URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23410
[ Назад ]

Исходное сообщение
"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"

Отправлено kreator777 , 27-Дек-11 18:04 
Здравствуйте уважаемый ALL!
Поставлена вроде бы простейшая задача, но не могу придумать её решения в одной железяке.
Есть один (!) клиент в офисе, который коннектится в локальную сеть не шнурком, а через вай-фай.
И всё бы ничего, да учитывая определенные нюансы нужно максимально секьюрить этот коннект.
На WPA2 особой надежды нету, из оборудования пока обычный роутер типа длинка 320-го.
Казалось бы, чего там - сейчас полно роутеров, поддерживающих VPN - ан-нет, VPN-то есть,
только для внешних клиентов, а у меня как раз самый, что ни на есть внутренний и доступ сразу в локальную сетку должен получать ибо она то проводом в длинку воткнута...
Иcкал среди Cisco Small Business продуктов, нашел в серии RV Series Routers - Cisco RV120W Wireless-N VPN Firewall
Подскажите граждане - сможет данный девайс решить вопрос?
Потом что пока придумал вариант из двух вот таких Cisco WRVS4400N Wireless-N Gigabit Security Router - VPN http://www.cisco.com/en/US/products/ps9931/index.html
На одну я коннекчусь чисто в режиме access point, из неё шнурок воткнут в WAN от второго роутера, на айпишник которого я и коннекчусь использую quick VPN, таким образом получая доступ к ресурсам локальной сети за ним.
Может есть более гуманное решенв одном девайсе типа описанного RV120W?

Содержание

Сообщения в этом обсуждении
"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено Seva , 27-Дек-11 22:10 

> Может есть более гуманное решенв одном девайсе типа описанного RV120W?

Необходимо понять, можно ли по VPN коннектиться к внешнему интерфейсу из внутренней сети.


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 28-Дек-11 00:49 
> Необходимо понять, можно ли по VPN коннектиться к внешнему интерфейсу из внутренней
> сети.

Ну например обычный цисковский quick VPN не подходит из тех соображений, что среди требований к клиенту у него обязательное функционирование в другой подсети нежели та, что за VPN'ом.
То есть коннектиться наверно можно, но в данной ситуации наверно не выход :(
Может есть какое другое более продвинутое оборудование, пусть и классом выше?



"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено кегна , 28-Дек-11 02:44 
>[оверквотинг удален]
> Иcкал среди Cisco Small Business продуктов, нашел в серии RV Series Routers
> - Cisco RV120W Wireless-N VPN Firewall
> Подскажите граждане - сможет данный девайс решить вопрос?
> Потом что пока придумал вариант из двух вот таких Cisco WRVS4400N Wireless-N
> Gigabit Security Router - VPN http://www.cisco.com/en/US/products/ps9931/index.html
> На одну я коннекчусь чисто в режиме access point, из неё шнурок
> воткнут в WAN от второго роутера, на айпишник которого я и
> коннекчусь использую quick VPN, таким образом получая доступ к ресурсам локальной
> сети за ним.
> Может есть более гуманное решенв одном девайсе типа описанного RV120W?

Я может не правильно понял, но опишу что я думаю.
Ну есть локальная сеть... скажем 10.10.х.х хорошо. по вайфаю коннектимся к ней. Отлично.
Есть ещё ДМЗ в которой находятся секретные сервера) И шлюз внутренний и внешний для ВПН.
Если чуваку надо получить доступ в сеть он его получает по вайфай)
Если ему надо на сервера в ДМЗ сеть будет другая скажем 10.30.х.х  прописываются маршруты по дмз... И чувак ходит по впн безпроблем. для внутресетевого впн адрес впн сервера будет один (внутренний). для внешнего внешний. Я не сильный знаток цисок, но думаю такое сможет одна железка.

