consiglio VPN

[!fazz]

Avrei un dubbio

devo creare una vpn fra 3 uffici principalmente per la condivisione di cartelle (classico uso della vpn per mettere in comunicazione le lan dei vari uffici con un serverino 2008r2 che fà praticamente solo da file server e poco altro

visto che sulla lan non ci sono solo pc ma anche sistemi embedded che devono essere in grado di leggere / scrivere file sul server chiedo consiglio su cosa fare


1) vpn software esponendo il server come bastion host
2) recuperare un trittico di vecchi catorci (aka vecchi pc di segretarie roba da p4 e athlon xp) e usarli per la vpn

3) firewall vpn hardware


ora la 3 mi piace molto di più per una maggiore robustezza agli utenti (aka non ci mettono le mani) e per la totale trasparenza ma non ho idea dei costi visto che comunque il sistema deve costare poco c'è da dire che il traffico sulla vpn sarebbe molto ridotto (ci saranno 20 sistemi collegati in totale e pochi mb di traffico scambiato al giorno potrei cavarmela con dei netgear FVS318GE )
la 1 non mi piacerebbe troppo visto comunque la presenza di dati sensibili sul server lo preferirei all'interno della rete mentre sulla 2 ho seri dubbi sull'affidabilità delle macchine e sulla certezza che non me le tocchino

ergo voi cosa scegliereste? e mi sapreste consigliarmi un sw windows per la 1) un sw / distro per la 2 oppure qualche pezzo di ferro non troppo costoso per la 3?

purtroppo saranno una decina di anni che non ci metto mano sulle vpn

gracias

[intruder_it]

Mah, direi la 3.

Prendi 3 Watchguard su ebay e ci tiri un IPSec.

[malatodihardware]

Per la 3 routerboard o Draytek non ti costa neppure molto.

Nel caso vuoi ripiegare sulla 2 -> pfSense

Nel caso della 1 -> VPN IPSEC di Windows Server (in ogni caso sconsiglio questa soluzione)


La soluzione migliore secondo me è un ibrido tra 2 e 3: prenderei 3 Watchguard (anche 100mb) su ebay e gli installerei pfSense con OpenVPN

[degli]

puoi anche prendere dei juniper su ebay a 30 euro cada uno e sei bello che apposto, altrimenti se hai i pc linux+openvpn

[barzokk]

Quote:

Originariamente inviato da !fazz

devo creare una vpn fra 3 uffici principalmente per la condivisione di cartelle (classico uso della vpn per mettere in comunicazione le lan dei vari uffici con un serverino 2008r2 che fà praticamente solo da file server e poco altro
...

been there, done that: openvpn su qualunque router che faccia girare bene dd-wrt o ancora meglio openwrt
costo irrisorio+flessibilità di openwrt, in 2 anni mai un minuto di down
completamente trasparente, accendi il router e va
cheers

[Tasslehoff]

Premetto che nemmeno io ho una grande cultura in terma di VPN, io fossi in te farei una vpn SSL con OpenVPN, senza usare OS dedicati (es pfsense, openwrt o robe del genere).
Ti devi sbattere un po' di più sulla configurazione ma avrai qualcosa di più flessibile e gestibile in caso di modifiche future.

Personalmente ho sempre considerato le vpn IPsec una enorme seccatura in termini di configurazione di rete, apertura porte etc etc...
Una vpn ssl con un certificato sufficientemente robusto ti permette di ottenere la medesima sicurezza con molti meno sbattimenti, con un canale ben definito e limitato, facile e relativamente sicuro da esporre online.

[malatodihardware]

Quote:

Originariamente inviato da barzokk

been there, done that: openvpn su qualunque router che faccia girare bene dd-wrt o ancora meglio openwrt
costo irrisorio+flessibilità di openwrt, in 2 anni mai un minuto di down
completamente trasparente, accendi il router e va
cheers

Non so che router usassi, ma con openwrt o ddwrt basta poca banda per saturare la CPU. E per avere qualcosa di decente (visto anche che dice di usare share Windows) servono almeno 2MB in up, forse anche di più..

@tasslehoff:
Dipende cosa vuole ottenere e che grado di dimestichezza ha con linux/bsd. In ogni caso secondo me è meglio avere hardware dedicato per un firewall/router che non svolga altri compiti. E introducendo un so come pfSense ad esempio potrebbe giovare in modo semplice di molte altre feature interessanti che adesso non sta usando (content filtering, captive Portal per dirne due..)

Inviato dal mio Nexus 5 con Tapatalk

[!fazz]

Quote:

Originariamente inviato da malatodihardware

Non so che router usassi, ma con openwrt o ddwrt basta poca banda per saturare la CPU. E per avere qualcosa di decente (visto anche che dice di usare share Windows) servono almeno 2MB in up, forse anche di più..

@tasslehoff:
Dipende cosa vuole ottenere e che grado di dimestichezza ha con linux/bsd. In ogni caso secondo me è meglio avere hardware dedicato per un firewall/router che non svolga altri compiti. E introducendo un so come pfSense ad esempio potrebbe giovare in modo semplice di molte altre feature interessanti che adesso non sta usando (content filtering, captive Portal per dirne due..)

