locked
Jakou vybrat VPN?

    Dotaz

  • Zdravím,

    hledám možnosti VPN připojení pro naši organizaci. Zatím tu pro VPN přístup používáme kombinaci serverů dalších firem a pptp běžící na Serveru 2008 R2. Naše prostředí: Active Directory - server 2008 R2, Certifikační autorita je pouze lokální, síť je za NATem a firewallem jiných výrobců.

    Naši uživatelé potřebují VPN jenom na přístup ke vnitřním síťovým zdrojům a na přístup k placeným zdrojům, které jsou vázané na IP adresu.

    Máme koupené základní CAL licence per user. Zvažoval jsem nad RDS gateway, ale tu jsme nakonec shledali jako pro nás nevyhovující. Toužil jsem po Direct Accessu, ale zjistil jsem, že licenční podmínky Microsoft jsou natolik nevýhodné, že se nám to nevyplatí (všude máme nainstalovány Windows Professional).

    Ve vnitřní síti provozujeme 802.1x NAP. Kdybychom přešli na IPsec NAP, dá se to použít také jako VPN? Případně můžete mi doporučit jinou z mnoha metod, které Microsoft nabízí?

    Díky, JŠ

    pátek 31. května 2013 7:11

Odpovědi

  • a) nechcete zvážit použití jen RDP přes RD Proxy? To je HTTPS, nemusí se vytáčet VPN a má to parádní výkon při špatných linkách. IP pak ani nebudou problém

    b) jako VPN bych udělal SSTP (to je HTTPS). Nebudete řešit vůbec žádné problémy se schopností připojování. IPSec přes NAT je problém, speciálně pokud je za NATem VPN server. PPTP nechcete kvůli bezpečnosti.

    udělal bych SSTP s klientským certifikátem, který bych vydával z vaší vnitřní autority.

    ondra.

    • Označen jako odpověď Jiri Simek pátek 31. května 2013 13:23
    pátek 31. května 2013 8:29

Všechny reakce

  • a) nechcete zvážit použití jen RDP přes RD Proxy? To je HTTPS, nemusí se vytáčet VPN a má to parádní výkon při špatných linkách. IP pak ani nebudou problém

    b) jako VPN bych udělal SSTP (to je HTTPS). Nebudete řešit vůbec žádné problémy se schopností připojování. IPSec přes NAT je problém, speciálně pokud je za NATem VPN server. PPTP nechcete kvůli bezpečnosti.

    udělal bych SSTP s klientským certifikátem, který bych vydával z vaší vnitřní autority.

    ondra.

    • Označen jako odpověď Jiri Simek pátek 31. května 2013 13:23
    pátek 31. května 2013 8:29
  • To SSTP se mi moc líbí. Koukám, že step-by-step guide má jenom 38 stránek :D Vypadá to celkem jednoduše. Sice se trochu bojím toho, jak vyřeším provázání nového serveru s naším CA serverem, případně jak budu vytvářet certifikát pro PC, které nejsou v doméně, ale doufám, že někde najdu nějakou přítulnou dokumentaci. Začnu přečtením těch 38 stránek. Moc Vám děkuji za tip.
    pátek 31. května 2013 13:23
  • v tom případě několik málo poznámek, připravte se, že to není moc sranda. pokud to máte v ruce, tak to je na hodinku, ale pokud nemáte dobře rozjetou PKI, tak to bude trvat, než to probojujete :-)

    a) klient SSTP je ve Windows až od Windows Vista

    b) klientské certifikáty budou pro uživatele. Můžete je vydávat klidně pomocí "autoenrollment". Certifikáty musí obsahovat Client Authentication. Na Windows 8 je chyba, takže klientské certifikáty NEsmí obsahovat "Smart card logon".

