Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Mikrotik + OpenVPN + LAN. Jak skonfigurować bezpiecznie dostęp zdalny?

08 Sty 2019 20:34 1182 6
  • Poziom 2  
    Dzień dobry,

    to mój pierwszy raz w życiu, kiedy nie znalazłem odpowiedzi w internecie. Proszę o wskazanie rozwiązania lub materiałów dydaktycznych, które pomogą rozwiązać mój problem.

    Spis treści:
    1. Opis przypadku.
    2. Dostępny sprzęt

    1. Małe biuro(8 komputerów, 2 drukarki, kilka kamer, nas, serwer, 3 routery, 2 switche). Pojawiła się potrzeba pracy zdalnej. Wszystko co potrzebne znajduje się na serwerze. W tej chwili korzystają z RDP i 2FA od duo.com. Chciałem pozbyć się otwartych portów rdp i skorzystać z OpenVPN i będąc już w obrębie sieci korzystać z RDP. Udało mi się skonfigurować OpenVPN na routerze MIKROTIK RB2011UIAS-2HND-IN.
    Problem pojawia się w momencie, gdy pinguję z klienta do sieci lub odwrotnie. Z czego powinienem skorzystać i jak ustawić to tak, żeby było bezpiecznie? Próbowałem różnych ustawień, ale chyba mam zbyt duże braki teoretyczne, aby mieć poczucie, w którą stronę powinienem pójść dalej.

    Jak to zrobić, aby bezpiecznie łączyć się z zewnątrz do sieci lokalnej i korzystać z jej zasobów? (cały lan, drukarki, monitoring, serwer. nie tylko z jednego urządzenia)
    Dodam, że jest tam spory bałagan jeśli chodzi o sprzęt. Miałem kila urządzeń, które już tam były, spiąłem wszystko w całość i do tej pory działa bez zarzutów.

    2. W firmie mam dostępny

    MIKROTIK RB2011UIAS-2HND-IN
    ASUS RT-AC86U
    TP-LINK T2600G28TS
    jakiś mniejszy switch PoE do kamer
    Huawei B315

    Obok samej siedziby firmy mieszka kilku pracowników, którzy dostali możliwość wpięcia się w sieć i korzystania z niej(oddzielny vlan, dostęp tylko do internetu)

    Do WAN jest wpięty mikrotik, pod nim router pracowników, Asus RT-AC86U(do niego serwer, switch TP-Link czyli całe biuro i huawei jako modem, gdy połączenie z mikrotika jest niedostępne)

    Mikrotik ma adres 192.168.88.1
    Serwer OpenVPN 192.168.88.2
    Pula dla VPN 192.168.88.3 - 192.168.88.9
    Pula DHCP mikrotika 192.168.88.10 - 192.168.88.255
    Asus ma adres 192.168.1.1
    Serwer 192.168.1.254
    Drukarka 192.168.1.10

    Jak sprawić, żeby OpenVPN rozmawiał z resztą sieci?
    Co dostarczyć, aby pomóc rozwiązać problem? Screeny? Jakieś logi/ustawienia?
    Dziękuję za pomoc, chętnie się odwdzięczę
    Darmowe szkolenie: Ethernet w przemyśle dziś i jutro. Zarejestruj się za darmo.
  • Poziom 16  
    Rozumiem że Kolega chce mieć taka sytuację , żeby komputery które zdalnie dołączają się do sieci w Biurze (via VPN) były widoczne w sieci lokalnej tegoż biura i pracowały tak jakby były lokalnie podpięte do switcha ?

    Jeśli tak to - na szybko - podsyłam kolka materiałów które tego typu rozwiązanie opisują :
    http://faq.biznetgiocloud.com/download/Biznet_GIO_Cloud-VPN_Site_to_Site_using_Mikrotik.pdf
    https://techfreak.pl/jak-skonfigurowac-vpn-na-mikrotik/
    https://systemzone.net/mikrotik-site-to-site-vpn-configuration-with-ipsec/#
    https://forum.mikrotik.com/viewtopic.php?t=134257

    Pozdrawiam
  • Poziom 2  
    Dokładnie tak. Zdążyłem namieszać trochę w ustawieniach, w międzyczasie sprawdziłem inne możliwości niż openvpn. Podobno mikrotik nie obsługuje takich konfiguracji.

