Propojení jídelny a výdejny

pelirob · 2021-05-26T17:29:06+00:00

Mám dva baráky (A, B) v různých částech města, v každé z nich síť jiné fimy. Obě firmy mají spolehlivé připojení do internetu (dva různí místní ISP, na přívo...

jchudoba

Pokud je to taková ta výdejna kde není nic vyjma terminálu kde strávník pípne kartu, terminál ukáže co má zaplaceno a bába mu podle toho kydne na talíř UHO1 nebo UHO2, tak jsou ty toky skutečně malé. Na zadání tak jak je popsáno bych se nebál to propojit SSTP-je to rychlé, stačí veřejka na jedné straně, není to vybíravé na číslo portu (lze obsadit cokoli z existující veřejky) a vyzná se v tom každý. Jasně, TCP VPN bude pomalá, ale pokud se fakt bavíme o terminálu na výdej ...

Propojit to lze. Ale: V dotazu mi chybí otázka jak to propojit bezpečně - takový mix dvou baráků a nejméně tří firem, "vše v jednom" ... měl by to dělat někdo kdo to bude umět dobře rozsegmentovat a nastavit firewall tak aby toho nepropojil více než chtěl. A někdo takový si zákonitě poradí i s VPN. Podle mne je v dotazu volba VPN až někde druhá v pořadí.

Tedy-"jak to propojit" je jen polovina otázky, skoro bych řekl že ta méně náročná důležitá.

Vyhození TPLinka samozřejmě ano - jeho konfigurační možnosti dost zužují manévrovací prostor-na MIkrotiku to budu mít o tolik rychleji, že si to na toho Mikrotika vydělá ještě zákaznikovi zbyde. TPLink je zlo-zužuje manévrovací prostor a vytváří špatné návyky, už jen na tom se nakonec vždy prodraží.

hapi

vytočím z jedné strany obyčejný l2tp/ipsec tunel a vyřešeno.

jchudoba

hapi To je zjednodušený pohled českého ISP, kde ve výsledku přijedu-li na návštevu k tetičce na vesnici kde "působí" takový ISP, není problém se po IP dostat na televizi v obýváku kohokoli jiného kdo bydlí v dané vesnici, protože ISP sice propojuje, ale už ani nefirewalluje, ani nesegmentuje.

Tedy znovu: Propojení je to poslední, to první je naplánovat bezpečné propojení. A tím se nemysli jen šifrování samotného tunelu-myslí se tím to aby si ohlídal aby nepropojil s výdejnou celé dvě budovy.

hapi

Ok, tak vytočim tunel ze zařízení do kterého připojím kabelem ten terminál.

jchudoba

hapi To není jediné možné řešení a ani to samo o sobě nezajišťuje segmentaci. Když "tím zařízením" bude router s nedostatečně ošetřeným firewallem, tak i ten toho nakonec propojí více než je v zadání.

Člověk který klade dotazy jako byl tento má v 99% případů defaultní firewall s maximálně drop all z WANu, ale už ne z VPN a podobných propojů. Útočníkovi pak stačí dostat se na cokoli v kterékoli z budov a potom si uvnitř může dělat co chce. Proto je dobré začátečníky kteří se ptají na jejich první VPN výslovně upozornit na nutnost myslet i na firewall.