Т.е. в вашем случае надо просто реорганизовать сеть))) Это так мысли в слух)


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено fantom , 28-Дек-11 10:56 
>[оверквотинг удален]
> Есть ещё ДМЗ в которой находятся секретные сервера) И шлюз внутренний и
> внешний для ВПН.
> Если чуваку надо получить доступ в сеть он его получает по вайфай)
> Если ему надо на сервера в ДМЗ сеть будет другая скажем 10.30.х.х
>  прописываются маршруты по дмз... И чувак ходит по впн безпроблем.
> для внутресетевого впн адрес впн сервера будет один (внутренний). для внешнего
> внешний. Я не сильный знаток цисок, но думаю такое сможет одна
> железка.
> Т.е. в вашем случае надо просто реорганизовать сеть))) Это так мысли в
> слух)

IPSec с клиентского компа на роутер, ВАФЛЯ-тупо как транспорт?


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 28-Дек-11 15:20 
> IPSec с клиентского компа на роутер, ВАФЛЯ-тупо как транспорт?

Ну в общем-то эти девайсы IPSec умеют.
Только возникает один момент. В IPSec настройках четко пишем что и куда должно подпадать под политики IPSec'a. И вроде бы с локальной сетью всё ясно, т.к. подсеть локалки будет в политике - а дальше? Шаг влево, шаг вправо и мы ничего не криптуем? То есть например, если проксик лежит в другой маршрутизируемой подсети, то уже всё?
Или не так?


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено fantom , 28-Дек-11 15:25 
>> IPSec с клиентского компа на роутер, ВАФЛЯ-тупо как транспорт?
> Ну в общем-то эти девайсы IPSec умеют.
> Только возникает один момент. В IPSec настройках четко пишем что и куда
> должно подпадать под политики IPSec'a. И вроде бы с локальной сетью
> всё ясно, т.к. подсеть локалки будет в политике - а дальше?
> Шаг влево, шаг вправо и мы ничего не криптуем? То есть
> например, если проксик лежит в другой маршрутизируемой подсети, то уже всё?
> Или не так?

Сктандартный прием - gre в IPSec, а уже в gre - все что угодно.. оверхед конечно солидный :) зато ехать, а не просто шашечки.


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 28-Дек-11 16:38 
> Сктандартный прием - gre в IPSec, а уже в gre - все
> что угодно.. оверхед конечно солидный :) зато ехать, а не просто
> шашечки.

А как это у клиента выглядеть будет? У него-то обычная win XP...



"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 28-Дек-11 16:59 
Вдогонку мысли вслух.
А не подойдет ли девайсина по типу Cisco ASA 5505?
Вроде как VPN server заявлен.
По идее я могу поставить её в разрез между точкой доступа (любой) и моей сеткой и поднять на ней VPN для моего единственного и неповторимого вифи клиента :)
софтварь для VPN клиентов у циски ж работоспособный?
Какие мнения/советы у уважаемого ALL? :)



"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено кегна , 29-Дек-11 01:53 
> Вдогонку мысли вслух.
> А не подойдет ли девайсина по типу Cisco ASA 5505?
> Вроде как VPN server заявлен.
> По идее я могу поставить её в разрез между точкой доступа (любой)
> и моей сеткой и поднять на ней VPN для моего единственного
> и неповторимого вифи клиента :)
> софтварь для VPN клиентов у циски ж работоспособный?
> Какие мнения/советы у уважаемого ALL? :)

я думаю вы не поняли что я описал.. цыска должна стоять не между клиентом и вайфайкой...
а на рубеже DMZ.


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 29-Дек-11 15:18 

> я думаю вы не поняли что я описал.. цыска должна стоять не
> между клиентом и вайфайкой...
> а на рубеже DMZ.

