שלום לכולם

אני מעוניין להקים שרת OpenVPN (עדיף שיהיה מבוסס לינוקס מאחר והוא צורך פחות משאבים) כמכונה וירטואלית על ESXi בעבודה.
אנסה ליהיות מפורט, תודה מראש על הסבלנות.
אני צריך שכל משתמש שיהיה מחובר, ינותב באופן מלא דרך השרת. השירותים המקומיים במשרד פחות מעניינים (אני צריך גישה לכמה שרתים במשרד, אין צורך למדפסות, שיתוף קבצים וכו'. בנוסף, ישנם שירותים מסויימים שזמינים רק לכתובת ה IP של המשרד ומכאן אני צריך שכשמשתמש מתחבר, הוא יקבל את הכתובת הציבורית של המשרד.
עד כאן ההקדמה. עכשיו השאלות

1. האם ניתן להתקין הפצה של לינוקס, להתקין עליה OpenVPN ואת תהליך הניהול לעשות דרך ממשק web? ניסיתי להתקין אך הסתבכתי עם עניין יצירת קבצי certificate ואיך בכלל אני מוריד אותם משרת הלינוקס כדי שאוכל לשלוח אותם למשתמשים?

2. כמה משתמשים בו זמנים יכולים ליהיות מחוברים בלי שזה יצור עומס על השרת? אני מעדיף לתת את המינומום ההכרחי במחינת משאבים למכונה.

3. האם ישנה אפשרות ליצור אימות שם משתמש וסיסמא אל מול active directory? האם זה מסובך?

תודה מראש לעונים.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

1. אין הרבה מה לנהל, זו יצירת תעודות, באמצעות PKI. ת'אכלס, אתה לא חייב להשתמש במנגנונים שמופצים עם OpenVPN (קרי: חבילת easy-rsa - שהיא - לדעתי - באמת easy...) כדי לייצר תעודות. אפשר לייצר אותן (ואפילו מומלץ) בכלל על מחשב אחר - כאשר ה private key של ה CA הכי פחות חשוף שניתן. אז לא ברור ממשק web למה בדיוק אתה מחפש. אשר להעתק קבצים אל/מ לינוקס, רוב האנשים מוצאים את הפרוטוקול SCP כנוח לכך. בחלזונות יש לך את הקליינט החינמי WinSCP. אם אתה לא מצליח להתחבר איתו לשרת, יש סיכוי טוב שלא מותקן scp בצד השרת, ואתה צריך להתקין חבילה מתאימה. ב RedHat/CentOS למשל, היא נקראת openssh-clients לא יודע לגבי שמובונטו וחברים.

2. כמות המשתמשים משפיעה פחות מאשר כמות המידע שהם מעבירים - מדובר בהצפנה. ככל שאתה מצפין יותר בתים לשנייה... יותר עומס כמובן. אני החזקתי מכונות מג'נקיאדה בתור שרתי OpenVPN שהחזיקו עשרות אנשים בלי למצמץ... (load average קרוב מאוד ל 0) - וזה היה לפני כמה שנים. המכונות שהיום בג'אנקיאדה אמורות להיות חזקות יותר...

3. מול LDAP - מן הסתם Active Directory הוא לא בדיוק פרוטוקול סטנדרטי. יש פלאגין... https://code.google.com/p/openvpn-auth-ldap - האם זה מסובך? מצא את ההוראות בגוגל, ותחליט לבד

4. יש גירסה מסחרית של OpenVPN שבאמת באה עם Web UI יפה כזה, שבו אפשר גם להגדיר את LDAP. בחירה שלך אם להשתמש בה: http://openvpn.net/index.php/access...-directory.html

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני כנראה מפספס משהו בסיסי עוד לפני הכל...

מערך הרשת שלי כרגע הוא כזה שיש מודם של ספק האינטרנט שלי, ממנו כבל לראוטר שעושה את הכל, DHCP, רשת אלחוטית וכו'. תשתית סופר בסיסית.
בתוך הרשת הזאת, יש לי כמה מכונות VMWARE שבכל אחת יש כמה מכונות וירטואליות.
מה שרציתי לעשות זה להרים מכונה ויטואלית נוספת על אחד מהשרתים האלה שישמש אותי כשרת OPENVPN וזה מה שאני לא מצליח לעשות.
האם חייב שכל הרשת תהיה "מאחורי" שרת ה VPN כדי שזה יעבוד?
הרי ממה שאני מבין, שרת ה VPN צריך 2 כרטיסי רשת, אולי אני טועה וזה לא מדוייק.
אני מקווה שאני מספיק ברור.
מה שחשבתי במקור לעשות זה מכונה שיושבת "בתוך" הרשת הקיימת שלי, לפתוח אליה את הפורט שהיא מאזינה לו, יחייגו אליה והיא תקשר לרשת הקיימת.
אני מפספס משהו?

