Похоже Microsoft решила сделать оригинальный новогодний подарок и продлить новогодние праздники ещё немного, выпустив обновление делающее невозможным VPN-подключение по протоколу L2TP, который часто используется для удалённой работы. То что обновления Windows, приносят не только исправления но и новые баги — уже не новость. Однако ввиду того что данная проблема носит широкий характер из-за большой вероятности появления и большого распространения удалённой работы решил что неплохо бы предупредить сообщество.
Битва L2TP, RRAS vs SoftEther
«Украденная с запада картинка для привлечения внимания»
В прошлых наших статьях мы рассказали, как работать с VDS на Windows Server Core 2019 на нашем новом тарифе UltraLight за 99 рублей в месяц. Предлагаем еще один способ использования данного тарифа. На этот раз речь пойдет о том, что лучше выбрать, если вам нужен VPN для ленивых или статический IP адрес, который кстати удобнее использовать вместо Hamachi и всего остального, если очень хочется поиграть в героев или Warcraft 3 по локальной сети. Речь не пойдет о настройке, поговорим о производительности.
pfSense сегодня — VPN
Давно не было на Хабре новостей про новые версии pfSense - последняя новость датируется 2014 годом и рассказывает ещё о pfSense 2.1.5. Последняя стабильная Community Edition версия pfSense на сегодня - 2.5.2 (вышла в июле 2021). О ней и пойдёт речь, точнее о доступном функционале и полезных фишках. Так как нового накопилось довольно много, будет цикл статей по разным сервисам файрвола (уведомления в Telegram!) и его пакетам (Squid, pfBlockerNG, Snort/Suricata). А сейчас VPN.
Будни техпода. Поднимаем VPN на VDS сервере
В последнее время достаточно сильно выросла популярность различных VPN сервисов, и думаю, почти каждый, так или иначе, сталкивался с необходимостью получить доступ к тому или иному ресурсу, который по какой-либо причине недоступен на территории РФ. Да, есть множество бесплатных решений, которые позволяют спрятать свой IP адрес или получить доступ к нужному ресурсу, но, как говорится, «бесплатный сыр только в мышеловке», и такие сервисы, для обеспечения своего существования спокойно могут продавать всю информацию, содержащуюся в вашем трафике.
В связи с этим нам в поддержке также не удалось избежать вопросов о возможности поднятия своего VPN на наших серверах. Выделить хотел бы два вопроса: 1. IP-адрес будет принадлежать только мне, и другие пользователи не смогут его использовать? 2. Возможно ли с помощью VPN настроить доступ к корпоративной информации компании. Чтобы доступ был лишь с определённых IP? На оба вопроса ответ положительный. Одной из особенностей VDS сервера является то, что серверу присваивается статический IP-адрес, и на протяжении всего использования, он меняться не будет. Адрес может быть присвоен только одному серверу, так что другие пользователи, пока существует ваш сервер, не смогут им воспользоваться. То есть, и VPN настроенный на вашем VDS сервере всегда будет иметь один и тот же IP адрес.
Как начать работать с IPv6 там, где его нет (часть 3)
В предыдущих частях цикла статей (часть 1, часть 2) мы настроили подключение к IPv6-брокеру на VDS под управлением операционной системы CHR от Mikrotik. Подготовили туннелирование до устройств сети, которые как умеют, так и нет работать с VPN, используя PPTP, SSTP и статическую маршрутизацию. Уделили достаточно внимания обеспечению сетевой безопасности подключаемых к IPv6 пользователей.
Настало время перенести всё на Linux. При этом самая простая задача (конфигурирование клиента для подключения к брокеру) уже выполнена. В завершающей части цикла настроим туннелирование IPv6 до устройств домашней сети посредством старого доброго L2TP, а для работы мобильных устройств дополнительно организуем IKEv2-сервер. Чтобы лучше понимать происходящие процессы, рекомендуется ознакомиться с предыдущими двумя статьями, так как с целью исключения болтологии вводный материал повторяться не будет.
Обход блокировки «Тиндера» — простой метод
20 июня 2023 года приложение для знакомств Tinder (США) заблокировало пользователей из РФ. Если конкретно, на сайте tinder.com и в мобильном приложении теперь нельзя авторизоваться с российских IP-адресов.
Перед вами идеальный пример пользы от VPN, потому что в данном случае VPN решает проблему целиком и полностью. Для обхода блокировки можно использовать сторонний коммерческий сервис или поднять свой полностью легальный VPN-сервер в зарубежном дата-центре.
