Организация VPN сервера

[sie]

Люди, помогите разобраться в азах VPN.

суть задачи:
------------------------
Для клиентов Windows (2000/XP) необходимо организовать VPN сервер.
Поддержка шифрования обязательна. Кол-во клиентов ориентировочно 3.
Платформа сервера - либо Windows (2000/XP), либо Linux.
Желательно, чтобы на клиенты не требовалось что-то устанавливать,
т.е только встроенные средства операционной системы Windows (2000/XP).

1 вопрос:
------------------------
Какие есть программные продукты для реализации задуманного (VPN сервера)?
В идеале (но необязательно), чтобы были версии как под Windows, так и под Linux.
В перспективе лучше Linux.

2 вопрос:
------------------------
Можно ли c OpenVPN-2.0.7 под Windows организовать VPN подключение без
виртуальных сетевых адаптеров на клиенте? Т.е. чтобы на клиенте создать
только "Виртуальное частное подключение" и больше ничего.

У меня получилось организовать соединение, только установив и на сервере и на клиенте OpenVPN-2.0.7.

3 вопрос:
------------------------
Правда, ли что от выбранного ПО зависит по каким портам будет идти обмен данными?
Другими словами, нет строгих стандартов по VPN?

Я пока обнаружил, что
- встроенный в Windows 2000 Professional VPN клиент обращается на порт 1723 TCP;
- Пакет OpenVPN-2.0.7 под Windows по умолчанию использует порт 1194 UDP;
- Пакет Qbik WinGate VPN 1.2.3 Build 901 - что-то вроде 808 или 809 TCP.

[kuguar]

1. для задуманного в win2k(2k3) есть RRAS . как его настроить http://www.certification.ru/library/articlesdir/big59.html?
в линуксе например pptpd - глядеть на http://www.opennet.ru/mp/vpn/
все это есть внутри самих ОС, то есть встроено.
3. в Win есть такой файл C:\WINDOWS\system32\drivers\etc\services  -  там прописаны порты для сервисов которые приняты стандартно. Но никто тебе не запрещает с помощью различных portredirector'ов все сделать как тебе удобно.
на 2-й не отвечу потому как не знаю... кто нить другой ответит  

[SinClaus]

Виндузный PPTP клиент ВСЕГДА использует порт 1723 для коннекта и GRE - для обмена в сессии.

[AdVv]

Люди, помогите разобраться в азах VPN.

суть задачи:
------------------------
Для клиентов Windows (2000/XP) необходимо организовать VPN сервер.
Поддержка шифрования обязательна. Кол-во клиентов ориентировочно 3.
Платформа сервера - либо Windows (2000/XP), либо Linux.
Желательно, чтобы на клиенты не требовалось что-то устанавливать,
т.е только встроенные средства операционной системы Windows (2000/XP).

В случае со стандартными средствами для Windows необходим 2000/2003 SERVER.

1 вопрос:
------------------------
Какие есть программные продукты для реализации задуманного (VPN сервера)?
В идеале (но необязательно), чтобы были версии как под Windows, так и под Linux.
В перспективе лучше Linux.

В Windows для организации VPN по умолчанию используется протокол pptp.
Поддерживается также L2TP IPSEC.
Серверная часть реализуется под Windows средствами RRAS, которые входят в состав Windows 2000/2003 Server.
Под Линукс существуют несколько реализаций серверной части. Наиболее популярна  poptop.
Под  FreeBSD - MPD.
Клиентская часть для WIndows включена в состав системы начиная с Windows 98.
pptp клиент для Linux и FreeBSD также существует в нескольких реализациях.

2 вопрос:
------------------------
Можно ли c OpenVPN-2.0.7 под Windows организовать VPN подключение без
виртуальных сетевых адаптеров на клиенте? Т.е. чтобы на клиенте создать
только "Виртуальное частное подключение" и больше ничего.

У меня получилось организовать соединение, только установив и на сервере и на клиенте OpenVPN-2.0.7.

Как можно подключиться к сети не имея при этом сетевого интерфейса ? Неважно физическая это сеть или виртуальная. "Виртуальное частное подключение" - это и есть виртуальный сетевой адаптер.

НЕ получилось видимо не означает что НЕ работает ?

3 вопрос:
------------------------
Правда, ли что от выбранного ПО зависит по каким портам будет идти обмен данными?
Другими словами, нет строгих стандартов по VPN?

Я пока обнаружил, что
- встроенный в Windows 2000 Professional VPN клиент обращается на порт 1723 TCP;
- Пакет OpenVPN-2.0.7 под Windows по умолчанию использует порт 1194 UDP;
- Пакет Qbik WinGate VPN 1.2.3 Build 901 - что-то вроде 808 или 809 TCP.

Есть общее понятие VPN, и есть различные его реализации на основе разных протоколов.
Протоколы существуют как стандартизированные (pptp например), так и собственные разработки (openvpn). Соответственно разные протоколы работают по разным портам. В пределах одного протокола порты по умолчанию одни и теже, хотя в некоторых случаях можно их поменять при настройке клиента и сервера соответственно.

Ну а Вам скорее всего подойдет Windows 2003 server и pptp.

[sie]

1) уже получился следующий вариант:
--------------------------------

Сервер:
- под Windows 2000 Professional
- настроен прием входящих подключений с поддержкой VPN.
- добавлена учетная запись "vpnuser" с паролем.

Клиент:
- под Windows 2000 Professional
- создано "Виртуальное частное подключение" к серверу.

