it-swarm-eu.dev

Více VPN klientů současně

Kdybych měl na svém počítači provozovat současně více klientů VPN, jaká by to byla rizika?

Např. jsou technické konflikty takové, že by to nefungovalo správně?

Mohly by existovat konflikty při řešení problémů?

Strašidelnější, může přenos z jedné sítě přes můj stroj do druhé sítě?
Nebo může být můj provoz omylem přemístěn do nesprávné sítě?


Pokud je to důležité, klienty VPN, které používám, jsou Juniper Network Connect a Cisco AnyConnect (na plně opraveném a zatvrzeném systému Windows7). O vzdálených koncových bodech moc nevím ...

12
AviD

Použil jsem klientský software VPN v systému Mac OS X, který unesl výchozí cestu k odeslání veškerého provozu tunelem (ve skutečnosti, pokud mi paměť slouží správně, to bylo Cisco). Pokud by byli nainstalováni dva tito klienti, nebo dokonce jeden a zdravý klient, pak odpověď na otázku „kam tento paket půjde?“ bude záviset na čase a implementaci. Pravděpodobné možnosti jsou, že jeden z klientů „vyhraje“ a vyzvedne veškerý provoz, nebo že jeden z tunelů je implementován prostřednictvím druhého. Co se stane v takovém případě na Windows, je mimo mě.

Když mluvíte o konfliktech „řešení adres“, záleží na tom, co máte na mysli. Pokud máte na mysli ARP řešení, neměl by to být problém. Stejně jako u každého systému připojeného ke dvěma sítím by měla být v MAC adresách dostatečná jedinečnost, aby nedošlo ke kolizím. Pokud jde o rozlišení DNS, záleží to na konkrétních implementacích klientů VPN a klientské schránky v soukromé síti. Pokud se chovají správně, mělo by být možné použít server DNS přes privátní síť nebo veřejnou síť (všimněte si však možnosti kolizí názvů na počítačích v klientských doménách vyhledávání). Pokud se nebudou chovat, pak to opět záleží na specifikách situace.

7
user185

Na zcela základní úrovni VPN emuluje „soukromou síť“, jejímž účelem je obecně izolovat od internetu. "V" znamená, že taková izolace se provádí spíše kryptograficky než fyzicky; model je však stále „samostatnými kabely“. Pokud je váš počítač současně součástí dvou sítí VPN, soukromé privátní sítě již nejsou izolovány. To bývá v rozporu se samotným důvodem, proč byly soukromé sítě založeny na prvním místě.

Implementace VPN se nazývá taková, protože aplikace ji nemusí znát. Aplikace používají standardní internetové protokoly (DNS pro překlad názvů, TCP a UDP sokety ...) a VPN zvedá přenos a transparentně provádí svoji magii. směrovací tabulky systému, pro příjem paketů určených pro danou třídu adres. Dvě sítě VPN mohou fungovat paralelně, pouze pokud se adresy používané ve dvou soukromých sítích nepřekrývají - a to není snadné dosáhnout, protože soukromé sítě jsou soukromé, nepoužívejte schéma globálního přidělování adres. Soukromé sítě se obvykle snaží o „soukromé třídy“, jako je 10. *. *. * a 192.168. *. *.

DNS je dobrým příkladem problému současného přístupu ke dvěma soukromým sítím. Pokud aplikace chce přistupovat k počítači s názvem „příklad“, neví, ve které síti je. To je smysl soukromých sítí: aplikace si nemusí být vědomy existence soukromé sítě. Soukromá síť hostuje svůj vlastní jmenný server, který dokáže přeložit názvy strojů, které hostuje. Pokud propojíte dvě VPN, budete muset pro každé rozlišení jmen hovořit s oběma jmennými servery. Proto jmenný server ze soukromé sítě 1 bude také přijímat žádosti o překlad názvů pro jména, která jsou v soukromé síti 2. Toto je rybí. A pokud se v obou sítích používá stejné jméno, pak se všechno peklo uvolní. To je stejný problém než překrývající se IP adresy, přeložené do prostoru jmen.