pelirob

jchudoba Ale né, zas tak tupej nejsem. Jen jsem se domníval, že psát tady na fóru explicitně že ve firewallových pravidlech se použije in-interface=all-vlan action= drop je nošením dříví do lesa. Teda předpokládám, že všem je jasný, že když se už někdo nastavuje s VLANama, tak to snad celé nezabije tím, že si nechá na mikrotiku mezi nimi volně procházet provoz.
Dotaz směřoval k tomu, jestli jde rozumně konfigurovat topologie
TP-Link (NAT)<---kabel-->MK (VLAN, NAT, veřejná IP)<----internet--->MK (VLAN, NAT, veřejná IP)<---kabel-->MK (NAT)
v případě kdy potřebuji jakýmkoliv tunelem propojit zařízení zapojená do krajních zařízení, nebo jestli je to úlet nad kterým vůbec nemá cenu přemýšlet. Jaksi to momentálně nemám kde plně nasimulovat a vymýšlet to celé až nad "ostrým" provozem se mi moc nechce.
A čím déle nad tím přemýšlím, tím víc ve mě sílí myšlenka, že TP-Link půjde do krabice s elektrošrotem a na jeho místo půjde třeba Hex S. Pak bych mohl OpenVPN spojení poslat z těch mikrotiků s veřejnou IP adresou na ty krajní mikrotiky a tam zpracovat. Ale s OpenVPN jsem si ještě moc nepotykal, protože všude používám IPsec, nebo L2TP.
Vadí OpenVPN, pokud použiju jiný port než 1194? Nebo si port mohu zvolit libovolně podle sebe (samozřejmně na obou stranách stejný, aby mi to tu zase někdo nepřipomínal)?

jcltm

pelirob Port je u OpenVPN naprosto fuk. Ze strany klienta za NATem ti to pojede i bez zásahu do hraničního Mikrotiku, veřejku stačí mít na OpenVPN serveru.

jchudoba

pelirob Jen jsem se domníval, že psát tady na fóru explicitně že ve firewallových pravidlech se použije in-interface=all-vlan action= drop je nošením dříví do lesa. Teda předpokládám, že všem je jasný, že když se už někdo nastavuje s VLANama, tak to snad celé nezabije tím, že si nechá na mikrotiku mezi nimi volně procházet provoz.

No, v reálném životě vídám v 99% alespoň jeden nadbytečný prostup, tady na fóru zatím ve 100% případů. Krom toho, vpn interface není interface typu VLAN, tedy řešit VPN a přitom filtrovat pouze VLAN je dost málo.

pelirob Dotaz směřoval k tomu, jestli jde rozumně konfigurovat topologie
TP-Link (NAT)<---kabel-->MK (VLAN, NAT, veřejná IP)<----internet--->MK (VLAN, NAT, veřejná IP)<---kabel-->MK (NAT)
v případě kdy potřebuji jakýmkoliv tunelem propojit zařízení zapojená do krajních zařízení, nebo jestli je to úlet nad kterým vůbec nemá cenu přemýšlet. Jaksi to momentálně nemám kde plně nasimulovat a vymýšlet to celé až nad "ostrým" provozem se mi moc nechce.

Už jen ze školicích důvodů toho TPLinka vyhoď a udělej to na MK - donutí tě to se nad konfigurací zamyslet, a když si dáš tu práci, příště dáš podobné zadání s prstem v nose- tedy někam te to posune. Budeš-li to smolit na TPLinku tak se ti to možná povede, možná nepovede, ale zaručeně se nikam odborně neposuneš. Chápu že si možná věříš, ale kdybys nebyl začátečník, vůbec by jsi se na takto jednoduchou VPN neptal. A chyby v konfiguracích dělají i mnohem zkušenější lidé.

Jinak klidně IPSec, i tomu stačí veřejka na jedné straně. Pokud IPSec znáš, přišlo by mi zbytečné tříštit síly a zabývat se OpenVPN.

pelirob Jaksi to momentálně nemám kde plně nasimulovat

Kup si na bazoši nebo tady nebo někde 3x hAP za dvě stovky, polož si je na stůl a nasimuluj si to na nich. Hele zjevně ti chybí zkušenosti a praxe, to získáš buď drahým školením nebo pomalu progredujícím testovámím v praxi, to nikam nevede. Lepsí cesta je nákup tří hapů v hodnotě půlhodiny hodinovky průměrného ajťáka a lab na nich. Ty tři hAPy ti zůstanou i do budoucna, budeš mít na čem zkoušet a zase - někam tě to posune. Kdybys byl drsnější tak stačí tři virtuální CHR zadarmo, ale to je náročnější na představivost.