Без firewall'а все работает. С firewall'ом - есть проблемка.
На днях буду пробовать вариант с сервером под Linux + iptables.

2) проблемы с firewall'ом?
--------------------------------

firewall пока пробовал только WinRoute 4.2.5.
Тестировал на локалке: сервер - 192.168.1.1; клиент - 192.168.1.2.
Для виртуальной сети все разрешено.

На клиенте для физической линии разрешено только:
192.168.1.2 TCP >1023 <---> 192.168.1.1 TCP =1723
192.168.1.2 PTPP <---> 192.168.1.1 PTPP

На сервере для физической линии разрешено только:
192.168.1.1 TCP =1723 <-> 192.168.1.2 TCP >1023
192.168.1.1 PTPP <-> 192.168.1.2 PTPP

При отключении firewall'а на сервере - все OK.
При включенном - пакеты отправляются, но не доходят.
Глядя на логи firewall'а создается впечатление, что пакеты не успевают отправляться в туннель.
Например, отправляю четыре пакета ICMP - в логах иногда меньше четырех записей исходящих ICMP пакетов.
И в любом случае вообще ничего не доходит до второго компьютера.
А клиенту firewall со своими настройками, как ни странно, не мешает.

3) Вопрос по безопасности
--------------------------------

Какой тип шифрования используется в VPN - симметричное или асимметричное?
Или опять же зависит от конкретной реализации протоколов?
И если симметричное, то перехватив несколько первых пакетов (где идет утверждение ключа),
можно приватный трафик расшифровывать "налету"?

[kuguar]

авторизации и аутентификации - несимметричное (у каждого свой ключ). после вырабатывается общий сеансовый ключ - симметричное. Симметричный ключ передается по шифрованному каналу (а как иначе то, пин код же не на карте писать). Насчет атак "третий посередине" советую почитать - но теория теорией - а чтобы hi-jacking сделать сильно умным надо быть - иметь доступ к оборудованию провайдера.

[demiurg]

2) проблемы с firewall'ом?
--------------------------------

firewall пока пробовал только WinRoute 4.2.5.
Тестировал на локалке: сервер - 192.168.1.1; клиент - 192.168.1.2.
Для виртуальной сети все разрешено.

На клиенте для физической линии разрешено только:
192.168.1.2 TCP >1023 <---> 192.168.1.1 TCP =1723
192.168.1.2 PTPP <---> 192.168.1.1 PTPP

На сервере для физической линии разрешено только:
192.168.1.1 TCP =1723 <-> 192.168.1.2 TCP >1023
192.168.1.1 PTPP <-> 192.168.1.2 PTPP

Что подразумевается под "192.168.1.1 PTPP <-> 192.168.1.2 PTPP", как уже выше отмечали, нужно открыть порт TCP 1723 для сервера и разрешить прохождение протокола GRE.

[sie]

Что подразумевается под "192.168.1.1 PTPP <-> 192.168.1.2 PTPP", как уже выше отмечали, нужно открыть порт TCP 1723 для сервера и разрешить прохождение протокола GRE.

Простите, опечатался... <-> тоже что и <---> - разрешено прохождение пакетов в обоих направлениях.

[demiurg]

Простите, опечатался... <-> тоже что и <---> - разрешено прохождение пакетов в обоих направлениях.

Эм... я в настройке WinRoute не силен и для меня что <-> , что  <---> все едино
Я имел ввиду что подразумевается под PPTP? Это правило для пропуска GRE пакетов?
Тестировалось в рамках одной локальной сети?
И кстати, что происходит при включенном firewall?
Желательно подробнее, т.к. от этого зависит правильная диагностика (если закрыт GRE, то аутентификация проходит успешно и обрыв соединения происходит при инициализации GRE).

[sie]

Эм... я в настройке WinRoute не силен и для меня что <-> , что  <---> все едино
Я имел ввиду что подразумевается под PPTP? Это правило для пропуска GRE пакетов?
Тестировалось в рамках одной локальной сети?
И кстати, что происходит при включенном firewall?
Желательно подробнее, т.к. от этого зависит правильная диагностика (если закрыт GRE, то аутентификация проходит успешно и обрыв соединения происходит при инициализации GRE).

Из справки WinRoute 4.2.5 (кстати, старая версия):
PPTP - Point To Point Tunneling Protocol - is a VPN protocol used by Microsoft operating system to create
the encrypted connection between two computers.

Что такое протокол GRE еще не знаю, пошел искать документацию.

Тестировалось в рамках одной локальной сети, подключение непосредственно витой парой без коммутатора.

На клиенте firewall все, что нужно, пропускает.
А на сервере с соответствующими правилами дает только организовать туннель
(пропускает только по правильному паролю, устанавливает IP, который разрешен сервером),
а обмена по виртуальной сети (192.168.3.x) не происходит.
Если на сервере отключить firewall, все работает.

[NiK]

А на сервере с соответствующими правилами дает только организовать туннель
(пропускает только по правильному паролю, устанавливает IP, который разрешен сервером),
а обмена по виртуальной сети (192.168.3.x) не происходит.
Если на сервере отключить firewall, все работает.

Посмотри на сервере в настройке интерфейса Dial-in. Если там фильтровать не надо - отключи Screen firewall traffic на нем. Я не помню точно по wiroute 4.x.x... попробуй правила создать по интерфейсу, если там можно.
По-хорошему, лучше на WR 5.х или 6.х перейти. Там правила более гибко прописываются.