|
|
|
|
Strumenti |
27-11-2013, 15:08 | #1 |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 20842
|
consiglio VPN
Avrei un dubbio
devo creare una vpn fra 3 uffici principalmente per la condivisione di cartelle (classico uso della vpn per mettere in comunicazione le lan dei vari uffici con un serverino 2008r2 che fà praticamente solo da file server e poco altro visto che sulla lan non ci sono solo pc ma anche sistemi embedded che devono essere in grado di leggere / scrivere file sul server chiedo consiglio su cosa fare 1) vpn software esponendo il server come bastion host 2) recuperare un trittico di vecchi catorci (aka vecchi pc di segretarie roba da p4 e athlon xp) e usarli per la vpn 3) firewall vpn hardware ora la 3 mi piace molto di più per una maggiore robustezza agli utenti (aka non ci mettono le mani) e per la totale trasparenza ma non ho idea dei costi visto che comunque il sistema deve costare poco c'è da dire che il traffico sulla vpn sarebbe molto ridotto (ci saranno 20 sistemi collegati in totale e pochi mb di traffico scambiato al giorno potrei cavarmela con dei netgear FVS318GE ) la 1 non mi piacerebbe troppo visto comunque la presenza di dati sensibili sul server lo preferirei all'interno della rete mentre sulla 2 ho seri dubbi sull'affidabilità delle macchine e sulla certezza che non me le tocchino ergo voi cosa scegliereste? e mi sapreste consigliarmi un sw windows per la 1) un sw / distro per la 2 oppure qualche pezzo di ferro non troppo costoso per la 3? purtroppo saranno una decina di anni che non ci metto mano sulle vpn gracias
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 Ultima modifica di !fazz : 27-11-2013 alle 15:23. |
27-11-2013, 15:41 | #2 |
Member
Iscritto dal: Jul 2001
Città: Milano
Messaggi: 166
|
Mah, direi la 3.
Prendi 3 Watchguard su ebay e ci tiri un IPSec.
__________________
./AMD Ryzen 9 7900x3d, MSI X670E Carbon, 64 GB DDR5 6000Mhz Trident Z, RTX 4090 Waterforce, 4TB WD SN770, Phanteks G500A, Seasonic Prime 1000W, EK Elite 360. ./Intel i7-5820K @ 5.0Ghz, Asus Rampage V Extreme, 32 GB DDR4 2133Mhz Vengeance LPX, RTX 2070 Super, 960GB SSD Mainstream Enterprise SLC, Corsair 450D, Corsair AX860, Corsair H110 Hydro. |
27-11-2013, 19:58 | #3 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Per la 3 routerboard o Draytek non ti costa neppure molto.
Nel caso vuoi ripiegare sulla 2 -> pfSense Nel caso della 1 -> VPN IPSEC di Windows Server (in ogni caso sconsiglio questa soluzione) La soluzione migliore secondo me è un ibrido tra 2 e 3: prenderei 3 Watchguard (anche 100mb) su ebay e gli installerei pfSense con OpenVPN |
27-11-2013, 20:51 | #4 |
Senior Member
Iscritto dal: Oct 2005
Città: Texas
Messaggi: 474
|
puoi anche prendere dei juniper su ebay a 30 euro cada uno e sei bello che apposto, altrimenti se hai i pc linux+openvpn
__________________
Ho concluso con: tzitzos, maradona22, shark555, bucci1980, skiocink, GDT, angelodm |
27-11-2013, 21:31 | #5 | |
Senior Member
Iscritto dal: May 2012
Messaggi: 2641
|
Quote:
costo irrisorio+flessibilità di openwrt, in 2 anni mai un minuto di down completamente trasparente, accendi il router e va cheers |
|
27-11-2013, 22:31 | #6 |
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6498
|
Premetto che nemmeno io ho una grande cultura in terma di VPN, io fossi in te farei una vpn SSL con OpenVPN, senza usare OS dedicati (es pfsense, openwrt o robe del genere).
Ti devi sbattere un po' di più sulla configurazione ma avrai qualcosa di più flessibile e gestibile in caso di modifiche future. Personalmente ho sempre considerato le vpn IPsec una enorme seccatura in termini di configurazione di rete, apertura porte etc etc... Una vpn ssl con un certificato sufficientemente robusto ti permette di ottenere la medesima sicurezza con molti meno sbattimenti, con un canale ben definito e limitato, facile e relativamente sicuro da esporre online.