    Problem udało mi się rozwiązać połowicznie - > Odpaliłem vpna na serwerze i teraz wewnątrz podsieci vpna działa ( w tej chwili jest to 10.0.0.0, 10.0.0.1 dla serwera openvpn).
    Wciąż pozostaje problem z resztą sieci, jednak na tym etapie rozwiązanie zadowalające.

    Skoro już tu jednak jesteśmy. Czy OpenVPN jest na tyle bezpieczny, aby mu zaufać? Co mogę zrobić, aby zabezpieczyć się przed potencjalnym atakiem?
    Wszystkie bazy danych mam na tym samym serwerze, do którego będą się łączyć pracownicy zdalni. Czy coś poza backupem do chmury mogę zrobić? Budżet na inwestycje będzie dopiero przed wakacjami

    edit:
    Dziękuję za materiały. W tej chwili najbardziej zależy mi na dogłębnym zrozumieniu jak to wszystko działa. Mimo wszystko l2tp/ipsec wolałbym odpuścić na rzecz openvpn(który obecnie działa!)
  • Poziom 16  
    Cóż, ja zawsze, w swoich dotychczasowych rozwiązaniach stawiałem na backup lokalny. Lub przy bardziej strategicznych rozwiązaniach , jak np. zabezpieczenia przed klęskami żywiołowymi/atakami fizycznymi itp - na kombinację backupu lokalnego oraz kopii zdalnej (przynajmniej jednej, jeśli więcej to w kilku niezależnych lokalizacjach). Co do rozwiązań chmurowych - to tak, ale powstaje (zawsze) jednak problem z bezpieczeństwem takich danych którymi przecież ktoś mimo wszystko inny od naszej firmy musi wtedy zarządzać ... Trzeba to sobie dobrze przemyśleć i wybierać naprawdę poważnych/sprawdzonych partnerów w takich wypadkach .

    Jeśli chodzi o rozwiązania dla małego biznesu (niedużej firmy) to czasem wystarczy zrobić jedno miejsce (punkt) backupu w biurze oraz okresowo (co jakiś czas) synchronizować jego zawartość z jakimś dobrze zabezpieczonym (potencjalnie odpiętym od sieci, podłączanym tylko do wykonania kopii backupu i nie używanym do niczego innego) komputerem /NASem w domu . Zakładając oczywiście dobre łącze pomiędzy biurem-domem . Przy odpowiedniej konfiguracji sieci w biurze/w domu oraz stosując szyfrowany kanał transmisji (VPN lub np połączenie SSH ) można nie obawiać się o przesyłanie wrażiwych (lub też niejawnych) danych takim dedykowanym połączeniem przez internet, oczywiście zakładam poprawną konfigurację wszystkich komponentów sieciowych po drodze.