    c) zařiďte si, aby ve všech certifikátech byla HTTP cesta k CRL. Ta HTTP cesta musí být přeložitelná a dostupná anonymě z internetu. Ve všech. Tzn. i v serverových certifikátehc, tak i v lidských. Tato cesta v nich musí být PRVNÍ. Obvykle tam máte první LDAP, ale musíte to tedy přehodit, protože Win7 to jinak neověří.

    jestli ty cesty jdou stahovat se dá krásně ověřit pomocí CERTUTIL -URL ServeruvCert.CER a CERTUTIL -URL UzivateluvCert.CER

    d) upozorňuju, že SSTP používá stejně jako IIS driver HTTP.SYS. Takže jestli byste měl VPN server i s IIS a na tom IIS by běželo nějaké HTTPS, tak se vám tam podaří dát jen jeden společný TLS certifikát pro oboje, tzn. jen jeden pro SSTP i pro IIS dohromady.

    ondra.

    pátek 31. května 2013 13:49
  • a ještě jedna věc - jestli máte certifikační autoritu windows 2008, tak šablony certifikátů pro uživatelské certifikáty NEsmíte vyrobit jako kopii na Windows 2008. Musí to být kopie na Windows 2003 pouze!

    pokud máte certifikační autoritu Widnows 2012, tak na záložce Cryptography musíte vybrat Legacy Provider

    pátek 31. května 2013 14:03
  • Stary dobry pptp. Kompatibilita 101%. Proc od nej chces utect?

    MP

    pátek 31. května 2013 19:37
    Vlastník
  • protože je to nebezpečné a zase až tak moc kompatibilní to není. plno malých domácích natíků (a někdy i větší profesionální naťáky :-) pouští třeba jenom PPTP spojení a ostatní jsou odblokováni. SSTP, pokud mám WinVista/7 a novější je to nejkompatibilnější, co existuje.

    o.

    pátek 31. května 2013 20:20
  • Ano, vyhoda SSTP je bezesporu fakt, ze se tvari jako bezne HTTPS spojeni. Kompatibilitou jsem ale samozrejme minil predevsim schopnost ruznych zarizeni tu kterou VPN pouzit. A ta je na strane pptp. Skoro me nenapada zarizeni, ktere (umi-li nejakou VPN) neumi pptp.

    MP

    pátek 31. května 2013 21:12
    Vlastník
  • a ještě jedna věc - jestli máte certifikační autoritu windows 2008, tak šablony certifikátů pro uživatelské certifikáty NEsmíte vyrobit jako kopii na Windows 2008. Musí to být kopie na Windows 2003 pouze!

    pokud máte certifikační autoritu Widnows 2012, tak na záložce Cryptography musíte vybrat Legacy Provider


    Teda, koukám, že to asi nebude tak jednoduché, jako návod na 38 stran. Ta brožura Step-by-step guide je pro Windows 2008, tak doufám, že tam o tom něco napíšou. Ale pokud to nebude fungovat na Windows XP klientech, tak tto bude zase další možnost VPN připojení, která není pro všechny. Asi budu hledat ještě dál.
    pondělí 3. června 2013 12:56
  • Stary dobry pptp. Kompatibilita 101%. Proc od nej chces utect?

    MP


    PPTP bylo skvělé dočasné řešení - nasazení za chvíli a funkční skutečně na všech klientech. Ale naši uživatelé hodně cestují po světě, a hodně firewallů prostě PPTP nepustí. Další nevýhodou je míra zabezpečení - raději bych něco s certifikátem. Potřebuji něco, co funguje na Windows XP a vyšších, potřebuji něco, co proleze přes většinu firewallů.
    pondělí 3. června 2013 13:01
  • Pokud se "bojíš" konfigurace SSTP a potřebuješ aby VPN naslouchal na HTTPS portu, můžeš zkusit OpenVPN. Na konfiguraci poměrně jednoduché, port si vybereš jaký chceš, nevýhoda je instalace VPN klienta na koncové zařízení. 
    sobota 8. června 2013 18:14