gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
VPN's em Linux/FreeBSD com suporte a clientes MSFT
Contribuído por vd em 20-01-03 17:57
do departamento quest-for-vpn-solution
perguntas pls escreve " Viva! Desde há algum tempo que tenho montada uma VPN entre o meu escritório e a rede de casa. Dá um jeitão partilhar os recursos das duas redes (desde o acesso à Internet, proxies, shares de windows, acesso aos servidores de pré-produção/staging) e chegou a hora de extender as vantagens ao resto do pessoal da empresa. A minha ligação (bridge na realidade) entre as redes né feita com o vtun (excelente e muito simples) mas obriga a firewalls/bridges a correr unix dos dois lados (que muito do meu staff não tem nas suas máquinas de casa). Agora procuro a melhor opção para dar acesso a clientes Windows (directamente, sem necessitar de um unix pelo meio) à rede... sugestões, opiniões e comentários são bem vindos! "

Pintura, escultura, design... a partir do sofá | Mirror do Gildot  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • pls
  • vtun
  • Mais acerca perguntas
  • Também por vd
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    2 hipóteses: (Pontos:2, Informativo)
    por RaTao em 20-01-03 18:10 GMT (#1)
    (Utilizador Info)
    - Bem feito, com IPSec: http://www.freeswan.org/
    - À maneira M$: http://www.poptop.org/


    Regards,
    Nuno Silva aka RaTao
    Re:2 hipóteses: (Pontos:2)
    por pls em 20-01-03 21:46 GMT (#6)
    (Utilizador Info) http://pls.mrnet.pt
    - Bem feito, com IPSec: http://www.freeswan.org/

    Tem que ser mais portável entre servidores unix... FreeBSD e OpenBSD pelo menos preciso que sejam suportados... pelo que não possom seguir por esta via.


    - À maneira M$: http://www.poptop.org/

    Acho que será por aqui se não encontrar melhor alternativa.

    Gracias!

    PLS
    Re:2 hipóteses: (Pontos:1)
    por RaTao em 20-01-03 22:10 GMT (#9)
    (Utilizador Info)
    Hã?

    Não tens nada mais portavel que o freeswan! E podes ter a certeza que funciona com openbsd e freebsd.

    Onde é que foste buscar a ideia que não era compativel com as implementações IPSec de outros unices?


    Regards,
    Nuno Silva aka RaTao
    Re:2 hipóteses: (Pontos:2)
    por pls em 20-01-03 22:52 GMT (#12)
    (Utilizador Info) http://pls.mrnet.pt
    Não tens nada mais portavel que o freeswan! E podes ter a certeza que funciona com openbsd e freebsd.

    No primeiro freebsd em que entrei cd /usr/ports/net/poptop existe... e o freeswan não. Na página também não encontro referência a ports para FreeBSD e OpenBSD...

    Tenho de procurar mais...

    PLS
    Re:2 hipóteses: (Pontos:2, Informativo)
    por RaTao em 20-01-03 23:16 GMT (#13)
    (Utilizador Info)
    Ahhhhhhhhhhh!

    Não é nada disso! :)
    O freeswan é IPSec para Linux.

    Para openBSD e freeBSD tens outros packages (isakmpd e kame) que implementam IPSec para essas plataformas.

    Vê as coisas assim: IPSec é IPSec. Não precisas de ter freeswan para windows2000 para poder "falar" IPSec entre Linux (freeswan) e win2000 :) A mesma coisa com os outros unices.

    RTM ;)


    Regards,
    Nuno Silva aka RaTao
    Re:2 hipóteses: (Pontos:2)
    por pls em 21-01-03 4:39 GMT (#20)
    (Utilizador Info) http://pls.mrnet.pt
    Ahhhhhhhhhhh!
    Não é nada disso! :)
    O freeswan é IPSec para Linux.
    Para openBSD e freeBSD tens outros packages (isakmpd e kame) que implementam IPSec para essas plataformas.
    Vê as coisas assim: IPSec é IPSec. Não precisas de ter freeswan para windows2000 para poder "falar" IPSec entre Linux (freeswan) e win2000 :) A mesma coisa com os outros unices.
    RTM ;)
    Estou precisamente a ler um porradão deles...