    Jesli chodzi o bezpieczeństwo samego rozwiązania OpenVPN (IPSec) - to raczej nie ma się Kolega co obawiać - stosuje się go w wielu dość i bardzo wrażliwych rozwiązaniach (mam tutaj na myśli zaawansowaną medycynę (i badania na ludzkich próbkach objęte wysoim stopniem bezpieczeństwa), cy zastosowania o charakterze wojskowo-policyjnym albo śledczym, jego bezpieczeństwo jest uznawane jako "odpowiednio silne" lub też "wystarczająco silne" . Oczywiście dyskusja na temat "vunerabilities of IPSec" i pochodne tematy jest prowadzona w sieci (w portalach zajmujących sie tematyką security) od dawna (i znane są również udane ataki na tą technologię *) jednak tutaj pamietać należy że :
    1) nie istnieje w 100% bezpieczny protokół /technologia (poza nie-zaistnialą :P )
    2) mamy tutaj do czynienia z czymś co stale się rozwija (jest sukcesywnie rozwijane) ponieważ stale rozwijają się technologie i metody ataków więc i i ciągle modyfikowane są zabezpieczenia => stąd pochodzi rada/sugestia żeby starać się byc mozliwie na bieżąco z tematem i stosować zawsze najnowsze (Stabilne!) rozwiązania i najmocniejsze (np. najmocniejsze dostępne metody szyfrowania/długości kluczy etc) i bynajmniej nie usypiać nigdy w poczuciu "mam tak wyczesany sprzęt i poziom bezpieczeństwa że mogę sobie odpuścić na 2,3,....x miesięcy/lat myślenie o nim "
    3) nawet najlepsza technologię może położyć zła konfiguracja jakiegoś elementu (jednego tylko!) , lub prosta niefrasobliwość i brak przewidywania - jak np. znalezione przeze mnie osobiście (kiedyś) 7-9 znakowe hasła słownikowe (Sic!) w dostępach (szyfrowanych, a jakże! :P ) do niektórych istotnych urządzeń sieciowych jednego z krajowych providerów .... i to nie będące żadnymi z rodzajów honey-potów (nie powiem którego ani kiedy ale ogólnie - nie tak znowu dawno :P )
    4) Podczas kalkulacji ryzyka związanego z utratą danych / złamaniem jakiegoś konkretnego rodzaju zabezpieczenia - należy wziąć pod uwagę (niestety ale to także istotne) prosty rachunek ekonomiczny :
    mianowicie
    - ile mogę /może moja firma stracić na załamaniu tego czy tamtego zabezpiecznia (jak to skalkulować)
    czyli inaczej - ile na tym mogę stracić
    versus:
    - ile kosztuje mnie (będzie kosztować) podniesienie jego poziomu bezpieczeństwa
    I jeśli w tym rachunku wyraźnie i mocno przeważa koszt tego drugiego - to nie należy (poza jakimiś specjalnymi wyjątkowymi sytuacjami) IMHO się na nie decydować.


    Reasumując -
    - na miejscu Kolegi raczej bym się nie przejmował samymi podatnościami protokołu/technologii IPSec - ile skupiałbym się na poprawnej jego implementacji i użyciu (zawsze) najnowszych (na bieżąco) możliwych zabezpieczeń/kluczy standardów szyfrowanie etc.

    Pozdrawiam

    =======================
    *) listę (niepełną zapewne :)) aktualnych/historycznych dziur, czy dyskusji na temat bezpieczeństwa można zbudować sobie w oparciu o takie portale jak :
    https://www.securityfocus.com/bid [tutaj wybieramy IPSEc z listy vendorów] i czytamy ;)
    https://threatpost.com/researchers-break-ipse...tions-with-20-year-old-protocol-flaw/135070/#
    http://etutorials.org/Networking/network+secu...ng+IP+VPN+Services/11.2+Attacking+IPsec+VPNs/
    https://www.sans.org/reading-room/whitepapers/vpns/paper/760
    https://louwrentius.com/why-you-should-not-use-ipsec-for-vpn-connectivity.html#
    https://niebezpiecznik.pl/?s=IPSec
    ....
    (myślę że to na początek wystarczy ;)
    Ważne też żeby zwracać uwagę na daty odkrytych słabości/podatności (vunerabilities) oraz wersje których one dotyczyły .
  • Poziom 2  
    Niestety moje rozwiązanie nie pociągnie długo. Przynajmniej kilka razy w tygodniu zdarzają się braki prądu, a żeby serwer był widoczny dla innych, trzeba się najpierw do niego dostać i połączyć z openvpn. Tym samym wracam do problemu.

    mikrotik routerboard rb2011uias-2hnd-in

    Czy na tym routerze dam radę postawić poprawnie OpenVPN i umożliwić dostęp z podsieci VPN do reszty zasobów czy też lepiej będzie faktycznie skonfigurować l2tp/IPsec?