Это универсальный вариант не только для «Тиндера», но и на все случаи жизни. В наше время без своего VPN за границей тяжело полноценно пользоваться интернетом.
Racoon vs. OpenSWAN: Настройка IPSEC VPN туннеля HOST-TO-SITE с Cisco и L2TP over IPSEC для Windows, iOS и Android
В данной статье я хотел бы увлечь вас рассказом о моих приключениях в поисках надежных и безопасных связей IPSec, где поджидает множество удивительных открытий и разочарований, загадок и ответов, историй верной службы и вероломных предательств. Итак, мой дорогой читатель, приготовься, начинаем повествование.
Читателю, которому требуется срочная помощь, а не рассказы о моих несчастьях, приведших к написанию данного топика, рекомендую пролистать до заголовка «Собственно сабж»
Где-то с полгода назад мне понадобилось поднять сервер для платежных терминалов с подключением к платежной системе по IPSec. Мой выбор пал на Debian Squeeze и KAME ipsec-tools, в простонародье racoon. Ох, и не знаю, почему моя душа прикипела к данному приложению. Сначала, поверхностно изучив теорию IPSec, я взялся за практику:
apt-get install racoon
PPTP vs L2TP vs OpenVPN vs SSTP
VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
Заметка про длину ключа шифрования
Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Смена региона, зашитого на заводе, в роутерах NETGEAR
VPN в каждый дом
Всем привет! Желание сделать VPN сервер максимально простым в установке и удобным в использовании назревало уже давно. За основу я взял L2TP/IPsec, эта технология нативно поддерживается всеми устройствами и в отличии от PPTP не вызывает проблем при подключении через сотовых операторов.
tl;dr
Для установки нам потребуется машинка с Ubuntu 14.04 на борту и «белым» IP-адресом, любой VPS подойдет. Достаточно ввести эту волшебную строчку:
curl -sS https://raw.githubusercontent.com/sockeye44/instavpn/master/instavpn.sh | sudo bash
и через несколько минут у вас будет рабочий VPN с управлением через браузер (httр://ip-address:8080/) или консоль (instavpn -h).
Подключение телефонов Fanvil к 3CX через туннель L2TP на Mikrotik
Введение
В этой статье я опишу свой опыт подключения телефонов Fanvil X2, X3S, X4, X5S и X6 (новая линейка IP-телефонов Fanvil) к серверу 3CX через встроенный в прошивку телефонов VPN-туннель L2TP.
Прежде всего, объясню, для чего это нужно. Допустим, у вас есть удаленный сотрудник (или даже несколько) работающий из дома. Вы можете подключить его «домашний офис» по VPN, однако для этого необходимо поддержка VPN со стороны его домашнего роутера и настройка различных ограничений доступа к корпоративным ресурсам из домашней сети этого сотрудника. Вы также можете подключить телефон напрямую через RPS сервер, как описано в этом руководстве. Однако недостаток такого подхода в том, что вам придется открывать SIP-порт 5060 для всего мира. Хотя в 3CX весьма основательная система собственной безопасности, использовать такую конфигурацию следует с осторожностью. Вторая проблема — не все маршрутизаторы «позволяют» IP-телефонам корректно работать через NAT. Кроме того, вы не сможете оперативно подключаться к веб-интерфейсу IP-телефона (ведь он находится в домашней сети пользователя).
Хороший способ подключения удаленных пользователей реализует фирменная технология 3CX Tunnel в утилите 3CX SBC. Но в этом случае вам придется у пользователя устанавливать устройство типа Raspberry Pi или инсталлировать утилиту на ПК пользователя. Недостаток — связь будет только тогда, когда работает компьютер.
Подключение телефона по VPN туннелю L2TP устраняет почти все эти недостатки:
PPTP vs L2TP через роутер
Настраиваем раздачу l2tp-интернета в Ubuntu по wi-fi для iPhone и iPod Touch
Приобрел я себе по случаю iPod Touch 2G. Неплохая такая игрушка, ну да не буду в очередной раз петь дифирамбы продукции Apple, это уже банально :) Дело в том, что у меня ну никак не получалось долгое время настроить раздачу интернета по wi-fi для него, приходилось париться с настройкой iTunes аж на виртуальной машине под VirtualBox. Теперь, наконец-то, проблема решена. Итак, поехали!