Да примерно понял, только ни DMZ и этой самой цыски, которую я туда должен поставить у меня нет. И пожалуй чем так заморачиваться, проще мне будет роутер цисковый взять какой-нить, хоть 2600 серии с ИОСом с поддержкой crypto, да поставить в разрез между WiFi AP и моей локалкой. ASA 5505 здесь выглядит предпочтительней, т.к. есть возможность её взять до 400USD а на ней еще и езернет портов есть, что мне и надо (3 порта воз раб.места этого самого вифи клиента).
То есть какбы варианта у меня два или роутер или что-то типо ASA.
Если я не прав - с удовольствием готов услышать о других вариантах или поправках :)



"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено кегна , 29-Дек-11 17:06 
>[оверквотинг удален]
> проще мне будет роутер цисковый взять какой-нить, хоть 2600 серии с
> ИОСом с поддержкой crypto, да поставить в разрез между WiFi AP
> и моей локалкой. ASA 5505 здесь выглядит предпочтительней, т.к. есть возможность
> её взять до 400USD а на ней еще и езернет портов
> есть, что мне и надо (3 порта воз раб.места этого самого
> вифи клиента).
> То есть какбы варианта у меня два или роутер или что-то типо
> ASA.
> Если я не прав - с удовольствием готов услышать о других вариантах
> или поправках :)

тогда поставьте опенвпн сервер.
у того перца которому надо шифрование поставьте клиента)
вот вам и шифрование на сертификатах.

клиент будет видеть что установлено шифрованное соединение.. и оно действительно установлено.. ))


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 29-Дек-11 17:25 
> тогда поставьте опенвпн сервер.
> у того перца которому надо шифрование поставьте клиента)
> вот вам и шифрование на сертификатах.
> клиент будет видеть что установлено шифрованное соединение.. и оно действительно установлено..
> ))

Именно так и сделано. Клиент WiFi -> нетбук с WiFi и Ethernet'ом -> Ethernet Switch (локалка).
На нетбуке установлена OpenBSD с OpenVPN. КЛиент коннектицца на wifi'ный адаптер на нетбуке находящийся в режиме АР, далее, через опенВПН клиент получает уже реальный айпишник и работает в сети.
С виду все красиво, но есть нюансы. С нетбуком беда приключилась, пришлось на ноутбук поменять временно, что не есть правильно с точки зрения подхода. Сетевыми вещами  вообще должно заниматься сетевое железо и ПО. Я так считаю. По сему и ищю девайсину описанную в первом посте.
Круг замкнулся, пришли к началу )))


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено кегна , 29-Дек-11 18:16 
>[оверквотинг удален]
> -> Ethernet Switch (локалка).
> На нетбуке установлена OpenBSD с OpenVPN. КЛиент коннектицца на wifi'ный адаптер на
> нетбуке находящийся в режиме АР, далее, через опенВПН клиент получает уже
> реальный айпишник и работает в сети.
> С виду все красиво, но есть нюансы. С нетбуком беда приключилась, пришлось
> на ноутбук поменять временно, что не есть правильно с точки зрения
> подхода. Сетевыми вещами  вообще должно заниматься сетевое железо и ПО.
> Я так считаю. По сему и ищю девайсину описанную в первом
> посте.
> Круг замкнулся, пришли к началу )))

опенвпн сервер может быть установлен в dir-320 если уж вам хочется девайсину.
вот вам и АП и опенвпн и вапще все плюшки линукса. с iptables и тд.
согласитесь цена dir-320 несколько разнится с cisco asa =)))))


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 29-Дек-11 19:20 

> вот вам и АП и опенвпн и вапще все плюшки линукса. с
> iptables и тд.
> согласитесь цена dir-320 несколько разнится с cisco asa =)))))

Оно то да, только опять же есть нюансы. Это мне с вами нормально ребутнуть девайс если чего-то там зависло. А есть категория юзероф, с которыми недопустимы такие вещи.
И здесь 400 доляров  абсолютно адекватная цена за стабильность работы и личное спокойствие.
Вопрос в другом - подходит оно таки или нет?..
Не будет ли нюансов с клиентской стороны? Вот здесь я не знаю - как на ASA vpn'ом коннектиццо. Могут ли быть какие-то потенциальные проблемы/нюансы в работе.
Была б возможность проверить, наврено и темы б не было... :)


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено Volodya , 03-Янв-12 21:33 
http://fortinet-russia.ru/FortiGate/fortiwifi.php


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено XoRe , 04-Янв-12 19:42 
>  На WPA2 особой надежды нету

Для начала стоит обратить внимание сюда.
Стоит ли делать VPN, если можно железно обезопасить wifi?
Сам по себе wpa2 ломается только методом прямого перебора.