pelirob

jchudoba Nevím, možná je to už věkem, ale tahle konfigurace je zcela mimo toho co obvykle nastavuji. Trochu mě to vyvedlo z konceptu a možná jsem doufal že mě někdo nakopne s tím, že jsem na úplně blbé cestě a mám to řešit jinak. Protože dělat pokusy na produkční síti (notabene ne vlastní) se mi dost ekluje.
S testovacími Mikrotiky nemám problém, několik RB433Ah se mi válí pod stolem, volná RB3011 se taky najde. A složitější konfigurace z vlastní sítě předem testuju v GNS3.
V rámci zjednodušení půjde pryč ten TP-Link a pak to zkusím rozložit na několik navazujících samostatných konfigurací, které půjdou postupně otestovat tak, abych nenaboural provoz ani v jedné firmě.

jcltm

pelirob Nemáš na tom v podstatě co zkazit. OpenVPN ti vytvoří na obou routerech v podstatě další rozhraní s vlastním subnetem, co do toho pak pošleš (staticky naroutuješ/povolíš ve firewallu) už je čistě na tobě. Přičemž jen server musí mít veřejku nebo přesměrovaný port skrz NAT routeru s veřejkou, klient může být klidně za deseti NATy. Ale jestli si to chceš otestovat, nic ti nebrání zkusit si zapojit do jedné LAN dva Mikrotiky v nějaké default konfiguraci s NATem a ty privátní sítě za NATem pomocí OpenVPN navzájem propojit. Hledej v Googlu heslo "mikrotik site to site openvpn", je tam hromada návodů jak to nakonfigurovat.

jchudoba

Rozložit to na dílčí kroky (předem otestované v labu) je perfektní plán. Ono to fakt není složité, jen to chce tu praxi a nebát se toho, lab rozhodně pomůže.

Moje doporučení k volbě VPN: Nezdržuj se OpenVPN ani ničím podobným, co nelze použít na iOS ani na Androidu. Dříve či později za tebou přijde někdo kdo bude chtít VPN pro klienta na iOS a ten nabízí jen IPSec - znalost OpenVPN bude v tu chvíli k ničemu. Nic proti OpenVPN jako takové, ale cokoli co zdržuje od finálního řešení (kterým je IPSec) je vlastně plýtvání časem. OpenVPN jsem zatím reálně viděl vždy jsem tam kde byl ajťák srab naučit se IPSec a nakonec když se naučil IPSec, mlátil hlavou o zeď proč to neudělal dřív a zdržoval se polivičatým řešením. Analogicky budeš-li umět IPSec na Mikrotiku, budeš ho logicky umět i na Ciscu a to se zase může někdy hodit.

jcltm

jchudoba Co je tohle zase za blbost? OpenVPN právě funguje na čemkoli, i na Androidu a iOS. V současnosti je to nejpoužívanější a nejuniverzálnější řešení, i když ho asi do budoucna asi nahradí Wireguard svou jednoduchostí a rychlostí. A na pochopení je myslím OpenVPN i nejjednodušší.

pelirob

jcltm Asi nesouhlasím - generování, export a přenos certifikátů mě osobně určitě nepřijde jednodušší, než napsat v konfiguraci L2TP serveru libovolně dlouhý klíč do pole IPsec Secret. A na L2TP nepotřebuji ani do Windows ani do Androida zvláštního klienta. Do MACa myslím že také ne.

jchudoba

Mluvím o nativní podpoře systémem. Budu-li předpokládat instalaci obskurností a aplikací třetích stran do systému, potom bych nejspíš našel i openvpn klienta, ale proboha proč obtěžovat zákazníky instalacemi obskurností do jejich systémů? Jediný důvod píšeš sám - "na pochopení je to nejjednodušší"- to je ale dost sobecký a krátkozraký důvod.

jcltm

jchudoba Ta "obskurnost" je totiž na rozdíl od L2TP/IPsec opensource, což s sebou nese dost výhod, i bezpečnostních. A upřímně, za mě je asi lepší jednoduše aktualizovatelná oficiální aplikace než řešit podivné implementace v jednotlivých OS. Na pochopení je to nejjednodušší, to ale není ani sobecký, a už vůbec ne krátkozraký důvod - naopak je to obrovská výhoda, zvlášť pro tazatele, který v tom není zkušený. Co se týče bezpečnosti, je na tom OpenVPN minimálně stejně jako L2TP/IPsec. S tebou ale opravdu asi nemá smysl diskutovat, když víš všechno nejlíp...