    Obrigado pelo empurrão que torna bastante mais rápido o processo...

    PLS
    hipotese 3 (Pontos:1)
    por nvieira em 21-01-03 1:10 GMT (#15)
    (Utilizador Info)
    podes sempre fazer o pay-swan-seed :)
    Re:hipotese 3 (Pontos:2)
    por pls em 21-01-03 4:40 GMT (#21)
    (Utilizador Info) http://pls.mrnet.pt
    podes sempre fazer o pay-swan-seed :)

    Não me parece... :-))

    PLS
    Re:2 hipóteses: (Pontos:1)
    por niness em 21-01-03 1:18 GMT (#17)
    (Utilizador Info)
    Escusas de procurar..

    OpenBSD já tem IPSec integrado (isakmpd), e não, não sao packages, por isso é natural que não encontres
    nenhum port/package.
    (FreeBSD não faço idéia)

    Paulinho.. não és um ninja total! Shame on you. :)
    Re:2 hipóteses: (Pontos:2)
    por pls em 21-01-03 4:36 GMT (#19)
    (Utilizador Info) http://pls.mrnet.pt
    Escusas de procurar..
    OpenBSD já tem IPSec integrado (isakmpd), e não, não sao packages, por isso é natural que não encontres nenhum port/package. (FreeBSD não faço idéia)
    Paulinho.. não és um ninja total! Shame on you. :)


    Há muitas variantes de kung fu... esta não domino de todo... estou a meter as mãos na lama e a aprender a guinchar à bruce lee... :-)))

    Por isso é que perguntei...

    PLS
    Re:2 hipóteses: (Pontos:1)
    por nvieira em 21-01-03 1:17 GMT (#16)
    (Utilizador Info)
    tenho implementacoes feitas com freeswan + ssh sentinel nos clientes, e rula na perfeiçao. ve mais info aqui: http://www.ssh.com/products/security/sentinel/
    Sugestão para o teu staff (Pontos:0, Engraçado)
    por Anonimo Cobarde em 20-01-03 18:37 GMT (#2)
    RTFM :-)
    Re:Sugestão para o teu staff (Pontos:2)
    por pls em 20-01-03 21:48 GMT (#7)
    (Utilizador Info) http://pls.mrnet.pt
    RTFM :-)

    Sempre uma boa sugestão.

    PLS
    vtun (Pontos:0, Interessante)
    por Anonimo Cobarde em 20-01-03 19:50 GMT (#3)
    Não esquecer que o vtun é vulnerável a ataques por repetição.
    Re:vtun (Pontos:2)
    por pls em 20-01-03 21:50 GMT (#8)
    (Utilizador Info) http://pls.mrnet.pt
    Não esquecer que o vtun é vulnerável a ataques por repetição.

    Não me esqueço... nada como uma monitorização constante para este tipo de avarias. PLS
    PPTP/IPSEC. (Pontos:2)
    por leitao em 20-01-03 20:49 GMT (#4)
    (Utilizador Info) http://scaletrix.com/nuno/
    Como o RaTao ja' disse, ou usas IPSEC (o win2000/XP suportam nativamente), ou entao podes usar PPTP que vem com os Windows todos.

    O IPSEC e' bastante mais flexivel mas exige algo no teu escritorio que implemente o fim do tunel (um Windows2000, firewall ou um servidor Linux com freeswan) -- o PPTP por sua vez apenas necessita de uma maquina Win32 no fim do tunel.

    Note-se no entanto que se as pessoas em casa tiverem, por exemplo, ADSL com uma firewall e' preciso a firewall suportar IPSEC-pass through.