שוב תודה

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

אתה לא מפספס כלום, רק קודם כל כדאי לבדוק אם הראוטר שלך מסוגל לקבל חיבור VPN נכנס מכל סוג שהוא (אם כן, אז ודאי שעדיף שהוא ישמש כ"שרת" לצורך העניין).
ובמידה ולא, צריך לאמת קודם כל שהראוטר שלך הוא vpn passthrough (רוב הראוטרים כיום כן, אבל כדאי לאמת את זה בשביל שלא לעבוד סתם).

אם אתה חייב להרים בשביל זה שרת ממש, אתה מגדיר לשרת לתת לחיבורים הנכנסים כתובות IP שנמצאות בטווח הרשת שלך, אבל לא בטווח שרת הDHCP שלך (בראוטר) בכדי שלא תיווצר התנגשות.

לדוגמא, אם הראוטר מחלק כתובות 192.168.2.100 - 200 אתה תחלק כתובות עבור חיבורי VPN מ 192.168.2.201 והלאה (לפי מספר החיבורים המקסימלי שאתה רוצה לאפשר).

ככה כל חיבור נכנס יקבל כתובת בטווח הרשת שלך ובנוסף תימנע מהתנגשויות IP אפשריות.

ומצטער שנכנסתי באמצע דבריו של שימי הגדול. (מקווה שלא יעלה לי ביוקר )

בראוטר שבו אני משתמש, ASUS RT-N66U, יש שרת VPN מובנה אבל יש בו לא מעט מגבלות כשהעיקרית שבהן היא שהוא מגביל אותי ל 16 משתמשים ול 10 חיבורים בו זמנית.
בנוסף, עד לא מזמן שרת ה VPN שלו היה רק מסוג PPTP, מה שחסום בברירת מחדל ברוב הראוטרים הבייתיים, רשתות ציבוריים, מלונות, ספקי סלולר וכו'. מכאן רציתי לעבור להשתמש ב OPENVPN וכמובן גם כי הוא מאובטח יותר.
לאחרונה ASUS הוסיפו תמיכה מובנית ב OPENVPN אך זה לא עובד בצורה טובה במיוחד ועם אותן מגבלות של כמות המשתמשים ואני צריך יותר משתמשים.
יש לי אפשרות להרים מכונה וירטואלית על אחד ה VMWARE שיש לי או להשתמש בלפטופ ישן עבור זה. לא ממש מפריע לי איך זה יעבוד, העיקר שיעבוד.
לא מבין שום דבר בלינוקס, ניסיתי לעקוב אחרי מספר מדריכים באינטרנט ותמיד איפשהו אני נתקע.
ראיתי גם משהו שנקרא UNTANGLE שזה ככל הנראה משהו שמבוסס על דביאן עם אפליקציות מובנות שיש בו גם OPENVPN מובנה וגם נוח לשימוש אך הוא לא נותן לי להתקין אותו כל עוד לא הקצתי למכונה הוירטואלית 2 כרטיסי רשת.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

יש מספר דרכים לעשות VPN באופן כללי. האחת, שהיא הטריוויאלית, היא שמה שמחבר אותך לאינטרנט, מריץ את ה VPN שלך גם כן. זו השיטה הקלה והחזקה ביותר מכל מיני סיבות - בראש ובראשונה - משום שכל הרשת שלך, מורכבת ככל שלא תהיה, מוגדרת "לצאת" החוצה לאינטרנט דרך התקן הרשת הזה. לכן, בהגדרה, מלקוחות ה VPN, תוכל להגיע אל כל המחשבים על ידי הגדרות בהתקן הזה בלבד, משום שכל שעלייך לעשות הוא לפרסם ללקוחות את טווחי כתובות ה IP הפנימיים - והערוץ החזור כבר מובטח לך (מכל מחשב שיוצא לאינטרנט... דרכך)