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
28-11-2013, 06:55 | #7 | |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Quote:
@tasslehoff: Dipende cosa vuole ottenere e che grado di dimestichezza ha con linux/bsd. In ogni caso secondo me è meglio avere hardware dedicato per un firewall/router che non svolga altri compiti. E introducendo un so come pfSense ad esempio potrebbe giovare in modo semplice di molte altre feature interessanti che adesso non sta usando (content filtering, captive Portal per dirne due..) Inviato dal mio Nexus 5 con Tapatalk |
|
28-11-2013, 07:56 | #8 | |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 20842
|
Quote:
per linux & co nessun problema sono un pelo arrugginito ma ho usato per anni gentoo stage 2 devo vedre io starei per hw dedicato e soprattutto nato per fare vpn e firewall meno sbattimenti anche se costa un pelo di più si recupera in tempo perso (fare 300 km di autostrada se si incarta qualcosa non è mai piacevole) dei netgear FVS318GE che ne pensate? non saranno i migliori ma li posso avere senza troppi sbattimenti (aka aprire un nuovo fornitore farmelo autorizzate e tutte le menata burocratiche che escludono anche ebay & co)
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
|
28-11-2013, 11:17 | #9 | |
Senior Member
Iscritto dal: May 2012
Messaggi: 2641
|
Quote:
A me va a banda piena sulla ADSL. Che però è lenta. Però funziona. Poi fazz dice traffico di pochi MB, e sistemi embedded che scrivono sul server, quindi anche una normale ADSL va bene. E comunque il router mica devi usarlo per forza per far passare tutto il traffico internet, puoi anche usarlo su una rete già esistente per fare solo da client/server OpenVPN Non so se con l'hardware dedicato si risparmia tempo, oppure si smadonna di più. Perchè il più delle volte io ho bisogno di customizzare qualcosa, e l'open source sono sicuro che me lo permette. D'altra parte il setup del tutto, non è proprio proprio banale, fra certificati, chiavi, dove metto questo, dove metto quello, TUN o TAP, bridge e broadcast, c'è da studiare |
|
28-11-2013, 11:22 | #10 | |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 20842
|
Quote:
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
|
28-11-2013, 16:53 | #11 |
Member
Iscritto dal: Dec 1999
Messaggi: 260
|
Il quadro che hai fatto è abbastanza completo e per le risorse che metti in campo direi che il compromesso è la creazione di tunnel IPSEC con pfSense. Il tutto è abbastanza fattibile senza essere dei massimi esperti di vpn e reti visto che l'interfaccia web è veramente completa e funzionale (oltre a trovare molta documentazione).
OpenVPN in linea di massima è più sicuro di ipsec ma solo per il fatto che ti obbliga ad utilizzare dei certificati (con ipsec puoi utilizzare delle psk condivise), nel momento in cui usi un certificato con ipsec i sistemi sono equiparabili come sicurezza. La mia soluzione sicura-ipsec: - 3 tunnel ipsec psk (mutual-psk, psk abbastanza lunghina e carina) con protocollo SHAX-AESXXX (più sali di crittografia più è sicura ovviamente ma a discapito della banda e di utilizzo di cpu, sha è l'hash - aes è il crypt). Ricorda che più sali di crittografia più banda verrà utilizzata (es. 20MB ->30MB-40MB-50MB...) quindi occhio. In ogni caso il tunnel ipsec si compone su 2 fasi quindi sipuò instaurare il phase1 forte e la phase2 più debole (serve per l'autenticazione NEL tunnel). Sempre riguardo alle risorse, un hardware con processore aes (es. gli embedded amd geode (alix e co.) hanno un crypt engine aes all'interno che effettua un forte offload del tunnel (per le prestazioni che hanno ovviamente). - attenzione alle subnet con i vari tunnel, anche se ipsec può essere nattato, la best p consiste nell'avere 3 sottoreti differenti (a differenza dell'openvpn che natta nativamente). Mi son accorto che ho scritto troppo rispetto alla tua domanda. Per me ipsec, su 3 pfSense veloce da configurare e solido. Ciao. P.s. Dimenticavo: è un leggero sbattimento in più ma piuttosto di una porcata di embedded come netgear, spendi un pochino in più e prendi una alix o simili (soekris..) e configuri il tutto.
__________________
"There is no quiet before the tempest, there is only tempest" Ultima modifica di taurus : 28-11-2013 alle 16:58. |
28-11-2013, 17:42 | #12 | |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 20842
|
Quote:
le schede che proponi sono carine ma costano comunque il 50% in più di una soluzione embedded e alla la flessibilità non è una caratteristica richiesta (ma mi prude di comprarne una per uso personale, ci potrei fare un bel serverino con quella bestiola
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
|
28-11-2013, 18:21 | #13 | |
Member
Iscritto dal: Dec 1999
Messaggi: 260
|
Quote:
Per quanto riguarda l'appliance, da una ricerca veloce sul web ho visto che il FVS318GE costa più di 100 euro (115-120). Una alix 2d13 si trova a 86 ivata (o anche di meno forse), il case una decina, l'alimentatore dipende da quale: se non ricordo male ha un range 9-18v 1,5A minimo con connettore standard, una cf da 8GB da 10 euro e sei allo stesso prezzo (escluso il tuo tempo). Oltre a queste considerazioni metti in conto che molte volte appliance tipo netgear implementano vpn non standard che portano alla completa non interoperabilità con molti firewall (cisco, hp, paloalto, fortigate etc etc (in ordine di importanza)). Ovviamente hai out-of-the-box un Firewall con la F maiuscola (chiamiamolo un next generation firewall "limitato", come piace chiamare ai commerciali i nuovi firewall all in one) con tutto quello che ne deriva. Una precisazione: la 2d13 dovrebbe supportare un bw filtering di circa 70-80Mb/s, non di più ed un cumulativo di tunnel ipsec per 40-50Mb/s in aes (da verificare più attentamente, non ricordo bene). A te la scelta, non so come si evolverà l'infrastruttura ma le maggiori cause di disastri son date dall'incompatibilità tra firewall. Esperienza personale su pfSense: 15 ipsec tra 3DES a AES256 con cisco di tutti modelli (da ASA 5505 a 5555, fortigate (che han problemi anche con i cisco) ed ovviamente pfSense). A te la scelta. P.s. Dai, ho fatto un po' di pubblicità ai ragazzi di pfSense, se lo meritano.
__________________
"There is no quiet before the tempest, there is only tempest" |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:55.