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:PPTP/IPSEC. (Pontos:2)
    por xeon em 20-01-03 21:27 GMT (#5)
    (Utilizador Info) http://pthelp.org
    Err..

    "o PPTP por sua vez apenas necessita de uma maquina Win32 no fim do tunel"

    Conforme referido acima pelo rato grande, pode-se usar PPTP do lado do server (fim do tunel):

    http://www.poptop.org

    No need for windoooz.

    --
    Whatever !! [UrT Quote]

    Re:PPTP/IPSEC. (Pontos:2)
    por leitao em 20-01-03 22:16 GMT (#10)
    (Utilizador Info) http://scaletrix.com/nuno/
    Conforme referido acima pelo rato grande, pode-se usar PPTP do lado do server (fim do tunel):

    Acho que nao percebeste o que quis dizer -- se no escritorio ha' uma maquina Win32 (deve haver muitas), nao e' preciso mais nada. i.e., nao precisas de instalar pppd+mschap num Linux.


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:PPTP/IPSEC. (Pontos:2, Informativo)
    por RaTao em 20-01-03 22:37 GMT (#11)
    (Utilizador Info)
    Normalmente as tais (muitas) máquinas win32 estão atrás de uma firewall... E PPtP, assim como IPSec, não gosta que se mexa nos seus pacotes (ehehehe).
    (Fazer um tcp bouncer da porta 1723(?) não chega)

    I.e. tens que fazer sempre qualquer coisa mais, num caso destes. Ou andar às cabeçadas com o iptables ou instalar um pptp-proxy na firewall/gateway. http://www.mgix.com/pptpproxy/ É o que normalmente uso.


    Regards,
    Nuno Silva aka RaTao
    PPTP ou IpSec (Pontos:3, Informativo)
    por jpgm em 21-01-03 0:05 GMT (#14)
    (Utilizador Info)
    Tens 2 hipoteses imediatas com servidor em linux, IPSec ou PPTP. Já usei os dois, achei o pptp mais fácil de configurar, principalmente a nível do cliente, dois ou três clicks e já está, achei o IPSec bastante mais estável e menos permeável a linhas lentas, latencias, etc... Atenção que se usares PPTP com servidor em linux perdes a compressão de dados, pelo que me lembro o algoritmo era proprietário e não estava disponivel para outras plataformas não windows, não sei como estará agora.
    Tens ainda outras hipoteses,
    agarrar numa distribuição dedicada, baseada em linux ou não, que te ofereça um servidor de VPNs imediato, existem várias disponiveis, eu uso a Astaro Security Linux, alem de servidor vpn (ipsec e pptp), faz de proxy (squid), relay de mails, masquerade ou nat, dhcp server, accounting de uso da rede, etc... tem a desvantagem de não ser de borla para uso comercial, mas, na minha modesta opinião, vale a pena testar durante 30 dias... e se servir não é incrivelmente cara (cerca de 80 contos para a licença base)
    Podes ainda comprar um servidor VPN dedicado, por hardware. Se tiveres muito dinheiro vai para um Cisco se tiveres pouco dinheiro podes ir, por exemplo, para um linksys, que é (relativamente) barato, cerca de 70 contos, e compra-se na Fnac!