Pokud váš počítač funguje také jako směrovač, bude pak směrovat pakety z jedné VPN na druhou. V systému Linux je to tak jednoduché jako:

echo 1 > /proc/sys/net/ipv4/ip_foward

které pro vás některé distribuce Linuxu udělají, pokud jste o to požádali v době instalace. V závislosti na uživateli ne dělat něco takového vypadá riskantně.

Abych to shrnul, normální model pro VPN je:

  • daný uživatelský systém je součástí VPN, pouze VPN (a tedy pouze jeden VPN);
  • pokud systém musí být schopen mluvit s „vnějším světem“, může tak učinit pouze prostřednictvím vyhrazené brány, která je z pohledu uživatelského systému součástí VPN.

Zejména systém připojený k VPN nesmí být propojen současně s jinou sítí, ať už jde o VPN nebo obecně o internet. Správný software VPN ukradne výchozí trasu a ujistí se, že vidí veškerý příchozí a odchozí provoz celého systému. To přirozeně netoleruje současnou přítomnost jiné VPN.

12
Thomas Pornin

Způsob, jakým pracuji, když potřebuji použít více klientů VPN, je spouštím pod VM. To pro mě v současné době funguje velmi dobře a vyhýbáme se konfliktům, které Graham a Thomas zmínili - jinak můžete najít OS, který při odesílání provozu dělá podivné věci (zejména ve Windows)

Znamená to také, že se snadno neděláte chyby při odesílání dat pro jednu VPN dolů za druhou (to, co dělám, je pozadí v každé VM přizpůsobené pro každé prostředí)

Budete muset sledovat své bezpečnostní požadavky. Ujistěte se, že směrování mezi VM neexistuje, je zde dobré (tm).

6
Rory Alsop

Navrhuji, abyste se obrátili na Juniper i Cisco a přihlásili se k testování svého klientského softwaru. Pochybuji, že každá společnost by tuto konfiguraci otestovala sama. Pokud máte nějaký problém, představuji si, že by vás technická podpora požádala o odebrání klienta VPN ostatních společností a pokusila se o přístup k síti znovu.

A co je důležitější, myslím, že pravděpodobně někoho porušíte bezpečnostní politiku. Při vytváření připojení VPN k webu - vytvoření důvěryhodného připojení. Zdá se, že se chcete připojit ke dvěma různým důvěryhodným sítím současně. Pokud jsem spravoval hlavní stanici VPN, zavolal bych na přístup k mému webu prostřednictvím jedné sítě VPN a webu někoho jiného prostřednictvím jiné sítě VPN, což znamená narušení zabezpečení čekající na zneužití.

1
OhBrian

Ne pro nic za nic, ale OS X 10.6.x + vám umožní připojení k více IPSec VPN současně. Pokud jde o průchod VŠECHNY komunikace přes tunel VPN, ano, jedná se o výchozí chování, ačkoli Cisco (a jsem si jistý, že to samé existuje i pro ostatní dodavatele, jako je Juniper atd.) Má techniku ​​nazvanou „split-tunneling“, kde pouze část vašeho provozu prochází tunelem, tj. chráněnými sítěmi, které pro vás nakonfiguroval správce vaší sítě. Pokud provoz není určen pro jednu z těchto sítí, pak zhasne vaše běžné připojení WAN). Může to být pěkné, protože to umožňuje klientům VPN přístup k internetovým omezením bez omezení, ale také má přístup k podnikové zdroje. To také snižuje zatížení podnikových serverů VPN, protože již nezpracovávají tolik provozu.

Pokud jde o skutečné použití integrovaného klienta OS X VPN pro připojení k více než jedné VPN najednou, myslím si, že by to také bylo v přímém porušení firemní bezpečnostní politiky. Pokud používáte klienta, jako je například Cisco AnyConnect, NESMÍTE se připojit více než 1 instanci VPN současně (AnyConnect je určen pouze pro SSL VPN, vestavěný klient OS X Cisco VPN je určen pouze pro VPN IPSec).

0
Ronan McGurn