בשיטה הטריוויאלית, מוקצה טווח רשת (שאתה מגדיר, רצוי מתוך הטווחים שב RFC 1918 - בדיוק כמו שזה מה שרצוי עבור כל הכתובות הפנימיות שלך) על ידי התקן ה VPN - וכל מי שמתחבר ל VPN מקבל IP מהטווח הזה, ומקבל הגדרת ניתוב עבור כל הרשתות הפנימיות (שהגדרת בשרת ה VPN), כך שהוא יודע להפריד בין תעבורה המיועדת לרשת, לבין התעבורה המיועדת לרשת הפנימית של החברה (יש מי שקורא לזה "split tunnel"). ישנם גם מקרים שבהם כל תעבורת הלקוח מוכרחת לעבור דרך שרת ה VPN, כולל תעבורה לאתרי אינטרנט חיצוניים (בד"כ כדי לפקח / לחסום חיבור במקביל לרשת החברה ולרשת האינטרנט. אני חושב שזה אדיוטי, ומוכן להוכיח לכל "מומחה אבטחה" שחושב אחרת ומממש חיבור VPN מעצבן שכזה, שהוא מדבר שטויות...)

כאמור ששרת ה VPN וה DGW שמחובר לאינטרנט הם אותה יישות, הכל פשוט וקל.

היכן הדברים מסתבכים? כאשר מדובר בשני התקני רשת שונים.

כשיש שני התקני רשת שונים, ישנן שתי דרכים לחבר זאת:

האחת, שרת ה VPN, בדיוק כמו ה DGW, מחובר עם שני כרטיסי רשת, אחד ב WAN ואחד ב LAN. השיטה שבה הוא עובד זהה לחלוטין, אך הבעייה היא שהפאקטים החוזרים מה LAN לא יגיעו אליו - הם יגיעו ל DGW. אם לפני ה DGW יש Layer 3 switch שמחלק את הרשת הפנימית, זו לא בעייה, אפשר להגדיר route ספציפי לטווח שהוקצה ללקוחות ה VPN, לכיוון ה IP של ממשק ה LAN של מכונת ה VPN. אבל אם זו רשת שטוחה, כלומר שהתחנות מגיעות אל ה DGW שמחובר לאינטרנט ב layer 2 ישיר - לא ניתן לעשות את זה, ואז יש שתי אפשרויות: או להגדיר את ה route הזה על ה DGW, לכיוון הממשק הפנימי שלו (בהנחה שהוא בכלל תומך בזה...) - או להגדיר את ה route בכל אחד ואחד מהמחשבים ברשת, לכיוון טווח הרשת של לקוחות ה VPN, דרך ה LAN IP של מכונת ה VPN.

אגב, מכונת ה VPN לא באמת צריכה שני כרטיסי רשת אם היא בתוך ה LAN, משום שאפשר לעשות port forwarding ב DGW לכיוונה, כמו כל שרת אחר. יש מי שמתבלבל וחושב שצריך דברים כמו VPN Passthrough, כי הוא לא יודע ש OpenVPN לא משתמש בפרוטוקולים מעצבנים כמו PPTP, GRE ו IPSEC - אלא עובד על סוקט בודד, על פורט בודד, TCP או UDP (האחרון עדיף בכמעט כל מצב).

עד כאן לעניין הניתובים.

מוד עבודה שונה של OpenVPN, נקרא Bridged (המוד שתארתי למעלה, נקרא Tunnel) - שבו בעצם שרת ה OpenVPN ולקוח ה OpenVPN הופכים לסוג של מתגים (switch) וירטואליים, כאילו שחיברת כרטיס רשת מהמחשב שלך בבית, לתוך הרשת של החברה - וכמובן שכל המידע שבפנים עובר ע"ג האינטרנט בצורה מוצפנת. לשיטה זו יש יתרונות וחסרונות. היתרון - ממש כאילו התחברת לרשת של העבודה, פיזית. זה אומר שאתה גם מקבל DHCP מתוך ה LAN, משתתף ב broadcast-ים (למשל יכול לזהות מדפסות ומחשבים אחרים ברשת באמצעות שידור). החסרון הוא אותו הדבר בדיוק - אתה מקבל זבל שאתה לא בהכרח צריך, וגם יש את הסיפור של להגיע לרשתות אחרות (תצטרך להגדיר ניתובים בצד הקליינט). חסרון נוסף הוא, שבשביל שזה יעבוד, צריך בצד השרת לבצע bridging בין כרטיס הרשת של שרת ה VPN לבין לקוחות ה VPN... מה שעשוי להיות מסובך לך (או שלא?)

אני ממליץ על שיטת ה tunnel.

וכאן בערך נגמרו לי האצבעות...

נמאס לכם לזכור סיסמאות? לחצו כאן!

צודק לגבי הVPN Passthrough
לא חשבתי על זה.

תודה, החכמתי