    seja como for posso aconselhar-te alguns dos links que segui quando andei a fazer a minha:
    -Setting up a VPN Gateway
    -lista de distribuições dedicadas
    -etc...
    Cumprimentos! zp
    Ipsec et all (Pontos:4, Esclarecedor)
    por Fred em 21-01-03 2:13 GMT (#18)
    (Utilizador Info)
    Bem, como aqui já foi dito, tens duas opções: usas Ipsec ou PPTP. Acabei de configurar à pouco tempo um gw Ipsec (FreeSWAN) / PPTP no sitio onde trabalho para acesso remoto e pela experiência que tive, aponto algumas 'dicas'. Se o que tu queres é ligar-te remotamente numa configuração do tipo RoadWarrior (host->network) com clientes Windows2000/XP, usando Ipsec, e dado a natureza do Ipsec, consegues ter apenas um tunel ponto a ponto entre o teu endereço IP público e o office-gw, já que o protocolo é peer-to-peer. A grande questão é que tu desejas obter um endereço´'virtual' como se estivesses dentro da tua rede do escritório. Se usares os clientes nativos da M$, vais ter que configurar um L2TPD a correr no office-gw para que um túnel PPP seja criado e tenhas um endereço IP de uma pool que pertença à tua office-network. O proxyarp do pptpd faz com que esse endereço IP que te pertence seja 'visto' por toda a rede. Só assim é que consegues ter IPsec no cliente nativo do Windows/XP. É possível teres IPsec sem L2TP, mas não acho que seja uma opção muito prática. A desvantagem é que passas a ter 3 layers, portanto mais overhead (ipsec (crypto) -> l2tp -> ppp). Mais informações sobre esta configuração, podes ver aqui. Quanto a crypto em si, tens duas opções, tens DES ou 3DES, apenas. Recomenda-se óbviamente o 3DES. Outra abordagem é utilizares um cliente da SSH.com, o SSH Sentinel. A vantagem é que este é um *real* Ipsec client, suporta uma data de configurações, e obtem o teu endereço 'virtual' via dhcp, configurado numa interface virtual. O truque é usares um dhcprelay no teu office-gw, que faça forwarding do tráfego de dhcp para um dhcp teu interno ou no próprio gw. As vantagens desta configuração é que funciona :-) impecavelmente, suporta um monte de new crypto (blowfish e o novo aes, em que podes obter mais performance) e tens suporte de Nat Traversal (para evitar dores de cabeça para quem se liga por uma NAT box). Como desvantagem, tens que comprar o cliente e sempre é mais uma tarefa a adicionar na configuração do RoadWarrior. Quanto ao FreeSWAN, aconselho-te a usares o patch x509 para que utilizes a autenticação por certificados da parte de clientes. É mais seguro do que a utilização de um shared-secret. Se quiseres Nat-Traversal, new crypto, entre outras features, usas o Super FreeS/WAN patch. Tens os RPM's aqui. Aconselho-te primeiro a configurares um túnel com shared-secret e depois, se tudo correr bem, passas ao x509. Por último, quanto ao PPTP, como foi já indicado, este é um protocolo que a Microsoft apostou a sério (duvido que a Microsoft aposte realmente em Ipsec) e portanto, é o mais prático de configurares para clientes Windows. Da parte do servidor, usei o Poptop. É fácil de configurar, já que o túnel que é estabelecido é um túnel GRE, onde existe uma ligação PPP autenticada por CHAP/PAP. Aconselho-te como é óbvio, o CHAP. Atenção que o PPTP foi considerado inseguro tal como o MSCHAP. Para te sentires um pouco mais seguro, tens um patch para o suporte de MSCHAPv2 no pppd. A nível de crypto, a Microsoft usa um protocolo chamado MPPE (Microsoft Point-to-Point Encryption), e para a compressão usa o MPPC (sim, como era de esperar, o Microsoft Point-to-Point Compression). Se quiseres suportar isto no teu office-gw, tens que compilar o kernel com o suporte para MPPE/MPPC, bem como o próprio pppd. Tens aqui os patches. Funciona-me a 100% com clientes Windows XP, Mac OSX, mas não testei ainda com 2000. A autenticação é por MSCHAPv2. Infelizmente, o Poptop não suporta x509 authentication. Bem, boa sorte e diverte-te!
    VPN com Linux e Windows2000 (Pontos:1)
    por brlinux em 28-01-03 18:26 GMT (#22)
    (Utilizador Info)
    Se eu tiver um servidor Linux servindo a internet e um servidor de arquivos windows2000 na minha rede interna. Como faço para criar uma VPN que veja os arquivos do M$????

     

     

    [ Topo | FAQ | Editores | Contacto ]