форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
Сообщение от kreator777 (ok) on 27-Дек-11, 18:04
Здравствуйте уважаемый ALL! Поставлена вроде бы простейшая задача, но не могу придумать её решения в одной железяке. Есть один (!) клиент в офисе, который коннектится в локальную сеть не шнурком, а через вай-фай. И всё бы ничего, да учитывая определенные нюансы нужно максимально секьюрить этот коннект. На WPA2 особой надежды нету, из оборудования пока обычный роутер типа длинка 320-го. Казалось бы, чего там - сейчас полно роутеров, поддерживающих VPN - ан-нет, VPN-то есть, только для внешних клиентов, а у меня как раз самый, что ни на есть внутренний и доступ сразу в локальную сетку должен получать ибо она то проводом в длинку воткнута... Иcкал среди Cisco Small Business продуктов, нашел в серии RV Series Routers - Cisco RV120W Wireless-N VPN Firewall Подскажите граждане - сможет данный девайс решить вопрос? Потом что пока придумал вариант из двух вот таких Cisco WRVS4400N Wireless-N Gigabit Security Router - VPN http://www.cisco.com/en/US/products/ps9931/index.html На одну я коннекчусь чисто в режиме access point, из неё шнурок воткнут в WAN от второго роутера, на айпишник которого я и коннекчусь использую quick VPN, таким образом получая доступ к ресурсам локальной сети за ним. Может есть более гуманное решенв одном девайсе типа описанного RV120W?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
Сообщение от Seva (??) on 27-Дек-11, 22:10
> Может есть более гуманное решенв одном девайсе типа описанного RV120W? Необходимо понять, можно ли по VPN коннектиться к внешнему интерфейсу из внутренней сети.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 28-Дек-11, 00:49
	> Необходимо понять, можно ли по VPN коннектиться к внешнему интерфейсу из внутренней > сети. Ну например обычный цисковский quick VPN не подходит из тех соображений, что среди требований к клиенту у него обязательное функционирование в другой подсети нежели та, что за VPN'ом. То есть коннектиться наверно можно, но в данной ситуации наверно не выход :( Может есть какое другое более продвинутое оборудование, пусть и классом выше?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
Сообщение от кегна on 28-Дек-11, 02:44
>[оверквотинг удален] > Иcкал среди Cisco Small Business продуктов, нашел в серии RV Series Routers > - Cisco RV120W Wireless-N VPN Firewall > Подскажите граждане - сможет данный девайс решить вопрос? > Потом что пока придумал вариант из двух вот таких Cisco WRVS4400N Wireless-N > Gigabit Security Router - VPN http://www.cisco.com/en/US/products/ps9931/index.html > На одну я коннекчусь чисто в режиме access point, из неё шнурок > воткнут в WAN от второго роутера, на айпишник которого я и > коннекчусь использую quick VPN, таким образом получая доступ к ресурсам локальной > сети за ним. > Может есть более гуманное решенв одном девайсе типа описанного RV120W? Я может не правильно понял, но опишу что я думаю. Ну есть локальная сеть... скажем 10.10.х.х хорошо. по вайфаю коннектимся к ней. Отлично. Есть ещё ДМЗ в которой находятся секретные сервера) И шлюз внутренний и внешний для ВПН. Если чуваку надо получить доступ в сеть он его получает по вайфай) Если ему надо на сервера в ДМЗ сеть будет другая скажем 10.30.х.х  прописываются маршруты по дмз... И чувак ходит по впн безпроблем. для внутресетевого впн адрес впн сервера будет один (внутренний). для внешнего внешний. Я не сильный знаток цисок, но думаю такое сможет одна железка. Т.е. в вашем случае надо просто реорганизовать сеть))) Это так мысли в слух)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от fantom (ok) on 28-Дек-11, 10:56
	>[оверквотинг удален] > Есть ещё ДМЗ в которой находятся секретные сервера) И шлюз внутренний и > внешний для ВПН. > Если чуваку надо получить доступ в сеть он его получает по вайфай) > Если ему надо на сервера в ДМЗ сеть будет другая скажем 10.30.х.х >  прописываются маршруты по дмз... И чувак ходит по впн безпроблем. > для внутресетевого впн адрес впн сервера будет один (внутренний). для внешнего > внешний. Я не сильный знаток цисок, но думаю такое сможет одна > железка. > Т.е. в вашем случае надо просто реорганизовать сеть))) Это так мысли в > слух) IPSec с клиентского компа на роутер, ВАФЛЯ-тупо как транспорт?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 28-Дек-11, 15:20
	> IPSec с клиентского компа на роутер, ВАФЛЯ-тупо как транспорт? Ну в общем-то эти девайсы IPSec умеют. Только возникает один момент. В IPSec настройках четко пишем что и куда должно подпадать под политики IPSec'a. И вроде бы с локальной сетью всё ясно, т.к. подсеть локалки будет в политике - а дальше? Шаг влево, шаг вправо и мы ничего не криптуем? То есть например, если проксик лежит в другой маршрутизируемой подсети, то уже всё? Или не так?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от fantom (ok) on 28-Дек-11, 15:25