pelirob

jchudoba jcltm Zpěět - asi chápu co se mi snažíte oba poradit, ale minimálně jchudoba mě směruje úplně jinam. Nedělám VPNku pro road warriory, dělám site-to-site tunel mezi dvěma kancelářemi, které jsou "schované" každá v jiné síti jiné cizí firmy. Firmy A, B, kterým patří obě nemovitosti používají jako VPN L2TP s IPsecem (nejjednoduší spolehlivá VPNka na MK) a bez problémů funguje přístup z Widlí i z Androida (o jablku se zatím nikdo nezmiňoval) - to ale není problém který mám řešit
Mám rozchodit variantu kdy do hlavního MK v lokalitě A (dělá NAT) je připojený kabel (v samostatné VLANě, na samostatném portu), který vede do "kuchyně" a končí v TP-Linku. Do TP-Linku (taky dělá NAT) je připojený terminál a dva PC. V baráku B to má být podobně (už mám předběžně domluvenou taky oddělenou VLANu, na samostatném portu)- výdejna je samostatné místo, akorát tam ještě není vůbec nic a proto tam bude taky Mikrotik.
Veřejné IP adresy mají hlavní routery v budově A,B. Terminály v jídelně a výdejně jsou schované za NATem (TP-Link a budoucí Mikrotik) a routery v A,B dělají další NAT (ano prasárna, ale já to nenavrhoval...). V každém baráku A,B je jiný ISP a paní vedoucí by ráda propojila terminály v jídelně a výdejně.
Varianty :
1) protože OpenVPN zatím nikdo nikde nepoužívá, vyhodím TP-Link v jídelně a nahradím ho mikrotikem. Pro OpenVPN si vyberu nějaký jiný port než 1194 (co kdyby ho někdy v budoucnu chtěli používat) a přesměruji port z hlavních mikrotiků v lokalitě A,B na mikrotiky v jídelně a výdejně a dál už to řeším jako obvyklou konfiguraci OpenVPN
2) maximálně to zjednoduším - TP-Linka v jídelně nahradím 5portovým switchem. Firewall, DNS, DHCP, VPN bude na té vyhrazené VLANě mikrotiku v lokalitě A. Dále už to řeším jako klasický site-to-site tunel.
3) ???? ještě něco efektivnějšího? Nechám si poradit co.

jchudoba

pelirob ani varianta 1 ani 2 nejsou špatně, řekněme že je to kompromis mezi úsilím a výsledkem. Proč ne. Já bych tam tedy udělal větší razii která by umožňovala větší universálnost do budoucna, ale chápu že v konkrétním případě by to třeba ani nikdo neocenil.

jcltm jednoduše aktualizovatelná oficiální aplikace než řešit podivné implementace v jednotlivých OS.

Hrubě nesouhlasím s tím že je jednodušší nadosmrti donekonečna řešit u klientů instalace zbytečných obskurních aplikací, než překonat lenost, pohodlnost nebo cojávím a za jeden večer se naučit používat IPSEc. Když se to nasčítá, a započítají se i člověkohodiny někoho kdo musí ty klienty řešit, vyjde na dostatečně dlouhém časovém úseku a při dostatečném počtu klientů IPSec o dost levněji.

pelirob Do MACa myslím že také ne.

Přesně tak, ani do maca ne. Prostě dám klientovi parametry a připojí se z čehokoli co se ve známém vesmíru vyskytuje. Nebudu drzý abych klienta obtěžoval nadbytečnými kroky typu "napřed si nainstaluj klienta" - to bych klesl na úroveň státních úřadů, kde jakýkoli web začíná slovy "napřed si stáhněte náš plugin".

jcltm

pelirob OpenVPN také umí shared key. Máš na výběr TLS/SSL nebo shared key.

Další stránka »