Inviato dal mio Nexus 5 con Tapatalk

grazie dei consigli, adesso devo valutare un attimo con il capo costi ecc ecc

per linux & co nessun problema sono un pelo arrugginito ma ho usato per anni gentoo stage 2 devo vedre

io starei per hw dedicato e soprattutto nato per fare vpn e firewall meno sbattimenti anche se costa un pelo di più si recupera in tempo perso (fare 300 km di autostrada se si incarta qualcosa non è mai piacevole)
dei netgear FVS318GE che ne pensate? non saranno i migliori ma li posso avere senza troppi sbattimenti (aka aprire un nuovo fornitore farmelo autorizzate e tutte le menata burocratiche che escludono anche ebay & co)

[barzokk]

Quote:

Originariamente inviato da malatodihardware

Non so che router usassi, ma con openwrt o ddwrt basta poca banda per saturare la CPU. E per avere qualcosa di decente (visto anche che dice di usare share Windows) servono almeno 2MB in up, forse anche di più..

e cosa può farci il router se hai una ADSL con up a 512 ?
A me va a banda piena sulla ADSL. Che però è lenta. Però funziona.
Poi fazz dice traffico di pochi MB, e sistemi embedded che scrivono sul server, quindi anche una normale ADSL va bene.
E comunque il router mica devi usarlo per forza per far passare tutto il traffico internet, puoi anche usarlo su una rete già esistente per fare solo da client/server OpenVPN

Non so se con l'hardware dedicato si risparmia tempo, oppure si smadonna di più.
Perchè il più delle volte io ho bisogno di customizzare qualcosa, e l'open source sono sicuro che me lo permette.
D'altra parte il setup del tutto, non è proprio proprio banale, fra certificati, chiavi, dove metto questo, dove metto quello, TUN o TAP, bridge e broadcast, c'è da studiare

[!fazz]

Quote:

Originariamente inviato da barzokk

e cosa può farci il router se hai una ADSL con up a 512 ?
A me va a banda piena sulla ADSL. Che però è lenta. Però funziona.
Poi fazz dice traffico di pochi MB, e sistemi embedded che scrivono sul server, quindi anche una normale ADSL va bene.
E comunque il router mica devi usarlo per forza per far passare tutto il traffico internet, puoi anche usarlo su una rete già esistente per fare solo da client/server OpenVPN

Non so se con l'hardware dedicato si risparmia tempo, oppure si smadonna di più.
Perchè il più delle volte io ho bisogno di customizzare qualcosa, e l'open source sono sicuro che me lo permette.
D'altra parte il setup del tutto, non è proprio proprio banale, fra certificati, chiavi, dove metto questo, dove metto quello, TUN o TAP, bridge e broadcast, c'è da studiare

si il traffico sulla vpn è veramente roba da poco la stima è di 15-20MB al giorno + altrettanti di notte per il backup il tutto con adsl standard a 7 Mb niente di trascendentale e niente utilizzi strani solo cartelle condivise

[taurus]

Il quadro che hai fatto è abbastanza completo e per le risorse che metti in campo direi che il compromesso è la creazione di tunnel IPSEC con pfSense. Il tutto è abbastanza fattibile senza essere dei massimi esperti di vpn e reti visto che l'interfaccia web è veramente completa e funzionale (oltre a trovare molta documentazione).
OpenVPN in linea di massima è più sicuro di ipsec ma solo per il fatto che ti obbliga ad utilizzare dei certificati (con ipsec puoi utilizzare delle psk condivise), nel momento in cui usi un certificato con ipsec i sistemi sono equiparabili come sicurezza.
La mia soluzione sicura-ipsec:
- 3 tunnel ipsec psk (mutual-psk, psk abbastanza lunghina e carina) con protocollo SHAX-AESXXX (più sali di crittografia più è sicura ovviamente ma a discapito della banda e di utilizzo di cpu, sha è l'hash - aes è il crypt). Ricorda che più sali di crittografia più banda verrà utilizzata (es. 20MB ->30MB-40MB-50MB...) quindi occhio. In ogni caso il tunnel ipsec si compone su 2 fasi quindi sipuò instaurare il phase1 forte e la phase2 più debole (serve per l'autenticazione NEL tunnel).
Sempre riguardo alle risorse, un hardware con processore aes (es. gli embedded amd geode (alix e co.) hanno un crypt engine aes all'interno che effettua un forte offload del tunnel (per le prestazioni che hanno ovviamente).
- attenzione alle subnet con i vari tunnel, anche se ipsec può essere nattato, la best p consiste nell'avere 3 sottoreti differenti (a differenza dell'openvpn che natta nativamente).
Mi son accorto che ho scritto troppo rispetto alla tua domanda.
Per me ipsec, su 3 pfSense veloce da configurare e solido.
Ciao.
P.s. Dimenticavo: è un leggero sbattimento in più ma piuttosto di una porcata di embedded come netgear, spendi un pochino in più e prendi una alix o simili (soekris..) e configuri il tutto.