	>> IPSec с клиентского компа на роутер, ВАФЛЯ-тупо как транспорт? > Ну в общем-то эти девайсы IPSec умеют. > Только возникает один момент. В IPSec настройках четко пишем что и куда > должно подпадать под политики IPSec'a. И вроде бы с локальной сетью > всё ясно, т.к. подсеть локалки будет в политике - а дальше? > Шаг влево, шаг вправо и мы ничего не криптуем? То есть > например, если проксик лежит в другой маршрутизируемой подсети, то уже всё? > Или не так? Сктандартный прием - gre в IPSec, а уже в gre - все что угодно.. оверхед конечно солидный :) зато ехать, а не просто шашечки.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 28-Дек-11, 16:38
	> Сктандартный прием - gre в IPSec, а уже в gre - все > что угодно.. оверхед конечно солидный :) зато ехать, а не просто > шашечки. А как это у клиента выглядеть будет? У него-то обычная win XP...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 28-Дек-11, 16:59
	Вдогонку мысли вслух. А не подойдет ли девайсина по типу Cisco ASA 5505? Вроде как VPN server заявлен. По идее я могу поставить её в разрез между точкой доступа (любой) и моей сеткой и поднять на ней VPN для моего единственного и неповторимого вифи клиента :) софтварь для VPN клиентов у циски ж работоспособный? Какие мнения/советы у уважаемого ALL? :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от кегна on 29-Дек-11, 01:53
	> Вдогонку мысли вслух. > А не подойдет ли девайсина по типу Cisco ASA 5505? > Вроде как VPN server заявлен. > По идее я могу поставить её в разрез между точкой доступа (любой) > и моей сеткой и поднять на ней VPN для моего единственного > и неповторимого вифи клиента :) > софтварь для VPN клиентов у циски ж работоспособный? > Какие мнения/советы у уважаемого ALL? :) я думаю вы не поняли что я описал.. цыска должна стоять не между клиентом и вайфайкой... а на рубеже DMZ.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 29-Дек-11, 15:18
	> я думаю вы не поняли что я описал.. цыска должна стоять не > между клиентом и вайфайкой... > а на рубеже DMZ. Да примерно понял, только ни DMZ и этой самой цыски, которую я туда должен поставить у меня нет. И пожалуй чем так заморачиваться, проще мне будет роутер цисковый взять какой-нить, хоть 2600 серии с ИОСом с поддержкой crypto, да поставить в разрез между WiFi AP и моей локалкой. ASA 5505 здесь выглядит предпочтительней, т.к. есть возможность её взять до 400USD а на ней еще и езернет портов есть, что мне и надо (3 порта воз раб.места этого самого вифи клиента). То есть какбы варианта у меня два или роутер или что-то типо ASA. Если я не прав - с удовольствием готов услышать о других вариантах или поправках :)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от кегна on 29-Дек-11, 17:06
	>[оверквотинг удален] > проще мне будет роутер цисковый взять какой-нить, хоть 2600 серии с > ИОСом с поддержкой crypto, да поставить в разрез между WiFi AP > и моей локалкой. ASA 5505 здесь выглядит предпочтительней, т.к. есть возможность > её взять до 400USD а на ней еще и езернет портов > есть, что мне и надо (3 порта воз раб.места этого самого > вифи клиента). > То есть какбы варианта у меня два или роутер или что-то типо > ASA. > Если я не прав - с удовольствием готов услышать о других вариантах > или поправках :) тогда поставьте опенвпн сервер. у того перца которому надо шифрование поставьте клиента) вот вам и шифрование на сертификатах. клиент будет видеть что установлено шифрованное соединение.. и оно действительно установлено.. ))
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 29-Дек-11, 17:25
	> тогда поставьте опенвпн сервер. > у того перца которому надо шифрование поставьте клиента) > вот вам и шифрование на сертификатах. > клиент будет видеть что установлено шифрованное соединение.. и оно действительно установлено.. > )) Именно так и сделано. Клиент WiFi -> нетбук с WiFi и Ethernet'ом -> Ethernet Switch (локалка). На нетбуке установлена OpenBSD с OpenVPN. КЛиент коннектицца на wifi'ный адаптер на нетбуке находящийся в режиме АР, далее, через опенВПН клиент получает уже реальный айпишник и работает в сети. С виду все красиво, но есть нюансы. С нетбуком беда приключилась, пришлось на ноутбук поменять временно, что не есть правильно с точки зрения подхода. Сетевыми вещами  вообще должно заниматься сетевое железо и ПО. Я так считаю. По сему и ищю девайсину описанную в первом посте. Круг замкнулся, пришли к началу )))
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от кегна on 29-Дек-11, 18:16
