Réseau privé virtuel(Virtual Private Network, ci-après simplement VPN) vous permet de créer sur Internet, un tunnel virtuel sécurisé d'un appareil à l'autre. Si vous accédez au réseau via un tel tunnel, alors tout le monde – y compris votre fournisseur – il devient très difficile de suivre vos actions.

Les services VPN aident également à remplacer vos données de localisation physique par d'autres, ce qui vous permet d'accéder à des services bloqués pour les utilisateurs de certaines régions sur une base géographique. L'utilisation d'un VPN permet de protéger la confidentialité (les données restent secrètes) et l'intégrité (les données restent inchangées) des messages transmis sur le réseau.

Se connecter à un VPN est assez simple. Tout d'abord, l'utilisateur se connecte en ligne en se connectant aux serveurs du fournisseur, puis établit une connexion VPN avec le serveur VPN à l'aide d'un client (un programme spécial installé sur l'ordinateur de l'utilisateur). Le service VPN reçoit alors les pages demandées par l'utilisateur et les lui transmet via un tunnel sécurisé. Cela garantit la protection des données et la confidentialité de l'utilisateur lorsqu'il travaille sur le réseau.

Comment fonctionne le cryptage VPN ?

Un protocole VPN est un ensemble de règles de transfert et de cryptage des données. La plupart des services VPN offrent à leurs clients plusieurs protocoles VPN parmi lesquels choisir, les plus courants étant : le protocole de tunneling point à point (PPTP), le protocole de tunnellisation de couche deux (L2TP), la sécurité du protocole Internet (IPSec) et OpenVPN (SSL/TLS ) ).

Vous ne pouvez pas expliquer comment les VPN protègent la confidentialité des utilisateurs sans parler de cryptage. Les services VPN utilisent une technique spéciale de traitement des données (cryptage) pour rendre les données qu'ils lisent (texte brut) complètement illisibles (texte chiffré) pour quiconque peut les intercepter. L'algorithme (chiffrement) détermine exactement comment les données sont chiffrées et déchiffrées dans un protocole VPN particulier. Les protocoles VPN utilisent ces algorithmes cryptographiques pour chiffrer vos données et les garder privées.

Chacun de ces protocoles VPN a ses propres forces et faiblesses en fonction de l'algorithme cryptographique respectif. Certains services VPN permettent aux utilisateurs de choisir eux-mêmes l'un des chiffrements disponibles. Il existe trois types de chiffrements : symétrique, asymétrique et de hachage.

Le chiffrement symétrique utilise la même clé pour chiffrer et déchiffrer les données. Le chiffrement asymétrique utilise deux clés, une pour le chiffrement et une pour le déchiffrement. Le tableau ci-dessous compare ces types de chiffrement entre eux.

Paramètre	Cryptage symétrique	Cryptage asymétrique
Clés	Une clé pour plusieurs entités	Une entité a une clé publique et l'autre a une clé privée
Échange de clés	Besoin d'un moyen sécurisé d'envoyer et de recevoir des clés	La clé privée est conservée par le propriétaire, la clé publique est disponible pour tout le monde
La rapidité	Plus facile et plus rapide	Plus dur et plus lent
Fiabilité	Le piratage est plus facile	Plus difficile à pirater
Évolutivité	Bien	Encore plus bon
Usage	Pour chiffrer n'importe quoi	Uniquement les clés et les signatures numériques
Options de sécurité	Garantir la confidentialité	Garantir la confidentialité, l'authentification et la répudiation
Exemples	DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 et RC6	RSA, ECC, DSA et Diffie Hellman

La cryptographie asymétrique vient à la rescousse lorsqu'il est nécessaire de surmonter les limitations inhérentes à la cryptographie symétrique (comme indiqué dans le tableau ci-dessus). Whitfield Diffie et Martin Hellman faisaient partie de la première équipe de recherche à travailler sur le perfectionnement du chiffrement symétrique, ils ont développé l'algorithme de chiffrement asymétrique connu sous le nom de Algorithme Diffie-Hellman.

Il s'agit d'un algorithme cryptographique populaire qui sous-tend de nombreux protocoles VPN, notamment HTTPS, SSH, IPsec et OpenVPN. À l'aide de cet algorithme, deux parties qui ne se sont jamais rencontrées auparavant peuvent négocier une clé privée même lorsque la communication a lieu sur un réseau public non sécurisé (comme Internet).

Le hachage est un cryptage unidirectionnel (irréversible) utilisé pour protéger l'intégrité des données transmises. De nombreux protocoles VPN utilisent des algorithmes de hachage pour vérifier la validité des messages envoyés via un VPN. Les exemples incluent MD5, SHA-1 et SHA-2. Cependant, MD5 et SHA-1 ne sont plus considérés comme sécurisés.

Les services VPN peuvent être piratés, mais c'est très, très difficile. Si vous n'utilisez pas de service VPN, vos chances d'être touché par des pirates sont beaucoup plus élevées.

Quelqu'un peut-il pirater un service VPN ?

Les services VPN restent l'un des moyens les plus fiables de protéger la confidentialité des utilisateurs lors de la navigation sur le Web. Cependant, il ne faut pas oublier que tout peut être piraté, surtout si vous êtes une cible de valeur et que vos ennemis disposent de suffisamment de forces, de temps et de moyens. Heureusement, la plupart des utilisateurs VPN ordinaires ne sont pas de telles cibles et il est donc peu probable qu'ils attirent trop l'attention sur eux-mêmes.

