Логування VPN-підключень на Cisco ASA

Доброго часу доби, колеги. В наявності є Cisco ASA 5512 з налаштованим сервера IPSEC тунелів до якого чіпляються користувачі для доступу в корпоративну мережу. Надійшла завдання — виводити список активних користувачів у моніторингу, а також вести логування хто, коли, з якого адреси і з яким профілем чіплявся.

Читати далі →

Як я бази 1С у Німеччині ховав

<img src=«habrastorage.org/files/182/a44/0a1/182a440a12464975bea0de7e4135b549.jpg» alt=«image» alt text"/>
Коли керівництво переживає за свої дані (як би не потрапили куди не слід), то це або вивчення шифрування, або до купівлі кислоти для диска, або до пошуку заморських ЦОД. Якщо вибір припав на перенесення сервера подалі з країни, то виникає цілий оберемок неочевидних проблем з його використанням іншим офісом. У статті про сценарій перенесення 1С в європейський дата-центр і про налаштування "самонаводящегося" IPSec.
Адже диявол криється в деталях.
Читати далі →

Визначаємо користувачів VPN (і їх налаштування!) і проксі з боку сайту

W. I. T. C. H.
We can save the day from dark, from bad
There's no one we need


Багато хто з вас використовують VPN або проксі в повсякденному житті. Хтось використовує його постійно, отримуючи доступ до заблокованим на державному або корпоративному рівні ресурсів, багато використовують його зрідка, для обходу обмежень по географічному положенню. Як ви можете знати, великі інтернет-гравці в сфері стрімінг відео, музики та продажу ігор ніколи не любили користувачів, які легко обходять географічні обмеження, розблокуємо недоступний в їх країні контент, або здійснюючи покупки помітно дешевше. За прикладами не треба далеко ходити: Netflix змінив свою угоду про використання, додавши пункт про блокування VPN, всього 2 місяці тому; Hulu теж грішив блокуванням користувачів, а Steam взагалі підозріло дивиться на не-російськомовних користувачів з Росії. Останнім часом, компанії намагаються блокувати вже не конкретних користувачів, а самі IP-адреси VPN-сервісів, створюючи певні незручності вже самому VPN-сервісу та її користувачам. Схоже, вони не використовують ніяких спецзасобів, а вибірково блокують і вручну. Хоч я і не підтримую будь-які блокування взагалі, мене зацікавила технічна частина питання: чи можна якось визначити використання проксі-серверів і VPN з боку сервера, не докладаючи особливих зусиль?
Можна, при певних умовах. І досить точно.
Читати далі →

Налаштування OpenSWAN IPsec PSK з використанням NAT Traversal (NAT-T)

Досі дуже поширене підключення, коли провайдер ставить свій роутер і видає клієнту приватні адреси. Щоб мати можливість побудувати IPsec тунель через подібне підключення і був придуманий NAT Traversal (NAT-T). Свого часу я витратив багато часу на усвідомлення того, що потрібно вказувати в якості локального і віддаленого хостів на кінцях тунелю в OpenSWAN. Кому цікава ця тема, ласкаво просимо під кат.

Читати далі →

Mikrotik: налаштування IPsec автоматичне оновлення адреси VPN сервера

При налаштування IPSec рано чи пізно стикаються з тим, що можна задати тільки IP-адреси віддаленого сервера VPN. Зазначення DNS-записів у налаштуваннях IPsec Policies та IPsec Peers не підтримується.

Це може викликати певні незручності у випадках, якщо на VPN-сервер:
  • змінили одного провайдера на іншого;
  • вирішили змінити використовуваний статичний IP-адресу;
  • використовується динамічний (сірий) IP-адресу.


Взявши навіть найпростішу схему, стає видно, що нам доведеться змінювати налаштування трьох роутерів-клієнтів VPN-сервера:



І в кожному з трьох роутерів змінити значення:
  • IpSec/Policy/dst-address
  • IpSec/Policy/sa-dst-address
  • IpSec/Peer/address

Читати далі →

VPN скрізь і всюди: IPsec без L2TP з strongSwan

image
досить сильний лебідь

Якщо ви коли-небудь шукали VPN, який буде працювати на десктопах, мобільних пристроях і роутерах без установки додаткового ПЗ і перепрошивки роутера, ви, ймовірно, вибирали між PPTP і L2TP+IPsec. У протоколу PPTP є проблеми з безпекою та проходженням через брандмауеры і NAT, так що в 2015 році його вже використовувати не варто, а використання L2TP надміру, т. к. L2 VPN, на мою думку, для звичайного віддаленого доступу не потрібен практично ніколи.

Дивно, що в інтернеті не так-то просто можна знайти інформацію про настроювання чогось крім L2TP+IPsec в транспортному режимі, враховуючи, що це великий стек протоколів, який можна конфігурувати буквально як душі завгодно, тому я спробую усунути таку недосконалість світу.

Невелике введення в світ IPsecВзагалі кажучи, не зовсім правильно називати IPsec VPN. IPsec не призначений для побудови віртуальних приватних мереж», а створений для шифрування або захисту від підміни передаються по IP даних. Це спеціальний шар поверх IP, який, в залежності від режиму і налаштувань, працює по-різному. На відміну від звичного VPN, який створює новий інтерфейс в системі, на який ви, як це найчастіше буває, призначаєте IP-підмережі з діапазону приватних адрес (тобто створюєте новий мережевий сегмент), і через який маршрутизируется трафік в зашифрованому вигляді, IPsec просто шифрує трафік магічним чином між «зовнішніми» інтерфейсами сервера і клієнта.
Читати далі →

VPN в кожен дім



Всім привіт! Бажання зробити VPN сервер максимально простим в установці і зручним у використанні назрівало вже давно. За основу я взяв L2TP/IPsec, ця технологія нативно підтримується всіма пристроями і на відміну від PPTP не викликає проблем при підключенні через стільникових операторів.

tl;dr
Для установки нам потрібно машинка з Ubuntu 14.04 на борту і «білим» IP-адресою, будь-VPS підійде. Досить ввести цю чарівну рядок:
curl-sS https://sockeye.cc/instavpn.sh | sudo bash 

і через кілька хвилин у вас буде робочий VPN з керуванням через браузер (httр://ip-address:8080/) або консоль (instavpn-h).

Читати далі →

IPsec IKEv1 Strongswan split tunneling

Доброго часу доби, хабражітелі! Нещодавно переді мною постало завдання, організувати «нативний» доступ з різних пристроїв до корпоративної мережі, деякі бізнес особистості компанії хотіли мати приватний доступ до внутрішньої мережі, і до мережі Internet через шифрований тунель. З-за «нативних» був обраний набір протоколів IPsec. У даній публікації мова піде про суміщення протоколів IKEv1 і IKEv2 на боці одного сервера, для підключення різних пристроїв.

Читати далі →