it-swarm-tr.com

Paralel olarak birden fazla VPN istemcisi

Makinemde birden fazla VPN istemcisi çalıştırsaydım, aynı anda ne gibi riskler olurdu?

Örneğin. doğru çalışmayacak şekilde teknik çatışmalar var mı?

Adres çözümleme çakışmaları olabilir mi?

Daha korkutucu, bir ağdan gelen trafik, makinem üzerinden diğer ağa geçebilir mi?
Ya da trafiğim yanlışlıkla yanlış ağa yanlış yönlendirilebilir mi?


Önemliyse, çalıştırdığım VPN istemcileri Juniper Network Connect ve Cisco'nun AnyConnect'idir (Tamamen yamalı ve sertleştirilmiş Windows7'de). Uzak uç noktalar hakkında fazla bir şey bilmiyorum ...

12
AviD

Mac OS X'te tünelden tüm trafiği göndermek için varsayılan yolu ele geçiren VPN istemci yazılımı kullandım (aslında, bellek bana doğru şekilde hizmet veriyorsa, bu Cisco's). Bu tür iki istemci, hatta bir ve aklı başında bir istemci kurulmuşsa, "bu paket nereye gidecek?" Sorusunun cevabı. zamanlamaya ve uygulamaya bağlı olacaktır. Muhtemelen seçenekler, müşterilerden birinin 'kazanacağı' ve tüm trafiği toplayacağı veya tünellerden birinin diğeri tarafından uygulandığıdır. Böyle bir durumda Windows'ta olan şey benim dışımda.

"Adres çözümleme" çakışmaları hakkında konuştuğunuzda, bu ne demek istediğinize bağlıdır. ARP çözünürlüğünü kastediyorsanız, bu bir sorun olmamalı. İki ağa bağlı herhangi bir sistemde olduğu gibi, çarpışmalardan kaçınmak için MAC adreslerinde yeterince benzersiz olmalıdır. DNS çözümlemesi ile ilgili olarak, VPN istemcilerinin ve özel ağdaki istemci kutusunun belirli uygulamalarına bağlıdır. Doğru davranırlarsa, özel ağ veya genel ağ üzerinden bir DNS sunucusu kullanmak mümkün olmalıdır (yine de, istemcinin arama etki alanlarındaki makinelerde ad çakışmaları olasılığına dikkat edin). Yanlış davranırlarsa, yine durumun özelliklerine bağlıdır.

7
user185

Oldukça temel düzeyde bir VPN, amacı genel olarak İnternet'ten izole edilmek üzere bir "özel ağ" öykünür. "V", bu tür bir izolasyonun fiziksel olarak değil, kriptografik olarak gerçekleştirildiği anlamına gelir; ancak, model hala "ayrı kablolar" dır. Makineniz aynı anda iki VPN'nin bir parçasıysa, artık özel ağlar izole edilmez. Bu, özel ağların ilk etapta kurulmasının nedeniyle çelişme eğilimindedir.

Bir VPN uygulaması böyle adlandırılır, çünkü uygulamaların bunun farkında olması gerekmez. Uygulamalar standart Internet ile ilgili protokolleri (ad çözümlemesi için DNS, TCP ve UDP yuvaları ...) kullanır ve VPN trafiği alır ve sihirini şeffaf bir şekilde yapar. Tipik bir VPN uygulaması Sistem yönlendirme tabloları, belirli bir adres sınıfı için tasarlanmış paketleri almak için İki VPN, yalnızca iki özel ağda kullanılan adresler çakışmıyorsa ve bu özel ağlar, özel, genel adres ayırma şeması kullanmayın Özel ağlar genellikle 10. *. *. * ve 192.168. *. * gibi "özel sınıflar" üzerinde çalışır.

DNS, iki özel ağa aynı anda erişim sorununun iyi bir örneğidir. Bir uygulama "örnek" adlı bir makineye erişmek istediğinde, hangi ağda olduğunu bilmez. Özel ağların noktası budur: uygulamaların özel ağın varlığından haberdar olması gerekmez. Özel ağ, barındırdığı makineler için adları çözümleyebilen kendi ad sunucusunu barındırır. İki VPN'ye bağlanırsanız, her ad çözümlemesi için her iki ad sunucusuyla da konuşmanız gerekir. Bu nedenle, özel ağ 1'den ad sunucusu, özel ağ 2'deki adlar için ad çözümleme istekleri de alacaktır. Ve her iki ağda da aynı ad kullanılırsa, tüm Cehennem gevşer. Bu, isim alanlarına çevrilen çakışan IP adresleriyle aynı sorundur.

