Windows Vista до Windows 10. Можно поднять на Windows 2012 Server. Собственно, на нём у меня эта технология и работает.
Эта технология очень удобна в том случае, если в конторе используется доменная сеть и необходимо сделать удалённый доступ к сети. А если люди расположены в иной подсети и при этом не входят в нашу, то придётся создавать пользователей и ограничивать их возможности в нашей сети. Так, что у меня как-раз была мысль в том, чтобы отказаться от дополнительной виртуальной машины с не нужной операционкой.
UNIX-like: OpenVPN
Одна из первых мыслей у меня как-раз была в установке сервера с OpenVPN. Данный проект распространяется бесплатно, используется на многих операционных системах. С виду, всё идеально.
Но, к такой системе нельзя подключиться с оборудования типа CISCO, по этому данное решение подразумевает установку двух серверов в двух сетях и сети объединяются через эти сервера. А так хочется иметь отработанное подключение между подсетями.
Комплексное решение
Теоретически можно остановиться только на L2TP и SSTP. При этом L2TP использовать на CISCO, а SSTP на сервере. Но это решение довольно неудачное. Можно всё вместе возвести на Windows, тогда будут общие логины и пароли. Вот только проблема в том, что я не хочу всё завязывать на компьютере ибо он чаще выходит из строя чем оборудование CISCO. А если завязывать на компьютере, то тогда можно возвести параллельно и OpenVPN.
Вот сидел я так и думал, после чего мой взор упал на такой не распространённый сервер SoftEther VPN. Он в себя включает все основные протоколы и имеет свой собственный протокол. Для анализа всех плюсов его применения можно показать схему поддерживаемых протоколов и их применения.
Выглядит крайне заманчиво.
Я бы сказал, что выглядит чудесно. Вся база логинов и паролей общая, поддерживается масса протоколов. Есть поддержка нескольких профилей. Вполне возможно, что будет возможность раскидать по разным VLAN. Но это покажет лишь опыт.
В качестве опытного стенда будет выступать Windows Server 2012 R2. А вот как он должен видеть сеть пока не понятно, нужно будет создавать WAN и LAN порты или он спокойно будет работать сразу с одним портом расположенным за NAT. Так, что пока вопросов больше чем ответов. Но с точки зрения описываемых возможностей, там есть всё.
Тэги: ИТ
Отредактировано:2020-09-09 17:07:14