[!fazz]

Quote:

Originariamente inviato da taurus

Il quadro che hai fatto è abbastanza completo e per le risorse che metti in campo direi che il compromesso è la creazione di tunnel IPSEC con pfSense. Il tutto è abbastanza fattibile senza essere dei massimi esperti di vpn e reti visto che l'interfaccia web è veramente completa e funzionale (oltre a trovare molta documentazione).
OpenVPN in linea di massima è più sicuro di ipsec ma solo per il fatto che ti obbliga ad utilizzare dei certificati (con ipsec puoi utilizzare delle psk condivise), nel momento in cui usi un certificato con ipsec i sistemi sono equiparabili come sicurezza.
La mia soluzione sicura-ipsec:
- 3 tunnel ipsec psk (mutual-psk, psk abbastanza lunghina e carina) con protocollo SHAX-AESXXX (più sali di crittografia più è sicura ovviamente ma a discapito della banda e di utilizzo di cpu, sha è l'hash - aes è il crypt). Ricorda che più sali di crittografia più banda verrà utilizzata (es. 20MB ->30MB-40MB-50MB...) quindi occhio. In ogni caso il tunnel ipsec si compone su 2 fasi quindi sipuò instaurare il phase1 forte e la phase2 più debole (serve per l'autenticazione NEL tunnel).
Sempre riguardo alle risorse, un hardware con processore aes (es. gli embedded amd geode (alix e co.) hanno un crypt engine aes all'interno che effettua un forte offload del tunnel (per le prestazioni che hanno ovviamente).
- attenzione alle subnet con i vari tunnel, anche se ipsec può essere nattato, la best p consiste nell'avere 3 sottoreti differenti (a differenza dell'openvpn che natta nativamente).
Mi son accorto che ho scritto troppo rispetto alla tua domanda.
Per me ipsec, su 3 pfSense veloce da configurare e solido.
Ciao.
P.s. Dimenticavo: è un leggero sbattimento in più ma piuttosto di una porcata di embedded come netgear, spendi un pochino in più e prendi una alix o simili (soekris..) e configuri il tutto.

ti ringrazio anche se non mi è molto chiaro il discorso sulla banda (da quanto mi ricordi l'uso di aes non comporta un così elevato overhead del payload)

le schede che proponi sono carine ma costano comunque il 50% in più di una soluzione embedded e alla la flessibilità non è una caratteristica richiesta (ma mi prude di comprarne una per uso personale, ci potrei fare un bel serverino con quella bestiola

[taurus]

Quote:

Originariamente inviato da !fazz

ti ringrazio anche se non mi è molto chiaro il discorso sulla banda (da quanto mi ricordi l'uso di aes non comporta un così elevato overhead del payload)

le schede che proponi sono carine ma costano comunque il 50% in più di una soluzione embedded e alla la flessibilità non è una caratteristica richiesta (ma mi prude di comprarne una per uso personale, ci potrei fare un bel serverino con quella bestiola

Si in effetti son stato un po' impreciso da quel punto di vista: diciamo che il trasporto su ipsec aes ha un'efficienza che varia dal 92 all'84% (abbastanza pessimistico, in base alla dimensione del pacchetto), quindi sì nel tuo caso la perdita non è eccessiva.
Per quanto riguarda l'appliance, da una ricerca veloce sul web ho visto che il FVS318GE costa più di 100 euro (115-120). Una alix 2d13 si trova a 86 ivata (o anche di meno forse), il case una decina, l'alimentatore dipende da quale: se non ricordo male ha un range 9-18v 1,5A minimo con connettore standard, una cf da 8GB da 10 euro e sei allo stesso prezzo (escluso il tuo tempo). Oltre a queste considerazioni metti in conto che molte volte appliance tipo netgear implementano vpn non standard che portano alla completa non interoperabilità con molti firewall (cisco, hp, paloalto, fortigate etc etc (in ordine di importanza)).
Ovviamente hai out-of-the-box un Firewall con la F maiuscola (chiamiamolo un next generation firewall "limitato", come piace chiamare ai commerciali i nuovi firewall all in one) con tutto quello che ne deriva.
Una precisazione: la 2d13 dovrebbe supportare un bw filtering di circa 70-80Mb/s, non di più ed un cumulativo di tunnel ipsec per 40-50Mb/s in aes (da verificare più attentamente, non ricordo bene).
A te la scelta, non so come si evolverà l'infrastruttura ma le maggiori cause di disastri son date dall'incompatibilità tra firewall. Esperienza personale su pfSense: 15 ipsec tra 3DES a AES256 con cisco di tutti modelli (da ASA 5505 a 5555, fortigate (che han problemi anche con i cisco) ed ovviamente pfSense).
A te la scelta.
P.s. Dai, ho fatto un po' di pubblicità ai ragazzi di pfSense, se lo meritano.