Для жутко-безопасного соединения по wifi достаточно (указываю названия опций):
- SSID не вещается - нужно настраивать вручную на клиентах(Hide SSID);
- авторизация wpa2, шифрование tkip+aes;
- пароль от 16 символов, включая маленькие, большие символы, цифры, и всякие !@#$%^;
- включить доступ только для указанных MAC адресов (MAC Access Control List);
- каждый час менять ключ шифрования (есть такая опция) (Network Key Rotation Interval);
- изолировать wifi-клиентов друг от друга (Set AP Isolated)
- заковыристые логин и пароль на веб-морду самого роутера;

При выполнении всех перечисленных пунктов, никто не пролезет в вашу wifi сеть извне.
Естественно, от физических, социальных и термо-ректальных способов не поможет даже vpn.

Названия опций взяты из веб-морды прошивки от Олега (d-link dir-320 + прошивка от Олега).
Ещё могу порекомендовать прошивку DD-WRT - там тоже есть все эти опции.
А так же там есть VPN, если уж так сильно хочется.


"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено kreator777 , 03-Фев-12 16:24 
Спасибо всем участвовавшим здесь коллегам!
Задачу решил применением весьма интересного роутера Сіsco 881w.
Под одной "крышей" в металлической коробочке меньше обычного 16-ти портового свитча в нём уживаются два девайса - роутер и точка доступа, причем каждый со своим собственным ИОСом!
Конкретно же, по задаче - были применены WiFi c WPA и L2TP/IPSec.
Взломав ключ wifi, злоумышленник получает доступ во внутреннюю, немаршрутизируемую сетку вида 10.0.0/24, а при условии аутентификации через L2TP/IPSec я получаю выход с клиента на WAN, а в моем случае FE4 интерфейс с настроенным на нём корпоративным IP и, соответственно, в корп. сеть. Lovely!
Впервые столкнулся с таким зверем - два ИОСа в одной железяке! Но мне весьма понравилось. При стоимости б/у железяки в 300-400 USD весьма неплохой вариант для обеспечения секьюрности вай-фай клиентов. Скажу честно - я весьма доволен :)
Будут вопросы - пишите, готов поделиться тем, что знаю!



"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"
Отправлено Aleks305 , 03-Фев-12 16:57 
>[оверквотинг удален]
> Конкретно же, по задаче - были применены WiFi c WPA и L2TP/IPSec.
> Взломав ключ wifi, злоумышленник получает доступ во внутреннюю, немаршрутизируемую сетку
> вида 10.0.0/24, а при условии аутентификации через L2TP/IPSec я получаю выход
> с клиента на WAN, а в моем случае FE4 интерфейс с
> настроенным на нём корпоративным IP и, соответственно, в корп. сеть. Lovely!
> Впервые столкнулся с таким зверем - два ИОСа в одной железяке! Но
> мне весьма понравилось. При стоимости б/у железяки в 300-400 USD весьма
> неплохой вариант для обеспечения секьюрности вай-фай клиентов. Скажу честно - я
> весьма доволен :)
> Будут вопросы - пишите, готов поделиться тем, что знаю!

то есть поверх транспортной сети 10.0.0/24 Вы пустили ipsec/l2tp и клиенты коннектились к ip на FE4 и получали адрес из уже маршрутизируемой подсети?
А вы в метро чтоли сеть делали?
Я бы назвал это paranoid security)))
Но эт не в упрек)Интересно было почитать!