    No nic, jak wypracuję jakieś rozwiązanie, to przedstawię metodę - może komuś też się przyda
  • Poziom 23  
    Na luzie powinno dać się to zrobić. Ja bym to zrobił w taki sposób, że dla klientów OpenVPN ustawił osobną pulę adresów (efektywnie - osobna sieć) i na samym mikrotiku w Routes dodał trasę z sieci OpenVPN do sieci LAN. W ten sposób zyskujesz jeszcze to, że w zakładce Firewall możesz tworzyć reguły ruchu, dzięki czemu można decydować które urządzenia mają być dostępne z zewnątrz. Od razu będzie także trzeba dodać regułę accept w łańcuchu forward dla source interface openvpn i destination interface lan. W druga stronę pewnie trzeba będzie dodać regułę accept source interface lan destination interface openvpn connection state established.

    Rozwiązanie j/w ma 2 wady:

    Pierwszą wadą jest to, że cały ruch idzie przez CPU routera - ale nie ma się co tym przejmować, te urządzenia są do tego stworzone i ten Twój mikrotik w takiej konfiguracji spokojnie przewali co najmniej kilkadziesiąt, jak nie kilkaset, Mbitów - nawet jeżeli dodasz sporo reguł.

    Druga wada - broadcasty z jednej sieci nie przejdą do drugiej, o ile co nieco się nie pokombinuje. Zazwyczaj nie jest to do niczego potrzebne chyba że korzystasz z jakiegoś oprogramowania które do czegoś ich używa. Mogą być jajca np. z instalowaniem niektórych drukarek sieciowych od zdalnej strony, bo niektóre instalatory weryfikują obecność urządzenia wysyłając broadcast na adres sieci, a on nie wróci. Na szczęście takie wtopy widać coraz rzadziej.

    Bezpieczeństwem samego OpenVPNa bym się aż tak bardzo nie przejmował. W mojej branży - służba zdrowia (chociaż w Polsce to nie jest dobry przykład chyba bo raczej IT w służbie zdrowia nie ma dobrej opinii :D) korzysta się z tego na codzień. Warto jednak profilaktycznie aktualizować mikrotika jak wychodzą nowe stabilne wersje RouterOSa, dziury poważniejsze już się zdarzały (aczkolwiek w samym OpenVPN to za zbytnio żadnej nie kojarzę).

    W ogóle jeżeli konfigurujesz coś takiego, warto zastanowić się do jakich zasobów mają łączyć się pracownicy z zewnątrz, zrobić listę IP i portów i to dodać jako akceptowane na firewallu a resztę wycinać. Nie wiem z jakich kompów korzystają pracownicy, jeżeli są to sprzęty domowe to prędzej czy później ktoś złapie syfa który po połączeniu może zacząć skanować sieć szukając dziury w całym. Im mniej rzeczy jest dostępnych tym lepiej.
  • Poziom 37  
    MaksymH napisał:

    Do WAN jest wpięty mikrotik, pod nim router pracowników, Asus RT-AC86U(do niego serwer, switch TP-Link czyli całe biuro i huawei jako modem, gdy połączenie z mikrotika jest niedostępne)

    Mikrotik ma adres 192.168.88.1
    Serwer OpenVPN 192.168.88.2
    Pula dla VPN 192.168.88.3 - 192.168.88.9
    Pula DHCP mikrotika 192.168.88.10 - 192.168.88.255
    Asus ma adres 192.168.1.1
    Serwer 192.168.1.254
    Drukarka 192.168.1.10

    Jak sprawić, żeby OpenVPN rozmawiał z resztą sieci?
    Co dostarczyć, aby pomóc rozwiązać problem? Screeny? Jakieś logi/ustawienia?
    Dziękuję za pomoc, chętnie się odwdzięczę

    Na mój gust schowałeś biuro za NATem Asusa, dlatego łącząc się z OpenVPN nie zobaczysz tego co jest za Asusem.

    Połącz Mikrotika z do Asusa ale na port LAN. Do kolejnego portu Mikrotika wepnij switch TP Link. Na Asusie wyłącz DHCP!! Kopmutery dostaną adresy z DHCp mikrotika.

    Ja bym zrobił tak:do mikrotika wpinam WAN i Huawei. Na mikrotiku robie jakiś fail over. Jak Wan siądzie, to przełącza się automatycznie na Huawei.
    Asus robi tylko za access pointa. Połaczenia kablowe przez switch tp linka.