Pour rompre une connexion VPN, vous devez casser le chiffrement, ce qui nécessite soit d'exploiter les vulnérabilités du système ou de l'algorithme, soit de voler la clé de chiffrement d'une manière ou d'une autre. Les attaques cryptographiques sont utilisées par les pirates et les cryptanalystes pour extraire le texte brut de sa version cryptée en l'absence d'une clé de cryptage. Cependant, casser le cryptage nécessite beaucoup de ressources informatiques et de temps - cela peut littéralement prendre des années pour résoudre un tel problème.

Il est beaucoup plus courant d'essayer de voler la clé de chiffrement, et cela se comprend : c'est beaucoup plus facile que de déchiffrer le chiffrement. C'est à cette méthode que les pirates ont recours en premier lieu. Il ne s'agit plus seulement de mathématiques, mais d'une combinaison de nombreux facteurs différents, notamment des astuces techniques, la puissance de calcul, la tromperie, les ordonnances judiciaires et l'utilisation de portes dérobées, de pots-de-vin et d'autres sales tours. Et tout cela parce que la solution des chiffrements est une tâche très complexe et gourmande en ressources.

Vulnérabilités VPN connues

Le célèbre Edward Snowden et les experts en sécurité informatique ont déclaré à plusieurs reprises que la NSA (Agence de sécurité nationale des États-Unis) avait brisé le cryptage utilisé pour protéger la plupart du trafic Internet, y compris le trafic des services VPN. Les documents de Snowden indiquent que la NSA décrypte le trafic des services VPN en interceptant le trafic crypté et en transmettant les données à des ordinateurs puissants, qui renvoient ensuite la clé.

Les experts en sécurité informatique Alex Halderman et Nadia Heninger présentent un rapport convaincant montrant que la NSA peut en effet décrypter de grandes quantités de trafic HTTPS, SSH et VPN avec une attaque Logjam ciblant les utilisations clés de l'algorithme Diffie - Hellman.

Le succès de la NSA est dû à une vulnérabilité dans l'implémentation de l'algorithme Diffie-Hellman. L'essence de cette vulnérabilité est que les programmes de chiffrement utilisent des nombres premiers standardisés. Halderman et Heninger soutiennent que pour quelques centaines de millions de dollars américains, un ordinateur suffisamment puissant pour pouvoir déchiffrer un seul chiffrement Diffie-Hellman de 1024 bits peut être construit. Il faudra environ un an pour créer un tel ordinateur, et quant au montant nécessaire pour cela, rien n'est impossible au regard du budget annuel de la NSA.

Hélas, il se trouve que tous les nombres premiers (inférieurs à 1024 bits) ne sont pas couramment utilisés dans les applications d'usage courant utilisant le cryptage - y compris les services VPN. En conséquence, le craquage de tels algorithmes devient encore plus facile. Comme l'a déclaré Bruce Schneier, « Les mathématiques sont bonnes, mais elles ne peuvent pas être piratées. Mais le code est une autre affaire.

Devriez-vous continuer à utiliser les services VPN ?

Halderman et Heninger conseillent aux services VPN de migrer vers des clés de chiffrement Diffie-Hellman 2048 bits ou même plus complexes, et ils ont préparé un guide pour les utiliser avec le protocole TLS. L'Internet Engineering Task Force (IETF) conseille également d'utiliser les dernières versions de protocole qui nécessitent des séquences plus longues de nombres premiers.

Les pirates peuvent déchiffrer les clés de chiffrement Diffie-Hellman si leur longueur est inférieure ou égale à 1 024 bits (environ 309 caractères). Craquer des clés 2048 bits sera un vrai problème pour les hackers ! En d'autres termes, ils ne pourront pas déchiffrer les données protégées par de telles clés pendant très longtemps.

Quant aux utilisateurs, il convient de noter que les pirates connaissent les vulnérabilités des services VPN et des protocoles de cryptage, avec lesquels ils volent et accèdent aux données cryptées. Cependant, vous êtes bien mieux protégé avec les services VPN que sans eux.. Votre ordinateur peut être piraté, mais cela coûtera très cher et prendra beaucoup de temps. Et oui, moins vous êtes visible, plus vous êtes protégé.

Comme le déclare Snowden, « le chiffrement aide vraiment. Vous pouvez vraiment compter sur des systèmes de cryptage de données fiables et bien configurés. Par conséquent, vous devez éviter les services VPN qui utilisent principalement les algorithmes de hachage SHA-1 ou MD5, ainsi que les protocoles PPTP ou L2TP/IPSec. Choisissez un service VPN qui utilise la dernière version d'OpenVPN(option extrêmement sécurisée) ou SHA-2. Si vous ne pouvez pas déterminer avec certitude lequel des algorithmes de cryptage le service utilise, recherchez ces informations dans le manuel de l'utilisateur ou contactez le service d'assistance client du service.

Les services VPN sont vos amis. Faites confiance au cryptage, ne doutez pas des calculs. Utilisez les services VPN aussi souvent que possible, essayez de vous assurer que vos points de sortie sont également bien protégés. De cette façon, vous pouvez rester en sécurité même si votre tunnel crypté est piraté.

Divide and Conquer : un hack garanti pour MS-CHAPv2

Alexandre Antipov

À Defcon 20, David Hulton et moi avons présenté une présentation sur le hack MS-CHAPv2. Cet article donne un aperçu approximatif de ce que nous avons couvert dans notre conversation.

Lors de la 20e conférence Defcon, nous David Hulton a présenté une présentation sur le piratage MS-CHAPv2. Cet article donne un aperçu approximatif de ce que nous avons couvert dans notre conversation.

Pourquoi MS-CHAPv2 ?

La première question évidente est pourquoi poursuivons-nous MS-CHAPv2, étant donné le sentiment de longue date qu'Internet ne devrait pas s'appuyer sur ce protocole. Malheureusement, même s'il s'agit d'un protocole dépassé et objet de nombreuses critiques, il continue d'être utilisé partout. Le plus notable est l'utilisation de MS-CHAPv2 dans le VPN PPTP. Il est également très utilisé dans les configurations WPA2 Enterprise, en particulier lorsqu'il s'appuie sur ses propriétés d'authentification mutuelle. Pour notre entretien, nous avons compilé une liste de centaines de fournisseurs de VPN qui s'appuient sur PPTP. Il comprend des exemples notables tels que iPredator, le service VPN The Pirate Bay, censé être conçu pour protéger les échanges d'informations de la surveillance gouvernementale.

Nous pensons que MS-CHAPv2 reste si répandu parce que les chercheurs précédents sur les faiblesses potentielles du protocole se sont principalement concentrés sur les attaques par dictionnaire. Lorsque vous combinez cette limitation de la recherche avec le nombre extrêmement élevé de clients qui prennent en charge le protocole et sa compatibilité avec le système d'exploitation, on comprend pourquoi cette solution, qui nécessite le moins de mouvements de l'utilisateur, est si tentante.

Maintenant quoi?

1) Tous les utilisateurs et fournisseurs de solutions VPN PPTP doivent commencer à migrer immédiatement vers un autre protocole VPN. Le trafic PPTP doit être considéré comme non chiffré.

2) Les entreprises qui dépendent des fonctionnalités d'authentification mutuelle MS-CHAPv2 pour se connecter à leurs serveurs RADIUS WPA2 doivent immédiatement commencer à migrer vers une solution alternative.

Dans de nombreux cas, les grandes entreprises ont choisi d'utiliser IPSEC-PSK plutôt que PPTP. Alors que PPTP est maintenant apparemment compromis, IPSEC-PSK est probablement encore plus vulnérable à un vecteur d'attaque par dictionnaire que PPTP ne l'a jamais été. PPTP nécessite au moins qu'un attaquant intercepte le trafic réseau actif afin de lancer une attaque par dictionnaire hors ligne, tandis que le VPN IPSEC-PSK en mode agressif émet essentiellement des hachages à tout attaquant qui se connecte.

Compte tenu des solutions disponibles aujourd'hui, tout déploiement sécurisé nécessite une vérification des certificats. Cela concerne soit la configuration OpenVPN, soit l'utilisation d'IPSEC en mode certificat au lieu de PSK.

@SooLFaa :
Sans hésitation, j'ai décidé de prendre la recommandation au pied de la lettre.

Prise de connaissance et lancement du programme.

Les routeurs ne seront pas attaqués depuis ma machine locale, mais depuis un VDS distant spécialement loué exécutant Windows. Double-cliquer sur le bouton gauche de la souris m'a emmené aux Pays-Bas.

Comme son titre l'indique, RouterScan agira comme un outil d'attaque. Pour télécharger le programme, rendez-vous sur le forum Antichat. Selon l'auteur, vous devez télécharger le programme uniquement à partir de là.

Le programme est portable, son installation consiste à décompresser l'archive téléchargée dans un dossier spécifié.

Par défaut, le programme attaque les routeurs sur les ports 80, 8080, 1080. Je pense que cette liste est tout à fait justifiée et ne nécessite aucun ajout ou modification.
De plus, le programme a la capacité de connecter des modules supplémentaires

• Balayage du routeur (principal)
• Détecter les serveurs proxy
• Utiliser HNAP 1.0
• Gestionnaire SQLite RCE
• Servlet Java Hudson
• RCE phpMyAdmin

et, avec une attaque sur les routeurs, "sonde" toutes les adresses IP dans une plage donnée.
Mais une telle charge de travail du programme ralentira considérablement son travail, nous ne toucherons donc à rien dans cette fenêtre. après tout, le but de l'attaque est d'accéder à l'interface WEB d'un routeur aléatoire pour écrire un article.

Il ne reste plus qu'à sélectionner la plage IP pour l'attaque et vous pouvez exécuter le programme.
On se rend sur le site qui fournit des plages IP par pays et on sélectionne au hasard la Pologne comme victime (le choix du pays est aléatoire).

Une fois les plages souhaitées insérées dans la fenêtre correspondante du programme, vous pouvez démarrer le programme.
Le temps consacré au processus de piratage des routeurs dépend du nombre d'adresses IP dans la plage sélectionnée et peut prendre beaucoup de temps.
Mais pour écrire un article, je n'ai besoin que d'un seul routeur piraté, qui a la capacité de monter un serveur VPN. Ces modèles peuvent être des routeurs ASUS, Mikrotik ou tout autre modèle avec le firmware DD-WRT. En jetant un coup d'œil rapide à la liste des routeurs qui apparaissent dans l'onglet "Bons résultats", il n'est pas difficile de constater que les modèles de ces routeurs figurent sur la liste.

Nous élevons le serveur VPN sur le routeur.

Pour le rôle de la victime dans cet article, j'ai choisi un routeur exécutant DD-WRT.

Mon choix s'explique par le fait que le firmware mentionné offre la possibilité d'utiliser le routeur comme serveur VPN en utilisant le protocole PPTP, et plus récemment j'ai consacré ce protocole.

Nous copions l'URL du routeur souhaité dans la barre d'adresse du navigateur et après avoir chargé la page, nous nous retrouvons dans son interface WEB avec les droits d'administrateur.

Pour que le routeur agisse en tant que serveur VPN, vous devez accéder à l'onglet Services - PPTP.

Un article de synthèse sur l'utilisation de tunnels privés modernes dans les routeurs d'une marque lettone populaire. Je vais parler de la façon de configurer un serveur vpn dans mikrotik basé sur des technologies telles que l2tp, ipsec, openvpn, pptp, gre et eoip. En cours de route, je parlerai brièvement de ce que sont ces technologies, de leurs différences et comparerai également les performances de Mikrotik avec tous les tunnels indiqués.

Cet article fait partie d'une seule série d'articles sur .

Introduction

Je tiens tout de suite à attirer votre attention sur le fait que cet article sera plus un aperçu qu'un transfert d'expérience réelle, puisque moi-même je l'utilise le plus souvent comme serveur vpn. Néanmoins, j'ai également dû faire face à vpn à Mikrotik. J'ai configuré les deux serveurs pptp pour connecter des clients distants et l2tp pour combiner deux ou plusieurs Mikrotiks dans un réseau privé commun. Le plus souvent par défaut, sans entrer dans les subtilités des réglages.

Pour ceux qui veulent bien connaître les réseaux, mais qui, pour une raison quelconque, ne savent pas encore comment faire, je recommande cette série d'articles - les réseaux pour les plus petits.

Options du serveur VPN Mikrotik

Tout est compliqué avec les options de serveur vpn dans Mikrotik :) Dans le sens où il existe de nombreuses implémentations de vpn, ce qui n'est pas si facile à choisir si vous ne comprenez pas les technologies réseau en détail. Je ne sais pas grand-chose à leur sujet, mais je pense que j'ai un peu saisi l'essentiel. Je vais essayer de vous expliquer dans mes propres mots quelles sont les différences.

Il existe 2 solutions fondamentalement différentes pour organiser les connexions entre deux Mikrotiks et des abonnés externes :

1. Création d'un tunnel site à site l2 avec Tunnel EOIP. Le moyen le plus simple et le plus rapide de combiner deux Mikrotiks. Si le cryptage n'est pas utilisé, les connexions VPN les plus rapides seront obtenues. Vous avez besoin d'adresses IP blanches dédiées sur les deux appareils. Ces connexions sont utilisées pour unir les bureaux ou les succursales via vpn. Ne fonctionne généralement pas via NAT. Je rajouterai aussi ici Tunnel GRE, bien qu'il fonctionne en l3 et utilise le routage, il fonctionne également sur une base site à site.
2. Connexions VPN de niveau l3 sur la technologie Client-Serveur, telles que PPTP, L2TP, SSTP, OpenVPN. Ces connexions sont utilisées à la fois pour unir les bureaux et pour connecter les employés distants. Une seule adresse IP blanche côté serveur suffit pour créer des connexions vpn. Fonctionne via NAT.

Je vais vous en dire un peu plus sur chaque type de connexions vpn séparément.

• Tunnel GRE - Utilise le protocole gre simple pour créer un VPN de site à site non sécurisé de base. Développé par CISCO. Vous permet d'encapsuler des paquets de différents types dans des tunnels IP. En termes simples, c'est ce qu'il fait. Il prend vos données avec tous les en-têtes, les regroupe dans un paquet, les transfère sur Internet à l'autre extrémité, où ce paquet est réanalysé dans les données d'origine. Pour les utilisateurs finaux du réseau, tout semble communiquer sur un réseau local.
• Tunnel EOIP - Ethernet sur IP est un protocole propriétaire MikroTik RouterOS qui crée un tunnel Ethernet entre deux routeurs via une connexion IP. Il utilise le protocole GRE pour le transfert de données. La différence fondamentale entre le tunnel eoip est qu'il fonctionne en l2 et transmet directement les trames, tandis que le tunnel gre fonctionne sur les paquets et utilise le routage. J'espère que j'ai bien expliqué et que je n'ai pas menti. Pourquoi mikrotik a décidé de créer sa propre implémentation du tunnel via le protocole gre, je ne sais pas. Peut-être qu'il n'y a tout simplement pas de solutions similaires, alors ils ont proposé leur propre implémentation.
• PPTP est un protocole de tunneling point à point. Pour le travail utilise le protocole GRE, prend en charge le cryptage. À une certaine époque, pptp a acquis une grande popularité en raison du fait qu'il était pris en charge par Windows depuis la version 95. Aujourd'hui, il n'est pas recommandé d'utiliser pptp, car il est très facilement piraté. A partir du vidage du trafic, en peu de temps (quelques heures), la clé de chiffrement est obtenue et tout le trafic est déchiffré. Peut-être que cela peut être traité d'une manière ou d'une autre en utilisant différents protocoles de cryptage, mais je n'ai pas compris ce sujet en détail. J'ai décidé moi-même que pptp peut être utilisé comme la solution la plus simple lorsqu'il n'y a pas d'exigences de sécurité accrues et que le décryptage du trafic, le cas échéant, ne posera aucun problème. PPTP prend en charge non seulement Windows mais aussi Android, ce qui est très pratique. Très facile à mettre en place.
• L2TP - Protocole de tunnellisation de couche 2. Malgré le fait que l2 soit indiqué dans le nom, cela fonctionne en fait sur le réseau IP au niveau de la session, c'est-à-dire l3. Utilise le port udp 1701. Peut fonctionner non seulement dans les réseaux IP. Prêt à l'emploi, comme pptp, il prend en charge l'authentification des utilisateurs. En soi, il ne fournit pas de cryptage. Il peut utiliser ipsec pour chiffrer le trafic, qui est considéré comme très sécurisé et ne présente pas de vulnérabilités graves. Actuellement pris en charge par presque tous les appareils et systèmes prêts à l'emploi, tout comme pptp. Ce n'est pas beaucoup plus difficile à mettre en place. En général, je recommande d'utiliser ce type de tunnel crypté pour organiser le vpn.
• OpenVPN est une implémentation très populaire des connexions cryptées. Le principal avantage est la flexibilité des paramètres. Par exemple, une fonctionnalité très intéressante d'openvnp est de pousser les routes directement vers le client lors de la connexion. J'utilise des serveurs openvpn depuis longtemps. Lorsque, pour la première fois, il a été nécessaire de transférer la route vers le client pptp, je n'arrivais pas à comprendre comment la configurer. Il s'est avéré qu'en aucun cas, il ne sait tout simplement pas comment. J'ai dû utiliser des outils tiers. Malheureusement, pour des raisons inconnues, mikrotik openvpn ne prend pas en charge le protocole udp, ce qui réduit considérablement les possibilités d'utilisation de ce serveur vpn. Cela fonctionne beaucoup plus lentement sur tcp que sur udp. La compression d'en-tête de paquet ne fonctionne pas non plus. Donc, en général, utiliser un serveur openvpn dans Mikrotik n'a pas de sens, sauf si vous en avez besoin pour une raison spécifique.
• SSTP - Secure Socket Tunneling Protocol - a été introduit par Microsoft dans Windows Vista SP1. Le principal plus est qu'il est intégré à Windows, il peut utiliser le port 443, ce qui permet parfois de contourner les pare-feux. Considéré comme très sécurisé, utilise SSL 3.0. Parmi les inconvénients, pour autant que je sache, Mikrotik est très exigeant en ressources processeur. Sur des morceaux de fer faibles, il donnera la vitesse la plus faible par rapport à toutes les autres connexions vpn. Pour cette raison, je ne le considérerai pas du tout dans mon examen.

De ce qui a été écrit, on peut tirer la conclusion suivante. En général, il est préférable d'utiliser un vpn basé sur l2tp + ipsec dans Mikrotik. Raisons principales:

1. Simplicité et commodité de configuration.
2. Cryptage fort.
3. Prise en charge des connexions l2tp par presque tous les appareils et systèmes modernes. Pas besoin d'installer de logiciel supplémentaire.
4. Convient à la fois à la consolidation de bureaux et aux employés distants - connexions site à site et client à site.

Si vous avez besoin de performances maximales sans cryptage, établissez des connexions entre les réseaux ou les bureaux à l'aide du tunnel EOIP, un développement propriétaire de Mikrotik.

Commençons à configurer et à tester les connexions vpn dans mikrotik.

Mise en place d'un tunnel l2tp à mikrotik

Tout d'abord, configurons un tunnel l2tp simple sans cryptage et mesurons la vitesse. Pour configurer l2tp vpn dans mikrotik, suivez les étapes ci-dessous.

Passons à la rubrique IP -> Piscine et ajouter un pool d'adresses IP pour le tunnel vpn.

Créer un profil pour le tunnel dans PPP -> Profils.

Les autres onglets ont des paramètres par défaut. Ensuite, créez un utilisateur dans PPP -> secrets.

Maintenant, nous démarrons le serveur l2tp. Allons à PPP et cliquez sur le bouton Serveur L2TP.

Définissez les paramètres du serveur l2tp. n'activez pas encore ipsec.

Le serveur VPN est configuré. Nous allons maintenant lui créer une interface permanente afin de créer des routes statiques basées sur celle-ci. Allons à Interfaces et créer.

La touche finale. Nous créons une route statique, à l'aide de laquelle les abonnés du réseau local du serveur pourront se connecter à l'abonné du réseau local derrière un routeur distant via vpn. Allons à IP -> Routes et ajouter un itinéraire.

Nous ajoutons une route statique pour que les clients de ce routeur sachent où contacter les abonnés du réseau local distant pour vpn.

C'est tout. Nous avons configuré l2tp sur un mikrotik distant et avons ainsi connecté 2 réseaux locaux en utilisant vpn. Dans la liste des adresses IP avec une connexion l2tp active sur le serveur et le client, vous devriez voir les adresses IP de la plage spécifiée sur le serveur pour le réseau vpn - 10.10.5.1-10.10.5.100. Vous pouvez maintenant envoyer un ping aux réseaux opposés des deux réseaux.

J'ai des ordinateurs portables connectés aux deux Mikrotiks pour les tests. Maintenant, je vais mesurer la vitesse de connexion en utilisant iperf3. Derrière le routeur m-télécommande sur un ordinateur portable 10.30.1.254 je démarre le serveur, et sur 10.20.1.3 l'agent. Exécutez le test de vitesse de connexion VPN :

vitesse moyenne 194 Mbit/s. Franchement, je ne comprenais pas pourquoi une si faible vitesse. Mon banc de test est monté sur deux routeurs Mikrotik et un switch Gigabit Mikrotik entre eux. Je m'attendais à voir quelque chose dans la région de 500 Mbps. Permettez-moi de vous rappeler que le tunnel n'est pas encore chiffré. Dans le même temps, la charge du processeur sur les routeurs était de l'ordre de 90 à 95 %. C'est, en fait, le plafond de ces morceaux de fer.

Essayons maintenant d'activer le cryptage ipsec et de mesurer la vitesse avec.

Mise en place d'ipsec

Avec le paramètre ipsec pour l2tp, je suis resté bloqué pendant un moment. Il existe de nombreuses instructions sur le net, mais elles sont toutes obsolètes. Il s'est avéré que dans les dernières versions du firmware, démarrer ipsec dans les paramètres par défaut n'est pas facile, mais très simple. Pour cela, il suffit de préciser dans les propriétés du serveur l2tp Utiliser IPsec- oui et définissez un mot de passe.

Tous les paramètres ipsec nécessaires seront créés automatiquement. Sur l'agent, faites de même - activez le cryptage ipsec et spécifiez un mot de passe.

Après avoir connecté le client l2tp, vous verrez des lignes similaires dans le journal :

19:17:00 l2tp,ppp,info l2tp-out1 : initialisation... 19:17:00 l2tp,ppp,info l2tp-out1 : connexion... 19:17:03 ipsec,info initier une nouvelle phase 1 (identité Protection : 192.168.13.197<=>192.168.13.1 19:17:04 ipsec, info ISAKMP-SA établi, info l2tp-out1 : connecté

Afin de vous assurer que le cryptage ipsec fonctionne, vous pouvez vous rendre dans la section IP -> Ipsec -> SA installées et regardez le compteur de paquets cryptés. S'il grandit, alors tout est en ordre, le trafic est crypté.

Là dans la rubrique Pairs distants vous pouvez voir la liste des clients distants pour lesquels le cryptage ipsec fonctionne, voir les algorithmes utilisés. Tous les paramètres ipsec par défaut se trouvent dans cette section. Vous pouvez les visualiser, les modifier ou ajouter de nouveaux profils. Par défaut, l'algorithme d'autorisation sha1 et le cryptage AES sont utilisés. Vous pouvez modifier ces paramètres si vous êtes familiarisé avec le sujet. Je ne vais pas être malin, je n'ai pas creusé le sujet du cryptage. Je ne sais pas quels algorithmes sont les plus rapides et les plus sûrs.

Testons la vitesse de la connexion vpn l2tp + ipsec.

Je l'ai eu comme ça - 26 Mbit/s moyen. Dans le même temps, la charge du processeur est de 100 %. Pas beaucoup. Ces pièces de fer pour chaînes cryptées sont très mal adaptées. Dans ces tests, ils ne sont pas chargés avec autre chose que le test lui-même. En conditions réelles, la vitesse sera encore plus faible.

Fait avec les paramètres vpn basés sur l2tp + ipsec. Continuons à configurer d'autres tunnels vpn et comparons leur vitesse.

Configurer un serveur pptp dans mikrotik

La configuration d'un serveur pptp ne diffère pas fondamentalement de l2tp. La logique et la séquence des actions sont les mêmes. Nous créons d'abord un pool d'adresses dans IP -> Piscine pour le réseau vpn. J'utiliserai le même pool que nous avons créé précédemment.

Ce profil spécifie les paramètres de chiffrement par défaut pour lesquels il est désactivé. Vérifions d'abord la vitesse du canal vpn sans eux. Créez un nouvel utilisateur pour une connexion PPP à distance.

Nous activons le serveur pptp dans la section PPP.

Créons maintenant dans la liste d'interface Liaison au serveur PPTP par analogie avec la section précédente.

Et enfin, nous ajoutons une route statique vers le réseau distant via une connexion pptp.

La configuration du serveur pptp est maintenant terminée. Sur le pare-feu, vous devrez ouvrir les éléments suivants pour les connexions d'interface externe entrantes :

• Port TCP 1723
• Protocole GRE

Configurons le client pptp.

client PPP

Nous allons sur un routeur distant et y établissons une connexion via un client pptp. Nous allons, comme d'habitude, à la section PPP et ajouter Client PPTP. Sur l'onglet Général, on ne touche à rien, mais sur Dial Out on indique l'adresse du serveur pptp et le nom d'utilisateur auquel se connecter.

Nous ajoutons une route statique vers le bureau distant via un tunnel VPN.

Tout est prêt. Nous activons la connexion pptp et essayons de pinger les adresses sur le réseau local. Vous pouvez vous assurer que le chiffrement est désactivé dans l'état de la connexion pptp sur le client.

Vérifions maintenant la vitesse de la connexion vpn via pptp.

Même 194 Mbit/s qui est sur l2tp non crypté à 100% d'utilisation du processeur. En général, c'était un peu étrange de voir exactement les mêmes chiffres. J'ai testé plusieurs fois, mais partout le même résultat était stable. Sans cryptage, il n'y a pas de différence de vitesse entre les connexions l2tp et pptp.

Maintenant, activons le cryptage en pptp sur le serveur et regardons la vitesse. Pour ce faire, nous spécifions explicitement dans le profil pptp que le chiffrement est utilisé. Allons à PPP -> Profils et modifier notre profil.

Vérifiez dans l'état du client que le cryptage fonctionne.

Je teste la vitesse d'une connexion VPN via pptp avec le cryptage activé.

Rendu en moyenne 71 Mbit/s. Pas un mauvais résultat par rapport au cryptage ipsec en l2tp. Comme je l'ai dit plus tôt, un serveur pptp est bien adapté lorsque le cryptage n'est pas du tout nécessaire ou qu'il est possible que le trafic crypté soit décrypté. Mais en même temps, il est toujours fermé par cryptage et tous ceux qui y passeront ne pourront rien voir. Vous devez au moins prendre un vidage du trafic et sélectionner d'une manière ou d'une autre une clé dans un dictionnaire ou une force brute. Je ne sais pas exactement comment cela fonctionne en pratique. N'a pas étudié la question.

Passons maintenant au serveur openvpn de Mikrotik. Il est très curieux de regarder les tests de vitesse de ce type de connexions vpn.

Configuration du serveur openvpn dans Mikrotik

Il n'y a rien de compliqué à mettre en place un serveur openvpn sur mikrotik, si ce n'est la nuance avec les certificats. Pour quelqu'un qui n'a jamais travaillé avec eux, tout peut sembler trop confus. De plus, Mikrotik lui-même ne dispose d'aucun moyen pour créer des certificats serveur et client. Des utilitaires tiers doivent être utilisés. Si vous avez une machine Linux, vous pouvez utiliser mon .

Si vous n'avez pas de machine Linux, mais que vous êtes toujours déterminé à créer un tunnel vpn en utilisant openvpn dans Mikrotik, alors parlons plus en détail de la configuration. Tout d'abord, nous avons besoin de la distribution openvpn pour Windows. Vous pouvez le télécharger à partir du lien - https://openvpn.net/community-downloads/ . Nous serons intéressés par Windows Installer.

Nous effectuons l'installation au nom de l'administrateur et spécifions dans le processus un composant appelé Scripts de gestion des certificats EasyRSA 2.

Aller au répertoire C:\Program Files\OpenVPN. Déplacer le dossier à partir de là facile-rsa ailleurs afin que vous n'ayez pas à trébucher constamment sur UAC, ce qui vous empêchera de travailler sereinement dans les fichiers du programme. j'ai déménagé à D:\tmp\easy-rsa. Renommer le fichier vars.bat.sample dans vars.bat. Nous l'ouvrons pour l'édition et l'amenons approximativement à la forme suivante.

Pour ceux qui ne comprennent pas, ce ne sont que des variables que j'ai spécifiées pour mes besoins. Là, vous pouvez écrire ce que vous voulez, ce n'est pas essentiel pour notre tâche. Vous ne pouvez rien changer du tout, mais laissez-le tel quel. Créer un dossier dans un répertoire clés. Ensuite, exécutez la ligne de commande en tant qu'administrateur et déplacez-vous dans le répertoire spécifié D:\tmp\easy-rsa.

Nous répondons aux questions posées et terminons la création du certificat racine. Il apparaîtra dans le dossier D:\tmp\easy-rsa\keys. Ensuite, créez un certificat de serveur openvpn avec la commande - build-key-server nom_serveur.

Générons maintenant un certificat pour le client. Je n'ai qu'un seul client sous la forme d'un Mikrotik distant. Vous créez exactement ce dont vous avez besoin. Nous utilisons la commande build-key nom_certificat.

Nous en avons fini avec la création des certificats. Ils se trouvent tous dans le répertoire des clés. Sur Mikrotik, qui agira comme un serveur openvpn, vous devez transférer les fichiers :

• ca.crt
• ovpnserver.crt
• ovpnserver.key

Importez des certificats à partir des fichiers ajoutés. Allons à Système -> Certificats et importer d'abord ca.crt, après ovpnserver.crt et ovpnserver.key.

Cela devrait donner quelque chose comme ça. Commençons maintenant à configurer le serveur openvpn dans mikrotik. Créons un profil séparé pour cela dans PPP -> Profils.

Tous les paramètres sont par défaut. En tant qu'adresse locale et distante, j'utilise Ip Pool, que j'ai créé au tout début de la configuration de l2tp. Ajouter un utilisateur distant pour openvpn dans PPP->Secrets.

Passons à la rubrique PPP et cliquez Serveur OVPN. Spécifiez les paramètres et le certificat ca téléchargé.

Ceci termine la configuration du serveur openvpn dans Mikrotik. Par défaut, le protocole de chiffrement sera utilisé. BF-128-CBC. Il peut être modifié dans les propriétés du client et la liste de tous les chiffrements pris en charge dans les propriétés du serveur vpn.

Pour que le paramètre de serveur openvpn spécifié fonctionne, il est nécessaire d'ouvrir le port TCP entrant 1194 sur le pare-feu. Maintenant, configurons le client openvpn et testons la vitesse de connexion via vpn basé sur openvpn.

client open vpn

Pour configurer le client openvpn sur mikrotik, vous devez y transférer les certificats générés à l'étape précédente. Plus précisément, ces fichiers :

• m-remote.crt
• m-remote.key

Nous importons, comme sur le serveur, un certificat à partir de ces fichiers. J'attire votre attention sur le fait qu'il doit y avoir des caractères KT en regard du nom du certificat.

Configure maintenant le client openvpn. Allons à PPP et ajouter Client OVPN.

Ajoutez une route statique pour accéder aux ressources réseau distantes derrière un serveur openvpn.

Tout est prêt. Vous pouvez vous connecter et tester la vitesse d'une connexion VPN via openvpn.

Rendu en moyenne 24 Mbit/sà 100 % d'utilisation du processeur. Le résultat est comparable à l2tp + ipsec. Un peu surpris du résultat. Je pensais que ce serait pire que l2tp, mais en réalité c'est pareil. Personnellement, j'aime mieux l'option openvpn en général, bien qu'en raison des paramètres openvpn limités dans Mikrotik, les avantages d'openvpn soient difficiles à réaliser. Permettez-moi de vous rappeler que j'ai testé avec le cryptage BF-128-CBC, c'est-à-dire Blowfish.

Voici le résultat avec AES-128-CBC - 23 Mbps, à peu près le même.

Mikrotik s'est occupé des implémentations client-serveur du serveur vpn. Regardons maintenant la vitesse de l2-vpn sous la forme d'un tunnel eoip.

Tunnel EOIP + configuration IPsec

Configurez un réseau vpn basé sur EOIP à Mikrotik. Ici, vous devez comprendre une différence importante par rapport à tous les paramètres précédents que nous avons définis précédemment. Le tunnel EOIP fonctionne au niveau l2, c'est-à-dire que les deux segments de réseau considéreront qu'ils se trouvent dans le même réseau physique. L'espace d'adressage pour les deux sera le même. Dans mon exemple, c'est 10.20.1.0/24. Il ne devrait y avoir qu'un seul serveur DHCP pour les deux réseaux. Dans mon cas, il restera allumé m-serveur.

Nous créons un tunnel EOIP sur m-server. Allons à Liste des interfaces -> Tunnel EoIP et en ajouter un nouveau.

Parmi les paramètres, il suffit de spécifier uniquement l'adresse distante du deuxième Mikrotik. La nouvelle interface EoIP doit être ajoutée au pont local avec les interfaces physiques.

Nous allons au Mikrotik distant et faisons la même chose là-bas, spécifions seulement une adresse distante différente.

Cela suffit pour que le tunnel EoIP soit opérationnel immédiatement. Son état sera RS.

Sur le deuxième Mikrotik, l'interface EoIP doit également être ajoutée au pont local avec le reste des interfaces.

Le moyen le plus simple de vérifier que tout est en ordre est de demander via dhcp sur m-slave ip l'adresse de l'interface bridge. Il devrait obtenir une adresse IP d'un serveur DHCP sur m-server, à condition qu'il n'y ait pas d'autres serveurs DHCP sur le réseau. La même chose se produira avec les machines locales sur le réseau derrière m-slave. Ils obtiendront les adresses IP du serveur DHCP sur m-server.

Vérifions maintenant les performances d'un tel tunnel VPN basé sur EoIP.

Je montre le résultat maximum que j'ai obtenu - 836 Mbit/s. Pour une raison quelconque, dans différents tests, la vitesse oscillait entre 600 et 850 Mbps. Pour que la vitesse change, il était nécessaire de désactiver et de réactiver l'interface EoIP. La vitesse est impressionnante. Dans le même temps, le processeur n'est pas chargé à 100%. C'est-à-dire qu'il ne s'agit pas d'un goulot d'étranglement. Il semble que j'ai rencontré des problèmes de performances réseau. Permettez-moi de vous rappeler qu'il n'y a pas de cryptage et de routage du trafic. Canal l2 direct entre deux Mikrotiks via EoIP vpn.

Ajoutons le cryptage Ipsec au tunnel EoIP et regardons la vitesse. Pour ce faire, modifiez les paramètres de canal sur les deux Mikrotiks. Ajoutez un mot de passe Ipsec et des adresses locales, désactivez Fast Path.

Cours en ligne "Ingénieur réseau"

Si vous souhaitez apprendre à créer et à entretenir des réseaux hautement disponibles et fiables, je vous recommande de consulter le cours en ligne Network Engineer chez OTUS. Il s'agit d'un programme d'auteur combiné à une pratique à distance sur un équipement réel et à un certificat académique Cisco ! Les étudiants acquièrent des compétences pratiques pour travailler sur des équipements à l'aide d'un laboratoire en ligne à distance fonctionnant sur la base d'un partenaire de formation - RTU MIREA : routeurs Cisco 1921, Cisco 2801, Cisco 2811 ; Commutateurs Cisco 2950, ​​​​Cisco 2960. Caractéristiques du cours :

• Le cours contient deux travaux de projet.;
• Les étudiants sont inscrits à la Cisco Academy officielle (OTUS, Cisco Academy, ID 400051208) et ont accès à toutes les parties du cours CCNA Routing and Switching ;
• Les étudiants peuvent passer l'examen et recevoir, avec le certificat OTUS, un autre certificat de cours "CCNA Routing and Switching: Scaling Networks" ;

Testez-vous sur le test d'entrée et découvrez le programme plus en détail.