Virtuale rete privata (Virtual Private Network, di seguito semplicemente VPN) consente di creare su Internet, un tunnel virtuale sicuro da un dispositivo all'altro. Se accedi alla rete attraverso un tale tunnel, allora tutti gli altri – compreso il tuo fornitore – diventa molto difficile seguire le tue azioni.

I servizi VPN aiutano anche a sostituire i dati sulla tua posizione fisica con qualsiasi altro, il che ti consente di accedere ai servizi che sono bloccati per gli utenti di determinate regioni su base geografica. L'utilizzo di una VPN consente di proteggere la riservatezza (i dati rimangono segreti) e l'integrità (i dati rimangono invariati) dei messaggi trasmessi sulla rete.

Connettersi a una VPN è piuttosto semplice. Innanzitutto, l'utente va online collegandosi ai server del provider, quindi stabilisce una connessione VPN con il server VPN utilizzando il client ( programma speciale installato sul computer dell'utente). Il servizio VPN riceve quindi le pagine richieste dall'utente e gliele passa attraverso un tunnel sicuro. Ciò garantisce la protezione dei dati e della privacy dell'utente durante il lavoro in rete.

Come funziona la crittografia VPN?

Un protocollo VPN è un insieme di regole per il trasferimento e la crittografia dei dati. La maggior parte dei servizi VPN fornisce ai propri clienti diversi protocolli VPN tra cui scegliere, con i più comuni: Point to Point Tunneling Protocol (PPTP), Layer Two Tunneling Protocol (L2TP), Internet Protocol Security (IPSec) e OpenVPN (SSL/TLS )).

Non puoi spiegare come le VPN proteggono la privacy degli utenti senza parlare di crittografia. I servizi VPN utilizzano una speciale tecnica di elaborazione dei dati (crittografia) per rendere i dati che leggono (testo normale) completamente illeggibili (testo cifrato) a chiunque possa intercettarli. L'algoritmo (cifratura) determina esattamente come i dati vengono crittografati e decrittografati all'interno di un particolare protocollo VPN. I protocolli VPN utilizzano questi algoritmi crittografici per crittografare i tuoi dati e mantenerli privati.

Ciascuno di questi protocolli VPN ha i suoi punti di forza e di debolezza a seconda del rispettivo algoritmo crittografico. Alcuni servizi VPN consentono agli utenti di scegliere autonomamente uno dei codici disponibili. Esistono tre tipi di cifratura: simmetrica, asimmetrica e hashing.

La crittografia simmetrica utilizza la stessa chiave per crittografare e decrittografare i dati. La crittografia asimmetrica utilizza due chiavi, una per la crittografia e una per la decrittografia. La tabella seguente confronta questi tipi di crittografia tra loro.

Parametro	Crittografia simmetrica	Crittografia asimmetrica
Chiavi	Una chiave per più entità	Un'entità ha una chiave pubblica e l'altra ha una chiave privata
Scambio di chiavi	Necessario modo sicuro invio e ricezione chiavi	La chiave privata è conservata dal proprietario, la chiave pubblica è a disposizione di tutti gli altri
Velocità	Più facile e veloce	Più duro e più lento
Affidabilità	L'hacking è più facile	Più difficile da hackerare
Scalabilità	Bene	Ancora più buono
Utilizzo	Per crittografare qualsiasi cosa	Solo chiavi e firme digitali
Opzioni di sicurezza	Garantire la privacy	Garantire privacy, autenticazione e ripudio
Esempi	DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 e RC6	RSA, ECC, DSA e Diffie-Hellman

La crittografia asimmetrica viene in soccorso quando è necessario superare i limiti insiti nella crittografia simmetrica (come mostrato nella tabella sopra). Whitfield Diffie e Martin Hellman facevano parte del primo gruppo di ricerca a lavorare sul perfezionamento della crittografia simmetrica, hanno sviluppato l'algoritmo di crittografia asimmetrica noto come Algoritmo Diffie-Hellman.

È un popolare algoritmo crittografico che è alla base di molti protocolli VPN, inclusi HTTPS, SSH, IPsec e OpenVPN. Con l'aiuto di questo algoritmo, due parti che non si sono mai incontrate prima possono negoziare una chiave privata anche quando la comunicazione avviene su una rete pubblica non sicura (come Internet).

L'hashing è una crittografia unidirezionale (irreversibile) utilizzata per proteggere l'integrità dei dati trasmessi. Molti protocolli VPN utilizzano algoritmi di hashing per verificare la validità dei messaggi inviati tramite una VPN. Gli esempi includono MD5, SHA-1 e SHA-2. Tuttavia, MD5 e SHA-1 non sono più considerati sicuri.

I servizi VPN possono essere violati, ma è molto, molto difficile. Se non utilizzi un servizio VPN, le tue possibilità di essere colpito dagli hacker sono molto più alte.

Qualcuno può hackerare un servizio VPN?

I servizi VPN rimangono uno dei modi più affidabili per proteggere privacy dell'utente quando si lavora in rete. Tuttavia, va ricordato che qualsiasi cosa può essere violata, specialmente se sei un obiettivo prezioso e i tuoi nemici hanno forze, tempo e mezzi sufficienti. Fortunatamente, la maggior parte degli utenti VPN ordinari non sono tali obiettivi e quindi è improbabile che attirino troppa attenzione su se stessi.

Per interrompere una connessione VPN, è necessario violare la crittografia e ciò richiede lo sfruttamento delle vulnerabilità nel sistema o nell'algoritmo o il furto della chiave di crittografia in un modo o nell'altro. Gli attacchi crittografici vengono utilizzati da hacker e crittoanalisti per estrarre testo in chiaro dalla sua versione crittografata in assenza di una chiave di crittografia. Tuttavia, violare la crittografia richiede molte risorse di elaborazione e tempo: possono letteralmente volerci anni per risolvere un problema del genere.

È molto più comune cercare di rubare la chiave di crittografia, e questo è comprensibile: è molto più facile che decifrare la cifra. È questo metodo a cui ricorrono gli hacker in primo luogo. Non è più solo una questione di matematica, ma di una combinazione di molti fattori diversi, tra cui trucchi tecnici, potenza di calcolo, inganni, ingiunzioni giudiziarie e uso di backdoor, corruzione e altri sporchi trucchi. E tutto perché la soluzione delle cifre è un'attività molto complessa e dispendiosa in termini di risorse.

Vulnerabilità VPN note

Il famigerato Edward Snowden e gli esperti di sicurezza informatica hanno ripetutamente affermato che la NSA (US National Security Agency) ha violato la crittografia utilizzata per proteggere la maggior parte del traffico Internet, incluso il traffico del servizio VPN. I materiali di Snowden affermano che la NSA decrittografa il traffico dei servizi VPN intercettando il traffico crittografato e trasmettendo dati a potenti computer, che poi restituiscono la chiave.

Gli esperti di sicurezza informatica Alex Halderman e Nadia Heninger presentano un rapporto convincente che mostra che la NSA può effettivamente decrittografare grandi quantità di traffico HTTPS, SSH e VPN con un attacco Logjam che prende di mira gli usi chiave dell'algoritmo Diffie: Hellman.

Il successo della NSA è dovuto a una vulnerabilità nell'implementazione dell'algoritmo Diffie-Hellman. L'essenza di questa vulnerabilità è che i programmi per la crittografia utilizzano numeri primi standardizzati. Halderman e Heninger sostengono che per poche centinaia di milioni di dollari è possibile costruire un computer abbastanza potente da essere in grado di decifrare un singolo cifrario Diffie-Hellman a 1024 bit. Ci vorrà circa un anno per creare un computer del genere, e per quanto riguarda l'importo necessario per questo, nulla è impossibile in termini di budget annuale della NSA.

Purtroppo, accade che non tutti i numeri primi (meno di 1024 bit) siano comunemente utilizzati nelle applicazioni per l'uso quotidiano che utilizzano la crittografia, inclusi i servizi VPN. Di conseguenza, decifrare tali algoritmi diventa ancora più semplice. Come ha affermato Bruce Schneier, “La matematica è buona, ma non può essere hackerata. Ma il codice è un'altra questione.

Dovresti continuare a utilizzare i servizi VPN?

Halderman e Heninger consigliano ai servizi VPN di migrare a chiavi di crittografia Diffie-Hellman a 2048 bit o anche più complesse e hanno preparato una guida per utilizzarle con il protocollo TLS. L'Internet Engineering Task Force (IETF) consiglia inoltre di utilizzare le ultime versioni del protocollo che richiedono sequenze di numeri primi più lunghe.

Gli hacker possono decifrare le chiavi di crittografia Diffie-Hellman se hanno una lunghezza inferiore o uguale a 1024 bit (circa 309 caratteri). Il cracking delle chiavi a 2048 bit sarà un vero problema per gli hacker! In altre parole, non saranno in grado di decifrare i dati protetti da tali chiavi per molto tempo.

Per quanto riguarda gli utenti, va notato che gli hacker conoscono le vulnerabilità dei servizi VPN e dei protocolli di crittografia, con i quali rubano e ottengono l'accesso ai dati crittografati. Tuttavia, sei molto più protetto con i servizi VPN che senza.. Il tuo computer può essere violato, ma sarà molto costoso e dispendioso in termini di tempo. E sì, meno sei visibile, più sei protetto.

Come afferma Snowden, “La crittografia aiuta davvero. Puoi davvero fare affidamento su sistemi di crittografia dei dati affidabili e ben configurati.” Di conseguenza, dovresti evitare i servizi VPN che utilizzano principalmente algoritmi di hashing SHA-1 o MD5, nonché protocolli PPTP o L2TP/IPSec. Scegli un servizio VPN che utilizza l'ultima versione di OpenVPN(opzione estremamente sicura) o SHA-2. Se non riesci a determinare con certezza quale degli algoritmi di crittografia utilizza il servizio, cerca queste informazioni nel manuale dell'utente o contatta il servizio di assistenza clienti del servizio.

I servizi VPN sono tuoi amici. Fidati della crittografia, non dubitare della matematica. Usa i servizi VPN il più spesso possibile, cerca di assicurarti che anche i tuoi punti di uscita siano ben protetti. In questo modo puoi stare al sicuro anche se il tuo tunnel crittografato viene violato.

Divide et impera: un hack garantito per MS-CHAPv2

Alessandro Antipov

A Defcon 20, David Hulton e io abbiamo presentato una presentazione sull'hack MS-CHAPv2. Questo post offre una panoramica approssimativa di ciò che abbiamo trattato nel nostro discorso.

Alla ventesima conferenza Defcon, noi David Hulton ha presentato una presentazione sull'hacking di MS-CHAPv2. Questo post offre una panoramica approssimativa di ciò che abbiamo trattato nel nostro discorso.

Perché MS-CHAPv2?

La prima domanda ovvia è perché stiamo perseguendo MS-CHAPv2, data la convinzione di lunga data che Internet non dovrebbe fare affidamento su questo protocollo. Purtroppo, nonostante sia un protocollo obsoleto e oggetto di critiche diffuse, continua ad essere utilizzato ovunque. Il più notevole è l'uso di MS-CHAPv2 nella VPN PPTP. È anche piuttosto pesantemente utilizzato nelle configurazioni WPA2 Enterprise, specialmente quando si fa affidamento sulle sue proprietà di autenticazione reciproca. Per il nostro discorso, abbiamo compilato un elenco di centinaia di provider VPN che si affidano a PPTP. Include esempi degni di nota come iPredator, il servizio VPN di The Pirate Bay, presumibilmente progettato per proteggere gli scambi di informazioni dalla sorveglianza del governo.

Riteniamo che MS-CHAPv2 rimanga così diffuso perché i precedenti ricercatori di potenziali debolezze nel protocollo si sono concentrati principalmente sugli attacchi del dizionario. Quando si combina questa limitazione della ricerca con il numero estremamente ampio di client che supportano il protocollo e la sua compatibilità con il sistema operativo, diventa chiaro perché questa soluzione, che richiede il minor numero di movimenti dell'utente, è così allettante.

E adesso?

1) Tutti gli utenti e i fornitori di soluzioni VPN PPTP dovrebbero iniziare immediatamente la migrazione a un altro protocollo VPN. Il traffico PPTP deve essere considerato non crittografato.

2) Le aziende che dipendono dalle funzionalità di autenticazione reciproca MS-CHAPv2 per connettersi ai propri server WPA2 RADIUS dovrebbero iniziare immediatamente a migrare verso una soluzione alternativa.

In molti casi, le grandi aziende hanno scelto di utilizzare IPSEC-PSK su PPTP. Mentre PPTP è ora apparentemente compromesso, IPSEC-PSK è probabilmente ancora più vulnerabile a un vettore di attacco del dizionario di quanto lo sia mai stato PPTP. Il PPTP richiede almeno che un utente malintenzionato intercetti il ​​traffico di rete attivo per lanciare un attacco del dizionario offline, mentre la VPN IPSEC-PSK in modalità aggressiva essenzialmente rilascia hash a qualsiasi utente malintenzionato che si connette.

Date le soluzioni disponibili oggi, la distribuzione sicura di qualsiasi cosa richiede una verifica dei certificati. Ciò riguarda la configurazione OpenVPN o l'uso di IPSEC in modalità certificato invece di PSK.

@SooLFaa :
Senza esitazione, ho deciso di prendere alla lettera la raccomandazione.

Conoscenza e lancio del programma.

L'attacco dei router verrà effettuato non dalla mia macchina locale, ma da un VDS remoto appositamente noleggiato sotto Controllo Windows. Facendo doppio clic con il pulsante sinistro del mouse sono arrivato nei Paesi Bassi.

Come dice il titolo, RouterScan fungerà da strumento di attacco. Per scaricare il programma, vai al forum di Antichat. Secondo l'autore, è necessario scaricare il programma solo da lì.

Il programma è portatile, la sua installazione consiste nel decomprimere l'archivio scaricato in una cartella specificata.

Per impostazione predefinita, il programma attacca i router sulle porte 80, 8080, 1080. Penso che questo elenco sia abbastanza giustificato e non richieda aggiunte o modifiche.
Inoltre, il programma ha la possibilità di collegare moduli aggiuntivi

• Scansione router (principale)
• Rileva i server proxy
• Utilizzare HNAP 1.0
• Gestore SQLite RCE
• Servit Java Hudson
• phpMyAdmin RCE

e, insieme a un attacco ai router, "sonda" tutti gli IP in un determinato intervallo.
Ma un tale carico di lavoro del programma rallenterà notevolmente il suo lavoro, quindi non toccheremo nulla in questa finestra. dopotutto, lo scopo dell'attacco è accedere all'interfaccia WEB di un router casuale per scrivere un articolo.

Resta solo da selezionare l'intervallo IP per l'attacco e puoi eseguire il programma.
Andiamo sul sito che fornisce gli intervalli IP per paese e selezioniamo a caso la Polonia come vittima (la scelta del paese è casuale).

Dopo aver inserito gli intervalli desiderati nella finestra corrispondente del programma, è possibile avviare il programma.
Il tempo impiegato per il processo di hacking dei router dipende dal numero di IP nell'intervallo selezionato e può richiedere molto tempo.
Ma per scrivere un articolo, ho solo bisogno di un router hackerato, che abbia la capacità di creare un server VPN. Questi modelli possono essere Router ASUS, Mikrotik o qualsiasi altro modello con firmware DD-WRT. Dando una rapida occhiata all'elenco dei router che compaiono nella scheda "Buoni risultati", non è difficile scoprire che i modelli di questi router sono presenti nell'elenco.

Alziamo il server VPN sul router.

Per il ruolo della vittima in questo articolo, ho scelto un router con DD-WRT.

La mia scelta è spiegata dal fatto che il firmware citato prevede la possibilità di utilizzare il router come server VPN utilizzando il protocollo PPTP, e più recentemente ho dedicato questo protocollo.

Copia l'URL del router desiderato in barra degli indirizzi browser e dopo aver caricato la pagina ci troviamo nella sua interfaccia WEB con diritti di amministratore.

Affinché il router funga da server VPN, devi andare alla scheda Servizi - PPTP.

Un articolo di revisione sull'uso di moderni tunnel privati ​​nei router di un famoso marchio lettone. Parlerò di come configurare un server vpn in mikrotik basato su tecnologie come l2tp, ipsec, openvpn, pptp, gre ed eoip. Lungo la strada, parlerò brevemente di cosa sono queste tecnologie, di come differiscono e confronterò anche le prestazioni di Mikrotik con tutti i tunnel indicati.

Questo articolo fa parte di un'unica serie di articoli su .

introduzione

Voglio attirare subito la tua attenzione sul fatto che questo articolo sarà più una panoramica che un trasferimento di esperienza reale, poiché io stesso lo utilizzo molto spesso come server VPN. Tuttavia, ho avuto a che fare anche con vpn in Mikrotik. Ho configurato entrambi i server pptp per connettere client remoti e l2tp per combinare due o più Mikrotik in una rete privata comune. Principalmente per impostazione predefinita, senza approfondire le sottigliezze delle impostazioni.

Per coloro che vogliono essere esperti di reti, ma per qualche motivo non sanno ancora come farlo, consiglio questa serie di articoli - reti per i più piccoli.

Opzioni del server vpn mikrotik

Con le opzioni del server vpn in Mikrotik, tutto è complicato :) Nel senso che ci sono molte implementazioni vpn, che non è così facile scegliere se non si capisce in dettaglio tecnologie di rete. Non so molto su di loro, ma penso di aver capito un po' il succo. Cercherò di spiegarti con parole mie quali sono le differenze.

Esistono 2 soluzioni fondamentalmente diverse per organizzare le connessioni tra due Mikrotik e abbonati esterni:

1. Creazione di un tunnel da sito a sito l2 con Tunnel EOIP. Il più semplice e modo veloce combinare due Mikrotik. Se la crittografia non viene utilizzata, la più veloce connessioni vpn. Sono necessari indirizzi IP bianchi dedicati su entrambi i dispositivi. Tali connessioni vengono utilizzate per unire uffici o filiali tramite VPN. Generalmente non funziona tramite NAT. Aggiungo anche qui GRE Tunnel, sebbene funzioni in l3 e utilizzi il routing, funziona anche da sito a sito.
2. Connessioni VPN di livello l3 su tecnologia Client-Server, come ad es PPTP, L2TP, SSTP, OpenVPN. Tali connessioni vengono utilizzate sia per unire gli uffici sia per connettere i dipendenti remoti. È sufficiente un solo indirizzo IP bianco sul lato server per creare connessioni VPN. Funziona tramite NAT.

Ti dirò qualcosa in più su ogni tipo di connessione VPN separatamente.

• Tunnel GRE: utilizza il semplice protocollo gre per creare una VPN da sito a sito non sicura di base. Sviluppato da CISCO. Consente di incapsulare pacchetti di vario tipo all'interno di tunnel ip. In parole semplici questo è quello che fa. Prende i tuoi dati con tutte le intestazioni, li impacchetta in un pacchetto, li trasferisce su Internet all'altra estremità, dove questo pacchetto viene analizzato nei dati originali. Agli utenti finali della rete sembra che stiano comunicando su una rete locale.
• Tunnel EOIP - Ethernet finita IP è un protocollo proprietario MikroTik RouterOS che crea un tunnel Ethernet tra due router tramite una connessione IP. Utilizza il protocollo GRE per il trasferimento dei dati. La differenza fondamentale tra il tunnel eoip è che funziona in l2 e trasmette direttamente i frame, mentre il tunnel gre opera sui pacchetti e utilizza il routing. Spero di essermi spiegato correttamente e di non aver mentito. Perché mikrotik abbia deciso di creare la propria implementazione del tunnel attraverso il protocollo gre, non lo so. Forse semplicemente non ci sono soluzioni simili, quindi hanno escogitato la propria implementazione.
• PPTP è un protocollo di tunneling punto-punto. Per lavoro utilizza il protocollo GRE, supporta la crittografia. Un tempo, pptp ha guadagnato una grande popolarità grazie al fatto che era supportato da Windows sin dalla versione 95. Oggi non è consigliabile utilizzare pptp, poiché è molto facilmente violabile. Dal dump del traffico, in breve tempo (diverse ore), si ottiene la chiave di cifratura e tutto il traffico viene decifrato. Forse questo può essere affrontato in qualche modo utilizzando diversi protocolli di crittografia, ma non ho capito questo argomento in dettaglio. Ho deciso da solo che pptp può essere utilizzato come la soluzione più semplice dove non ci sono maggiori requisiti di sicurezza e la decrittazione del traffico, se presente, non porterà alcun problema. PPTP supporta immediatamente non solo Windows ma anche Android, il che è molto comodo. Molto facile da configurare.
• L2TP - Protocollo di tunneling di livello 2. Nonostante il nome indichi l2, in realtà funziona sulla rete ip a livello di sessione, ovvero l3. Utilizza la porta udp 1701. Può funzionare non solo nelle reti IP. Fuori dagli schemi, come pptp, supporta l'autenticazione dell'utente. Di per sé, non fornisce la crittografia. Può utilizzare ipsec per crittografare il traffico, che è considerato molto sicuro e non presenta gravi vulnerabilità. Attualmente supportato da quasi tutti i dispositivi e sistemi pronti all'uso, proprio come pptp. Non è molto più difficile da configurare. In generale, consiglio di utilizzare questo tipo di tunnel crittografato per organizzare VPN.
• OpenVPN è un'implementazione molto popolare di connessioni crittografate. Il vantaggio principale è la flessibilità delle impostazioni. Ad esempio, una caratteristica molto interessante di openvnp è quella di inviare i percorsi direttamente al client al momento della connessione. Uso i server openvpn da molto tempo. Quando per la prima volta è stato necessario trasferire il percorso al client pptp, non sono riuscito a capire come configurarlo. Si è scoperto che in nessun modo, semplicemente non sa come. Ho dovuto utilizzare strumenti di terze parti. Sfortunatamente, per ragioni sconosciute, mikrotik openvpn non supporta il protocollo udp, il che restringe notevolmente le possibilità di utilizzo di questo server VPN. Funziona molto più lentamente su tcp che su udp. Anche la compressione dell'intestazione del pacchetto non funziona. Quindi, in generale, utilizzare un server openvpn in Mikrotik non ha senso, a meno che tu non ne abbia bisogno per qualche motivo specifico.
• SSTP - Secure Socket Tunneling Protocol - è stato introdotto da Microsoft nel Windows Vista SP1. Il vantaggio principale è che è integrato in Windows, può utilizzare la porta 443, che a volte aiuta a bypassare i firewall. Considerato molto sicuro, utilizza SSL 3.0. Tra gli svantaggi, per quanto ne so, Mikrotik richiede molto risorse del processore. Su pezzi di ferro deboli, emetterà la velocità più bassa rispetto a tutte le altre connessioni VPN. Per questo motivo, non lo considererò affatto nella mia recensione.

Da quanto scritto si può trarre la seguente conclusione. In generale, è meglio usare vpn basato su l2tp + ipsec in Mikrotik. Ragione principale:

1. Semplicità e comodità di configurazione.
2. Crittografia forte.
3. Supporto per connessioni l2tp da quasi tutti i dispositivi e sistemi moderni. Non è necessario installare software aggiuntivo.
4. Adatto sia per il consolidamento dell'ufficio che per i dipendenti remoti: connessioni da sito a sito e da client a sito.

Se hai bisogno delle massime prestazioni senza crittografia, crea connessioni tra reti o uffici utilizzando EOIP Tunnel, uno sviluppo proprietario di Mikrotik.

Iniziamo a configurare e testare le connessioni VPN in mikrotik.

Creazione di un tunnel l2tp in mikrotik

Innanzitutto, impostiamo un semplice tunnel l2tp senza crittografia e misuriamo la velocità. Per configurare l2tp vpn in mikrotik, procedi nel seguente modo.

Andiamo alla sezione IP -> Piscina e aggiungi un pool di indirizzi IP per il tunnel VPN.

Crea un profilo per il tunnel in PPP -> Profili.

Il resto delle schede ha impostazioni predefinite. Successivamente, crea un utente in PPP -> Segreti.

Ora avviamo il server l2tp. Andiamo a PPP e fare clic sul pulsante Server L2TP.

Configurare le impostazioni per il server l2tp. non abilitare ancora ipsec.

Il server VPN è configurato. Ora creeremo un'interfaccia permanente per esso al fine di creare percorsi statici basati su di esso. Andiamo a Interfacce e creare.

Tocco finale. Creiamo un percorso statico, con l'aiuto del quale gli abbonati della rete locale del server potranno connettersi all'abbonato della rete locale dietro un router remoto tramite VPN. Andiamo a IP -> Percorsi e aggiungi un percorso.

Aggiungiamo un percorso statico in modo che i client di questo router sappiano dove contattare gli abbonati della rete locale remota per vpn.

È tutto. Abbiamo impostato l2tp su un mikrotik remoto e quindi connesso 2 reti locali utilizzando vpn. Nell'elenco degli indirizzi IP con una connessione l2tp attiva sul server e sul client, dovresti vedere gli indirizzi IP dall'intervallo specificato sul server per la rete VPN - 10.10.5.1-10.10.5.100. Ora puoi eseguire il ping delle reti opposte da entrambe le reti.

Ho laptop collegati a entrambi i Mikrotik per i test. Ora misurerò la velocità di connessione usando iperf3. Dietro il router m-remoto su un laptop 10.30.1.254 avvio il server e su 10.20.1.3 l'agente. Esegui un test di velocità connessioni vpn:

velocità media 194Mbps. Francamente, non capivo perché una velocità così bassa. Mio banco di prova assemblato su due router Mikrotik e uno switch Gigabit Mikrotik tra di loro. Mi aspettavo di vedere qualcosa nella regione di 500 Mbps. Lascia che ti ricordi che il tunnel non è ancora crittografato. Allo stesso tempo, il carico del processore sui router era dell'ordine del 90-95%. Questo è, infatti, il soffitto di questi pezzi di ferro.

Ora proviamo ad abilitare la crittografia ipsec e misurare la velocità con essa.

Configurazione dell'ipsec

Con l'impostazione ipsec per l2tp, sono rimasto bloccato per un po'. Ci sono molte istruzioni in rete, ma sono tutte obsolete. Come si è scoperto, nelle ultime versioni del firmware, avviare ipsec con le impostazioni predefinite non è facile, ma molto semplice. Per fare ciò, devi solo specificare nelle proprietà del server l2tp Usa IPSec- sì e imposta una password.

Tutto impostazioni necessarie ipsec verrà creato automaticamente. Sull'agente, fai lo stesso: abilita la crittografia ipsec e specifica una password.

Dopo aver connesso il client l2tp, vedrai righe simili nel registro:

19:17:00 l2tp,ppp,info l2tp-out1: inizializzazione... 19:17:00 l2tp,ppp,info l2tp-out1: connessione... 19:17:03 ipsec,info avvia nuova fase 1 (identità Protezione: 192.168.13.197<=>192.168.13.1 19:17:04 ipsec,info ISAKMP-SA stabilito,info l2tp-out1: connesso

Per assicurarti che la crittografia ipsec funzioni, puoi andare alla sezione IP -> Ipsec -> SA installate e guarda il contatore dei pacchetti cifrati. Se cresce, allora tutto è in ordine, il traffico è crittografato.

Lì nella sezione Coetanei remoti puoi vedere l'elenco dei client remoti per i quali funziona la crittografia ipsec, vedere gli algoritmi utilizzati. Tutte le impostazioni ipsec predefinite risiedono in questa sezione. Puoi visualizzarli, modificare o aggiungere nuovi profili. Per impostazione predefinita, vengono utilizzati l'algoritmo di autorizzazione sha1 e la crittografia AES. Puoi modificare queste impostazioni se hai familiarità con l'argomento. Non sarò intelligente, non ho approfondito l'argomento della crittografia. Non so quali algoritmi siano i più veloci e sicuri.

Testiamo la velocità della connessione l2tp + ipsec vpn.

L'ho preso così - 26 Mbps media. Allo stesso tempo, il carico del processore è del 100%. Non tanto. Questi pezzi di ferro per i canali crittografati sono molto poco adatti. In questi test, non vengono caricati con nient'altro che il test stesso. In condizioni reali, la velocità sarà ancora più bassa.

CON impostazioni VPN basato su l2tp + ipsec finito. Continuiamo a configurare altri tunnel VPN e confrontiamo la loro velocità.

Configurare un server pptp in mikrotik

La configurazione di un server pptp non differisce fondamentalmente da l2tp. La logica e la sequenza delle azioni è la stessa. Per prima cosa creiamo un pool di indirizzi in IP -> Piscina per rete vpn. Userò lo stesso pool che abbiamo creato in precedenza.

Questo profilo specifica le impostazioni di crittografia predefinite in cui è disabilitato. Controlliamo prima la velocità del canale VPN senza di loro. Crea un nuovo utente per una connessione pptp remota.

Attiviamo il server pptp nella sezione PPP.

Ora creiamo in Interface List Collegamento al server PPTP per analogia con la sezione precedente.

Infine, aggiungiamo un percorso statico alla rete remota tramite una connessione pptp.

La configurazione del server pptp è ora completa. Sul firewall, dovrai aprire le seguenti cose per le connessioni all'interfaccia esterna in entrata:

• Porta TCP 1723
• protocollo GRE

Configuriamo il client pptp.

client PPTP

Andiamo su un router remoto e impostiamo lì una connessione tramite un client pptp. Andiamo, come al solito, alla sezione PPP e aggiungi Cliente PPTP. Nella scheda Generale non tocchiamo nulla, ma in Dial Out indichiamo l'indirizzo del server pptp e il nome utente a cui connetterci.

Aggiungiamo un percorso statico all'ufficio remoto attraverso un tunnel VPN.

Tutto è pronto. Attiviamo la connessione pptp e proviamo a eseguire il ping degli indirizzi sulla rete locale. Puoi assicurarti che la crittografia sia disabilitata nello stato della connessione pptp sul client.

Ora controlliamo la velocità della connessione vpn tramite pptp.

Stesso 194Mbps che è su l2tp non crittografato al 100% di utilizzo della cpu. In generale, è stato un po' strano vedere esattamente gli stessi numeri. Ho provato più volte, ma ovunque lo stesso risultato è stato stabile. Senza crittografia, non c'è differenza di velocità tra le connessioni l2tp e pptp.

Ora abilitiamo la crittografia in pptp sul server e guardiamo la velocità. Per fare ciò, specifichiamo esplicitamente nel profilo pptp che viene utilizzata la crittografia. Andiamo a PPP -> Profili e modifica il nostro profilo.

Verificare nello stato del client che la crittografia funzioni.

Sto testando la velocità di una connessione vpn tramite pptp con crittografia abilitata.

Si è rivelato in media 71Mbps. Non è un cattivo risultato rispetto alla crittografia ipsec in l2tp. Come ho detto prima, un server pptp è adatto dove la crittografia non è affatto necessaria o è possibile che il traffico crittografato venga decrittografato. Ma allo stesso tempo è ancora chiuso dalla crittografia e tutti i passanti non potranno vedere nulla. Devi almeno prendere un dump del traffico e in qualche modo selezionare una chiave da un dizionario o forza bruta. Non so esattamente come funzioni in pratica. Non ho studiato il problema.

Ora passiamo al server openvpn in Mikrotik. È molto curioso osservare gli speed test di questo tipo di connessioni vpn.

Configurazione del server openvpn in Mikrotik

Non c'è nulla di complicato nella configurazione di un server openvpn su mikrotik, ad eccezione della sfumatura con i certificati. A chi non ha mai lavorato con loro, tutto può sembrare troppo confuso. Inoltre, Mikrotik stesso non ha alcun mezzo per creare certificati server e client. È necessario utilizzare utilità di terze parti. Se hai una macchina Linux, puoi usare il mio file .

Se non disponi di una macchina Linux, ma sei comunque determinato a creare un tunnel VPN utilizzando openvpn in Mikrotik, allora affrontiamo ulteriormente la configurazione. Prima di tutto, abbiamo bisogno della distribuzione openvpn per Windows. Puoi scaricarlo dal link - https://openvpn.net/community-downloads/ . Saremo interessati a Windows Installer.

Eseguiamo l'installazione per conto dell'amministratore e specifichiamo nel processo un componente chiamato Script di gestione dei certificati EasyRSA 2.

Vai alla rubrica C:\Programmi\OpenVPN. Sposta la cartella da lì facile-rsa da qualche altra parte in modo da non dover inciampare costantemente su UAC, che ti impedirà di lavorare con calma nei file di programma. mi sono trasferito a D:\tmp\easy-rsa. Rinominare il file vars.bat.sample v vars.bat. Lo apriamo per la modifica e lo portiamo approssimativamente al seguente modulo.

Per chi non capisse, queste sono solo variabili che ho specificato per le mie esigenze. Lì puoi scrivere tutto quello che vuoi, non è essenziale per il nostro compito. Non puoi cambiare nulla, ma lascialo così com'è. Crea una cartella in una directory chiavi. Successivamente, esegui la riga di comando come amministratore e spostati nella directory specificata D:\tmp\easy-rsa.

Rispondiamo alle domande poste e completiamo la creazione certificato radice. Apparirà nella cartella D:\tmp\easy-rsa\keys. Quindi, crea un certificato del server openvpn con il comando - build-key-server nome_server.

Ora generiamo un certificato per il client. Ho un solo client sotto forma di Mikrotik remoto. Crei esattamente quanto ti serve. Usiamo il comando build-chiave nome_certificato.

Abbiamo finito con la creazione dei certificati. Si trovano tutti nella directory delle chiavi. Su Mikrotik, che fungerà da server openvpn, è necessario trasferire i file:

• ca.crt
• ovpnserver.crt
• ovpnserver.key

Importa i certificati dai file aggiunti. Andiamo a Sistema -> Certificati e importa prima ca.crt, Poi ovpnserver.crt E ovpnserver.key.

Dovrebbe risultare qualcosa del genere. Ora iniziamo a configurare il server openvpn in mikrotik. Creiamo un profilo separato per esso in PPP -> Profili.

Tutte le impostazioni sono predefinite. Come indirizzo locale e remoto, utilizzo Ip Pool, che ho creato all'inizio della configurazione di l2tp. Aggiungi utente remoto per openvpn in PPP->Segreti.

Andiamo alla sezione PPP e clicca Server VPN. Specificare le impostazioni e il certificato ca scaricato.

Questo completa la configurazione del server openvpn in Mikrotik. Per impostazione predefinita, verrà utilizzato il protocollo di crittografia. BF-128-CBC. Può essere modificato nelle proprietà del client e l'elenco di tutte le crittografie supportate nelle proprietà del server VPN.

Per lavoro impostazione specificata Il server openvpn deve aprire la porta tcp in entrata 1194 sul firewall. Ora impostiamo il client openvpn e testiamo la velocità di connessione tramite vpn basata su openvpn.

client openvpn

Per configurare il client openvpn su mikrotik, è necessario trasferire lì i certificati generati nel passaggio precedente. Nello specifico, questi file:

• m-remote.crt
• m-remote.key

Importiamo, come sul server, un certificato da questi file. Attiro la tua attenzione sul fatto che dovrebbero esserci caratteri KT di fronte al nome del certificato.

Ora configura il client openvpn. Andiamo a PPP e aggiungi Cliente VPN.

Aggiungi una route statica per accedere alle risorse di rete remote dietro un server openvpn.

Tutto è pronto. Puoi connetterti e testare la velocità di una connessione VPN tramite openvpn.

Si è rivelato in media 24 Mbps al 100% di utilizzo della CPU. Il risultato è paragonabile a l2tp + ipsec. Un po' sorpreso dal risultato. Pensavo sarebbe stato peggio di l2tp, ma in realtà è lo stesso. Personalmente, mi piace di più l'opzione openvpn in generale, anche se a causa delle limitate impostazioni openvpn in Mikrotik, i vantaggi di openvpn sono difficili da realizzare. Lascia che ti ricordi che ho testato con la crittografia BF-128-CBC, ovvero pesce palla.

Ecco il risultato con AES-128-CBC - 23 Mbps, più o meno lo stesso.

Mikrotik si è occupata delle implementazioni client-server del server vpn. Ora diamo un'occhiata alla velocità di l2-vpn sotto forma di tunnel eoip.

Tunnel EOIP + configurazione IPsec

Configura una rete VPN basata su EOIP in Mikrotik. Qui devi capire un'importante differenza rispetto a tutte le impostazioni precedenti che abbiamo fatto in precedenza. Il tunnel EOIP funziona a livello l2, ovvero entrambi i segmenti di rete considereranno di trovarsi nella stessa rete fisica. Lo spazio degli indirizzi per entrambi sarà lo stesso. Nel mio esempio è 10.20.1.0/24. Dovrebbe esserci un solo server DHCP per entrambe le reti. Nel mio caso resterà acceso m-server.

Creiamo un tunnel EOIP su m-server. Andiamo a Elenco interfacce -> Tunnel EoIP e aggiungerne uno nuovo.

Delle impostazioni è sufficiente specificare solo l'indirizzo remoto del secondo Mikrotik. La nuova interfaccia EoIP deve essere aggiunta al bridge locale insieme alle interfacce fisiche.

Andiamo al Mikrotik remoto e facciamo lo stesso lì, specifichiamo solo un indirizzo remoto diverso.

Questo è sufficiente per rendere immediatamente operativo il tunnel EoIP. Le sue condizioni saranno RS.

Sul secondo Mikrotik, anche l'interfaccia EoIP deve essere aggiunta al bridge locale con il resto delle interfacce.

Il modo più semplice per verificare che tutto sia in ordine è richiedere via dhcp su ip m-slave l'indirizzo per l'interfaccia bridge. Dovrebbe ottenere un indirizzo IP da server DHCP su m-server, a condizione che non ci siano altri server dhcp sulla rete. Lo stesso accadrà con le macchine locali sulla rete dietro m-slave. Otterranno gli indirizzi IP dal server DHCP su m-server.

Ora controlliamo le prestazioni di un tale tunnel VPN basato su EoIP.

Mostro il risultato massimo che ho ottenuto - 836 Mbps. Per qualche ragione, in diversi test, la velocità oscillava tra 600 e 850 Mbps. Per cambiare la velocità è stato necessario disabilitare e riabilitare l'interfaccia EoIP. La velocità è impressionante. Allo stesso tempo, il processore non è caricato al 100%. Cioè, non è un collo di bottiglia. Sembra che mi sia imbattuto nelle prestazioni della rete. Lascia che ti ricordi che non esiste crittografia e instradamento del traffico. Canale l2 diretto tra due Mikrotik tramite EoIP vpn.

Aggiungiamo la crittografia Ipsec al tunnel EoIP e osserviamo la velocità. Per fare ciò, modifica le impostazioni del canale su entrambi i Mikrotik. Aggiungi una password Ipsec e indirizzi locali, disabilita Fast Path.

Corso online "Ingegnere di rete"

Se desideri imparare a costruire e mantenere reti altamente disponibili e affidabili, ti consiglio di dare un'occhiata al corso online Network Engineer presso OTUS. Questo è un programma per autori combinato con esercitazioni remote su apparecchiature reali e un certificato accademico Cisco! Gli studenti acquisiscono abilità pratiche nel lavorare sulle apparecchiature utilizzando un laboratorio online remoto che opera sulla base di un partner di formazione - RTU MIREA: router Cisco 1921, Cisco 2801, Cisco 2811; Switch Cisco 2950, ​​Cisco 2960. Caratteristiche del corso:

• Il corso contiene due project work.;
• Gli studenti sono iscritti alla Cisco Academy ufficiale (OTUS, Cisco Academy, ID 400051208) e hanno accesso a tutte le parti del corso CCNA Routing and Switching;
• Gli studenti possono sostenere l'esame e ricevere, insieme al certificato OTUS, un altro certificato del corso “CCNA Routing and Switching: Scaling Networks”;

Mettiti alla prova con il test d'ingresso e scopri il programma in modo più dettagliato.