VPN: ещё раз просто о сложном
Вы сталкивались с ошибкой “Это видео не доступно для просмотра в Вашей стране”? Пробовали заходить на LinkedIn? Подобные ограничения можно обойти с помощью включения VPN на своем девайсе. В последнее время огромное количество людей было вынуждено перейти на дистанционный формат работы и многие работодатели обязали своих сотрудников пользоваться VPN для защищенного доступа к корпоративным сервисам. Сегодня мы постараемся разобраться в том, что такое VPN и как это работает.
Что такое VPN?
VPN – Virtual Private Network – виртуальная частная сеть.
Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией. Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться. Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.
Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.
11 друзей RUVDS или Обзор маркетплейса с готовыми образами
Недавно в очередном посте о том «как корпоративные редакторы захватили Хабр и совсем не дают вздохнуть свободным авторам», нам поставили в минус, что в нашем блоге слишком много материалов НЕ про услуги компании, ее деятельность и прочее в том же духе. То про лабиринты в играх напишем, то как клеить девушек в Tinder. Мы прислушались к мнению аудитории.
Раньше мы рассказывали о наших готовых образах для виртуальных серверов по отдельности, не было какой-то структурированности. В этой статье мы решили собрать все 11 образов, собранных в нашем маркетплейсе, и рассказать немного про них, чтобы было проще разбираться. Кстати, а вы знали, что у нас есть образ для игры Minecraft? Подробности под катом!
L2TP & «IPsec with pre shared key» vs MITM
В статье рассмотрены основные vpn протоколы, которые на текущий момент применимы в бизнес процессах, а также углубленно освещен вопрос использования L2TP в связке с IPsec в режиме pre shared key. На практике разобраны подходы к организации виртуальных сетей на оборудовании MikroTik и выполнен практический аудит безопасности передачи данных с позиции анализа третьими лицами исходящего трафика при возможности MITM атаки.
VPN-сервер в стиле how-to (pptpd+mysql+radius) на CentOS6
Здесь я постараюсь описать процесс установки и настройки VPN-сервера на CentOS6 с пользователями в MySQL и авторизацией через радиус для шифрованного соединения по ms-chap-v2 и mppe.
Преамбула
Откуда берутся данные статьи? Все просто. Когда мы ищем соискателей работы, например, на должность системного администратора, то после отбора кандидатов на предварительном собеседовании, состовляются тестовые задания, реализуются своими силами, а потом предлагаем их решить соискателям. Для исполнения заданий, соискателю предоставляется виртуальная машина, доступ в интернет, и определенное время. Время расчитывается просто — наша реализация *2. При этом, Вы можете считать, что все необходимые решения (how-to) можно найти на просторах интернета, однако, мы учитываем это, и поэтому не берем готовых решения, а состовляем и решаем предварительно их сами, на свежих дистрибютивах. Кстати, бывают случаи, когда мы натыкаемся на определенные проблемы при реализации (маленькие незадокументированные шалости разработчиков), и в случае, если кандидат идет правильным курсом, но попадает в затык именно на этой проблеме, подсказываем найденное нами, её решение.
Cisco 1812 как домашний роутер
VPN для iPhone
Организация VPN сервера для использования с iOS устройствами
Прочитав статью Теплый и ламповый интернет озаботился проблемой поднятия VPN сервера, которым можно пользоваться с iOS устройств.
Для использования OpenVPN нужен Jailbreak. Этот вариант мной не рассматривался.
iOS поддерживает L2TP, PPTP, Cisco IPSec.
Cisco IPSec работает с соответствующим оборудованием. PPTP иногда режется сотовыми операторами. Исходя из этого был выбран L2TP.
VyOS OpenSource Router
Ключевые проекты
VyOS это opensource проект на базе Debian Linux, который родился как форк от проекта Vyatta Core Edition of the Vyatta Routing software. Как и любой роутер VyOS оперирует на третьем уровне OSI и маршрутизирует North-South трафик. VyOS включает в себя следующие ключевые проекты:
- Debian 8, ядро 4.19
- FRRouting (в версии 1.1 и более древних использовался Quagga)
- ISC-DHCP
- Keepalived
- StrongSwan
- OpenVPN
- PowerDNS
- Wireguard
- OpenNHRP
- Accel-ppp
- xL2tpd
- Squid
- mDNS-repeater
- IGMP-Proxy
- iPerf
- более детальный список в Release notes