Ayrıca, makineniz yönlendirici görevi görürse, paketleri bir VPN'den diğerine mutlu bir şekilde yönlendirir. Bir Linux sisteminde, bu kadar basit:

echo 1 > /proc/sys/net/ipv4/ip_foward

yükleme sırasında istediyseniz, bazı Linux dağıtımları sizin için yapacak. Kullanıcıya bağlı olarak değil böyle bir şey yapmak riskli görünüyor.

Özetle, bir VPN için normal model şudur:

  • belirli bir kullanıcı sistemi VPN'nin bir parçasıdır, yalnızca VPN (ve dolayısıyla yalnızca bir VPN);
  • sistemin "dış dünya" ile konuşabilmesi gerekiyorsa, bunu yalnızca kullanıcı sistemi açısından VPN'nin bir parçası olan özel bir ağ geçidi üzerinden yapabilir.

Özellikle, bir VPN'ye bağlı bir sistem, ister VPN ister İnternet olsun, başka bir ağa aynı anda bağlanamaz. Uygun bir VPN yazılımı varsayılan rotayı ele geçirir ve tüm sistem için tüm gelen ve giden trafiği gördüğünden emin olur. Doğası gereği, bu başka bir VPN'nin eşzamanlı varlığını tolere etmez.

12
Thomas Pornin

Birden fazla VPN istemcisi kullanmam gerektiğinde işleri çalışma şeklim, onları VM'ler altında çalıştırmaktır. Bu şu anda benim için gerçekten iyi çalışıyor ve Graham ve Thomas'ın bahsettiği çatışmalardan kaçınıyor - aksi takdirde işletim sistemini trafik gönderirken garip şeyler yapıyor bulabilirsiniz (özellikle Windows altında doğrudur)

Ayrıca, bir VPN için diğerine veri gönderme konusunda kolayca hata yapmadığınız anlamına gelir (yaptığım her bir VM)

Güvenlik gereksinimlerinizi izlemeniz gerekir. VM'ler arasında yönlendirmenin olmadığından emin olmak burada (tm) iyi bir şeydir.

6
Rory Alsop

Hem Juniper hem de Cisco ile iletişime geçmenizi ve istemci yazılımlarını test etmek için kaydolmanızı öneririm. Her iki şirketin de bu yapılandırmayı kendi başlarına test edeceğinden şüpheliyim. Bir sorununuz varsa, destek teknolojisinin diğer şirketlerin VPN istemcisini kaldırmanızı ve ağa tekrar erişmeyi denemenizi rica ediyorum.

Daha da önemlisi, muhtemelen birinin güvenlik politikasını ihlal edeceğinizi düşünüyorum. Bir siteye VPN bağlantısı oluşturduğunuzda, bu güvenilir bir bağlantı oluşturmaktır. Aynı anda iki farklı güvenilir ağa bağlanmak istiyorsunuz gibi görünüyor. VPN başlığını yönetirsem, siteme bir VPN üzerinden ve bir başkasının sitesine başka bir VPN aracılığıyla erişmeyi arayarak güvenlik açığından yararlanılmayı bekliyor olurdum.

1
OhBrian

Hiçbir şey için değil, ancak OS X 10.6.x +, aynı anda birden fazla IPSec VPN'ye bağlanmanıza izin verecektir. TÜM trafiği bir VPN tünelinden geçirmeye gelince, evet, bu varsayılan davranıştır, ancak Cisco (ve Juniper gibi diğer satıcılar için de aynı olduğundan eminim) "split-tunneling" adı verilen bir tekniğe sahiptir. trafiğinizin bir kısmı tünelden, yani sizin ağ yöneticiniz tarafından yapılandırılmış korumalı ağlardan geçirilir. Bu ağlardan biri için trafik hedeflenmezse, normal WAN bağlantınız kesilir. VPN istemcilerinin internet sans kısıtlamalarına erişmesine izin verdiği için bu da güzel olabilir, ancak aynı zamanda Bu, artık çok fazla trafik işlemediği için kurumsal VPN sunucularındaki yükü de kolaylaştırır.

Bir seferde birden fazla VPN'e bağlanmak için yerleşik OS X VPN istemcisini KULLANMAK için, kurumsal güvenlik politikasını da doğrudan ihlal edeceğini düşünüyorum. Ayrıca, Cisco AnyConnect gibi bir istemci kullanıyorsanız, aynı anda 1'den fazla VPN örneği bağlayamazsınız (AnyConnect yalnızca SSL VPN'ler içindir, yerleşik OS X Cisco VPN istemcisi yalnızca IPSec VPN'ler içindir).

0
Ronan McGurn