	>[оверквотинг удален] > -> Ethernet Switch (локалка). > На нетбуке установлена OpenBSD с OpenVPN. КЛиент коннектицца на wifi'ный адаптер на > нетбуке находящийся в режиме АР, далее, через опенВПН клиент получает уже > реальный айпишник и работает в сети. > С виду все красиво, но есть нюансы. С нетбуком беда приключилась, пришлось > на ноутбук поменять временно, что не есть правильно с точки зрения > подхода. Сетевыми вещами  вообще должно заниматься сетевое железо и ПО. > Я так считаю. По сему и ищю девайсину описанную в первом > посте. > Круг замкнулся, пришли к началу ))) опенвпн сервер может быть установлен в dir-320 если уж вам хочется девайсину. вот вам и АП и опенвпн и вапще все плюшки линукса. с iptables и тд. согласитесь цена dir-320 несколько разнится с cisco asa =)))))
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 29-Дек-11, 19:20
	> вот вам и АП и опенвпн и вапще все плюшки линукса. с > iptables и тд. > согласитесь цена dir-320 несколько разнится с cisco asa =))))) Оно то да, только опять же есть нюансы. Это мне с вами нормально ребутнуть девайс если чего-то там зависло. А есть категория юзероф, с которыми недопустимы такие вещи. И здесь 400 доляров  абсолютно адекватная цена за стабильность работы и личное спокойствие. Вопрос в другом - подходит оно таки или нет?.. Не будет ли нюансов с клиентской стороны? Вот здесь я не знаю - как на ASA vpn'ом коннектиццо. Могут ли быть какие-то потенциальные проблемы/нюансы в работе. Была б возможность проверить, наврено и темы б не было... :)
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от Volodya (??) on 03-Янв-12, 21:33
	http://fortinet-russia.ru/FortiGate/fortiwifi.php
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
Сообщение от XoRe (ok) on 04-Янв-12, 19:42
>  На WPA2 особой надежды нету Для начала стоит обратить внимание сюда. Стоит ли делать VPN, если можно железно обезопасить wifi? Сам по себе wpa2 ломается только методом прямого перебора. Для жутко-безопасного соединения по wifi достаточно (указываю названия опций): - SSID не вещается - нужно настраивать вручную на клиентах(Hide SSID); - авторизация wpa2, шифрование tkip+aes; - пароль от 16 символов, включая маленькие, большие символы, цифры, и всякие !@#$%^; - включить доступ только для указанных MAC адресов (MAC Access Control List); - каждый час менять ключ шифрования (есть такая опция) (Network Key Rotation Interval); - изолировать wifi-клиентов друг от друга (Set AP Isolated) - заковыристые логин и пароль на веб-морду самого роутера; При выполнении всех перечисленных пунктов, никто не пролезет в вашу wifi сеть извне. Естественно, от физических, социальных и термо-ректальных способов не поможет даже vpn. Названия опций взяты из веб-морды прошивки от Олега (d-link dir-320 + прошивка от Олега). Ещё могу порекомендовать прошивку DD-WRT - там тоже есть все эти опции. А так же там есть VPN, если уж так сильно хочется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от kreator777 (ok) on 03-Фев-12, 16:24
	Спасибо всем участвовавшим здесь коллегам! Задачу решил применением весьма интересного роутера Сіsco 881w. Под одной "крышей" в металлической коробочке меньше обычного 16-ти портового свитча в нём уживаются два девайса - роутер и точка доступа, причем каждый со своим собственным ИОСом! Конкретно же, по задаче - были применены WiFi c WPA и L2TP/IPSec. Взломав ключ wifi, злоумышленник получает доступ во внутреннюю, немаршрутизируемую сетку вида 10.0.0/24, а при условии аутентификации через L2TP/IPSec я получаю выход с клиента на WAN, а в моем случае FE4 интерфейс с настроенным на нём корпоративным IP и, соответственно, в корп. сеть. Lovely! Впервые столкнулся с таким зверем - два ИОСа в одной железяке! Но мне весьма понравилось. При стоимости б/у железяки в 300-400 USD весьма неплохой вариант для обеспечения секьюрности вай-фай клиентов. Скажу честно - я весьма доволен :) Будут вопросы - пишите, готов поделиться тем, что знаю!
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Оборудование Cisco для VPN _внутренних_ WiFi клиентов"	+/–
	Сообщение от Aleks305 (ok) on 03-Фев-12, 16:57
	>[оверквотинг удален] > Конкретно же, по задаче - были применены WiFi c WPA и L2TP/IPSec. > Взломав ключ wifi, злоумышленник получает доступ во внутреннюю, немаршрутизируемую сетку > вида 10.0.0/24, а при условии аутентификации через L2TP/IPSec я получаю выход > с клиента на WAN, а в моем случае FE4 интерфейс с > настроенным на нём корпоративным IP и, соответственно, в корп. сеть. Lovely! > Впервые столкнулся с таким зверем - два ИОСа в одной железяке! Но > мне весьма понравилось. При стоимости б/у железяки в 300-400 USD весьма > неплохой вариант для обеспечения секьюрности вай-фай клиентов. Скажу честно - я > весьма доволен :) > Будут вопросы - пишите, готов поделиться тем, что знаю! то есть поверх транспортной сети 10.0.0/24 Вы пустили ipsec/l2tp и клиенты коннектились к ip на FE4 и получали адрес из уже маршрутизируемой подсети? А вы в метро чтоли сеть делали? Я бы назвал это paranoid security))) Но эт не в упрек)Интересно было почитать!
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема