если конкурент сидит в офисе провайдера и провайдер его лепший кореш?

а просто уровни безопасности терминальной сессии результативны ?

(7) man-in-the-middle, лицо, которое имеет полный доступ ко всем пакетам между двумя узлами и может их как читать, так и модифицировать. В последние годы появились сообщения о результативных атаках таких лиц на некоторые сети VPN.

(8) В максимуме там заявлены довольно серьезные вещи, можно попробовать, но обычно все-таки рассматривают VPN - потому что через него можно таскать и другие сервисы, те же сетевые принтеры, FTP и тому подобное. А RDP это будет только RDP :)

(9) считается, что мидлмен легко берет все впн(протоколы) встроенные в винду

(11) Пруфы пожалуйста, а то , что там считается в агентстве ОБС - никому не интересно.

(11) а кто говорит про винду? VPN аппаратным должен быть. Я как раз-таки не так давно читал статью, что есть небезуспешные man-in-the-middle атаки на site-to-site IPSec с самоподписанным сертификатом. Вот это уже как-то некомфортно...

+ (11) уточню - аппаратным в смысле реализация должна быть на отдельной железке и с аппаратным ускорением шифрования желательно

(0) А провайдера поменять?

Мда..
"если конкурент сидит в офисе провайдера и провайдер его лепший кореш?"

И

"vpn не поможет против миделмена"

Не смешите мои тапки.

Любой впн. Если параноя - то опен-впн точка-точка, на любой древней железяке или виртуалке.

кто знаком с микротиком?
сделал PPTP Server по стандартномк мануалу. Прописал Secret. открыл порт 1723.
Коннект есть, а идентификация не проходит.
Может быть из-за того что у меня на микротике два входа, и в настройках как-то там маркируются входящие пробрасываемые пакеты чтобы соответствующие исходящие уходили на нужный вход.
Но VPN идентификация же работает на самом микротике, как микротик возвращает ответ ? на какой входящий порт ?
Если я запрашиваю с 1 порта , то как ответить на 1 же порт при идентификации ?

(18) Смогу ответить на твой вопрос через недельку. Заказал себе микротик в качестве игрушки, чисто для экспериментов, потому что начитался про него массу похвал. Вот жду теперь звонка из транспортной компании, как подвезут...
А почему решил PPTP? Почему не L2TP+IPSec или не чистый IPSec? Гораздо серьезнее же.
До этого плотно дружил с Zyxel USG - отличные железки.

да все попробовал, ничего не проходит, все отваливается на этапе авторизации, PPTP - взял как наиболее просто настраиваемый.

а пров что из себя представляет вообще? Он статический IP дает?

(21) - нет

(19) учитывай что там PoE нестандартный (просто постоянка)

(23) Спасибо что предупредил... А обычно что? По-моему, постоянка и есть, только напряжения разные бывают. Впрочем, мне сейчас пока без разницы, все равно от прилагаемого БП заводить буду.

(22) А динамический белый или серый через NAT?
Во втором случае часто бывают проблемы с VPN

может поставить пару vipnet координаторов ....

(24) белый динам

(18) написано:

Может быть из-за того что у меня на микротике два входа, и в настройках как-то там маркируются входящие пробрасываемые пакеты чтобы соответствующие исходящие уходили на нужный вход.

Это понимать как наличие 2 каналов в инет?

(18) я с ними постоянно дело имею, вот тебе мои настройки впна на микроте, только что проверил - всё работает:
http://imglink.ru/show-image.php?id=8064ad8bae392b34690a09b3679fbb00

А вот тебе по ipsec на микротиках две мои статьи:
http://habrahabr.ru/post/151951/
http://habrahabr.ru/post/154829/

+(28) это на случай, если по-мимо обычного впна ipsec-секьюрность тоннелей заинтересует :)

(28) Огромное спасибо, мне точно пригодится

(30) кстати, с 6.х версий на микротах починили динамический роутинг в тунелях, у меня между циска-микрот ospf в тоннеле работает отлично (тьфу-тьфу), если что - могу поделится (как раз опять ан хабре на эту тему собираюсь писать мануальчик)

(31) телекомьютеров не пробовал на mikrotik пускать? Например через ShrewSoft VPN Client или через L2TP?

Не, у нас в основном на тунелях и ipsec все связано.

С опенвпн микроты с традом дружат - я пробовал запилить, люнул на фряхе сервак openvpn поднял - к нему уже клиенты цепляются из любых мест, с любых ипов, а на микроте у меня не взлетело :(

на микроте pptp легко запускать для срочного быстрого доступа - пул-адреслист, секрет и службу включить - пара минут и готов впн-сервер микротиковский

Опенвпн не нужен. Используя шрюсофт, можно поднять полноценный ипсек-туннель между удаленщиком и железкой. Полноценный! Даже L2TP не требуется.

причем можно удаленщику дать уже настроенный конфиг на шрю, ссылку на дистрибутив и ему больше ничего не надо чтобы поднять туннель...

A PPTP на микроте насколько безопасно юзать? Про виндовый очень много инфы что он дыряв.

(35) а чем "полноценный" туннель от не "полноценного" отличается ? :) IPSEC это сетевой уровень ( 3 левел OSI), а
PPTP и L2TP это канальный ( 2левел OSI)
поэтому фраза - "Полноценный! Даже L2TP не требуется."
звучит прямо скажем несколько забавно :)

Да, не очень удачно сморозил. "Неполноценным" является скорее L2TP, потому что он не обеспечивает должной защиты без IPSec.

Правильнее было бы сказать - чистый туннель IPSec без L2TP. Не такой уж распространенный вариант для удаленщиков.

Шрю у нас юзают вместе с Cisco EasyVPN - он совместим и не глючит :) Но опять же - юзал только с циской его, на микротике не тестил, но мысль хорошая, надо опробовать его с микротом, а то провайдеры любят GRE'шные пакеты блочить.

(28) ты мне одно скажи - эти настройки не зависят от количества каналов провайдера ?

(40) микротик разве умеет EasyVPN это цисковская проприетарщина ? я просто если честно ничего другого кроме циски не видел и не знаю как там у остальных и стараюсь везде где только можно и нельзя циску поставить )
2(39)хватит )) давай я тебе на пальцах покажу - это разные уровни OSI условно говоря ты говоришь что-то типа - этот кабель не позволяет нормально пересылать IP пакеты

(27) да, два прова.
RDP работает при входе  через любого прова.

(41) не, не зависит.
у тебя два одновременно работают (балансировка) или основной-резервный?
логи включи, и погляди что происходит.

включил логи, приходят запросы, на порт на и нет ответов
работает не балансировка.
работают два входа,
если я вхожу на 1 то и ответы шлет на 1, если через второго то и ответы шлет на второго.
А тут как?
Если я вхожу через первого прова, то куда пошлет ответ микротик ?

/ip firewall mangle
add action=mark-connection chain=forward in-interface=IDCODE new-connection-mark=IDCODE_c
add action=mark-connection chain=forward in-interface=ORCODE new-connection-mark=ORCODE_c
/ip route
add check-gateway=ping distance=30 gateway=IDCODE routing-mark=IDCODE_r
add check-gateway=ping distance=20 gateway=192.168.0.254 routing-mark=ORCODE_r

через дефолтный маршрут, если иное не настроено файрволом.
Лови, на-всякий боле подробные настройки:
http://imglink.ru/show-image.php?id=001c3651db501598040a7f0f2da5a613

да как же дефолтный когда я зашел не известно с какого прова ?

(47) да такого полно в инете - не работает .

кстати, что за настройка routes:192.160.0.0/24
это что значит ?

(40)  у меня шря отлично работает с зухелем усг.

(45)"Если я вхожу через первого прова, то куда пошлет ответ микротик ?"

ХЗ. От настроек зависит.

(52) мне кажется, в рамках одной сессии пошлет туда же, откуда пришло. По крайней мере, это наиболее естественное поведение.

(50) кстати, что за настройка routes:192.160.0.0/24

это одно из обозначений сети TCP/IP. Число через дробь обозначает количество бит на адрес сети, т.е. 24 бита это адрес сети и последние 8 бит для адресации хостов внутри этой сети. Другими словами, маска подсети будет 255.255.255.0.

(53)Естественное поведение это послать на default gateway.
А куда пошлет будет зависеть от настроек.
Т.е если не будет прописано конкретных маршрутов и правил балансировки, то ответ пойдет на шлюз по умолчанию, а не туда откуда пришло.

(55) У ZyWall для IPSec VPN физический интерфейс определяется при настройке, и используется только он.
Как у микротика - не знаю, спорить не буду.

(54) СПС. Я не про числа, я про "Routes"

+ (55) да и у микротика все также, если верить статьям из (28). Вот кусок конфига:
/interface ipip
add disabled=no dscp=0 local-address=88.88.88.2 mtu=1260 name=ipip1 \
    remote-address=77.77.77.226
add address=192.168.88.1/24 comment="default configuration" disabled=no \
    interface=ether2-master-local network=192.168.88.0
add address=88.88.88.2/30 disabled=no interface=ether1-gateway network=\
    62.5.248.248

Последнее - явная привязка к конкретному интерфейсу

(еще раз кто не читал с начала.)
Два канала провайдера настроено и RDP работает с обоих провайдеров одновременно.
Т.е. Пакеты ходят оттуда откуда пришли.

Нашел в сети коммент что нужно настроить два канала VPN.
На этом инфа закончилась.

(59) да, очень похоже что так оно и есть. Причем если твой клиент не умеет сам переключаться на резервный IP, то тебе придется при отказе одного из провайдеров это делать самому.

за клиента я пока не беспокоюсь, так как сервер не завелся вообще никак

(61) какой сервер?

(62) микротик блин

(18) открыл порт 1723.

Помимо этого надо впустить протокол GRE , правило типа такого:
chain=input protocol=47 action=accept

Для PPTP нужно два правила - GRE и на порт 1723 , проверь на всякий случай.

(64) чето в мануалах не пишут про GRE

(65) Это беда составителей мануалов , PPTP использует управляющий канал на порту TCP 1723 и протокол gre.
Кстати в шестых прошивах можно писать
chain=input protocol=gre

пишу gre - даже не коннектится

где это писать ?*

(68) писать надо в правилах файра. Если у тебя в правилах файра ничего нет то в принципе можно ничего и не писать.

там есть protocol=tcp и порт =1723.
счетчик на нем считает пакеты
на дописанном GRE - счетчик по нулям

(70) Если есть возможность то сохрани конфиг , и на время отключи все правила файра и второй маршрут. Если заработает можно включить файр и посмотреть - продолжит ли оно работать , если будет работать с включенным файром то значит дело в альтернативном роуте , и ядро микроута не может разрулить gre  с двумя гейтвеями.

да будет работать наверняка

ну что, никто не встречал два канала VPN на MikroTik ?

(73) не приехала железка пока :( по срокам поставки еще дней 5 максимум может быть задержка, но может приехать и раньше

с внутренней сети захожу  на VPN (правда тут же обваливается RAdmin) но если кикнуть установленное соединение в PPP/Active connection - то Radmin восстанавливается.

(75) ты (71) бы лучше попробовал. Нафига тебе с внутренней сетки на VPN заходить?

+ и посмотри статьи в (28) и выдержку (58). Не знаю как PPTP, а IPSec VPN вроде к конкретному каналу привязывается и через него работает. Может, разумнее тогда все-таки IPSec терзать? Мне вот как раз он наиболее интересен.

стройте впн, например openvpn  с реализацией на Zentyal
микротики, роутеры, железо.... не то для выбора - просто настраиваемый
надо отдельный впн сервер
а уж объедините вы сети или только отдельные компы, так это как вам удобнее

а тут в-общем, товарищи развезли не по теме что и как
кроме одного верного вывода - виндовские впны не надежны

если паранойя и постаянные атаки на порт 3389 мешают жить то смените стандартный открытый во вне порт на другой. например 45128 а с него перенаправьте на 3389 (настройка в роутере)

(78)Zentyal это гораздо более дорогое решение, и ничем не лучше чем микротик.

"виндовские впны не надежны" - для сабжа вполне себе надежны.

Изменение порта никак на безопасность не повлияет.

Во всех мануалах рассказывается (с умным видом) как написать какие то цифры в какие-то поля, а не то что это значит.
(я сам могу нарисовать такой)
Так для 2-х VPN вообще нет мануала.
Нашел в инете несколько таких же ситуаций, как у меня (входит  но не логинится), но ответов никто не дал на них.

(76) чтобы и na и я поняли что коробочка микротика дышит хоть как-то.

(80)Есть два типа мануалов -
1) для чайников, с картинками, или видео.
2) для админов.
Ты похоже хочешь второй вариант - такое лучше искать на офсайте, у них там много доков.

По поводу "входит но не логиниться" - фиг знает что там у тебя и почему.
Надо как минимум глядеть конфиг и логи.
В логах что по этому поводу?

(78) а тут в-общем, товарищи развезли не по теме что и как
кроме одного верного вывода - виндовские впны не надежны

А что не по теме-то? У меня на трех зиволлах три точки по деревням объединено через инет, еще и удаленщики ходят, работает уже несколько лет и все прекрасно. Люди на микротиках то же самое делают и у них тоже все прекрасно. У ТСа железка подходящая уже стоит, нужно только руки и голову к ней приложить.

(80) потому что не нужно, будет работать и на 1 и на двух и на 10ти каналах, с одинаковыми настройками серверной части впн, это не ipsec, где ответ через нужный интерфейс критичен. асинхронность каналов не особо влияет на обычный pptp. Не работает - только если что-то неверно настроено, либо провайдер убивает у тебя GRE-пакеты (довольно часто встречающееся явление).
Возьми, выключи одного провайдер - проверь связь, затем выключи второго провайдера, оставив первого - и опять проверь связь. Позвони провайдеру с претензией (хотя может и твой собственный, домашний пров резать ГРЕ (попробуй ещё куда-нибудь по впн прицепится для проверки)

А как провайдер получит доступ к RDP пусть и без VPN?

почему они могут резать  GRE ?

(85) сниферить поток и подставить фальшивый адрес и МАС

Ipsec - обходится без GRE ?

Дело том что  у меня клиенты на и XP и W7

(86) хз, у гугля спроси :) но это частое явление
(88)IPSEC, как и обычные тунели работает не используя GRE.
В XP и системах выше IPsec встроен в систему (на xp, правда патч вроде накладывать надо для полноценной современной поддержки)

http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=880#10 - вот на-вскидку тунель между семёркой и микротом

(90) или шрю. Тогда ипсек на винде настраивать не придется и патч накладывать тоже.

(91) Спс. Сделал по ссылке, все подключилось. Только мой комп отключился от сети, как только убил соединение VPN - сеть в интернет включилась. Мне нужно чтобы на клиентской станции был обычный интернет, а в RDP клиент входил по VPN.

(93) а ты дефолт роутинг в наcтройках впн-соединения винды выключи (в настройка tcp), а то у тебя винда его автоматом прописывает и перебивает родной дефолт. Отдавай роутинг по ipsec'ку с микрота, ну или bat'ник сделай с "route add"

(94) где это делается ?

VPN-подключение. Убрал галку Автометрика. Запросило цифру 1 - 99999.   поставил 20.  все равно инет сносит

Провый клик на соединении, Выбрать "Свойства", перейти на вкладку "Сеть", выбрать протокол tcpv4. Кликнуть кнопку "Свойства", затем - "Дополнительно" - "Параметры IP" и убрать галку "ИСПОЛЬЗОВАТЬ ШЛЮЗ УДАЛЁННОЙ СЕТИ"

опс. не ту галку сносил

если и после этого сносит инет локально - то смотри какие маршруты формируются по netstat -rn (до подключения и после)

СПС. Все получилось, как теперь заходить в RDP ?

Отдавай роутинг рдп-сети по ipsec'ку с микрота, ну или bat'ник сделай с "route add лялял маска шлюз"

заходить по внутреннему ип рдп-сервера

(101) китайская грамота

route add IP_РДП_СЕРВЕРА MASK 255.255.255.255 IP_СЕРВЕРА_IPSEC
ип сервера - смотри в статусе соединения

у меня сеть в конторе 192.168.1.0/24,  комп сервера  в конторе 192.168.1.2
дома комп в сети 192.168.0.100
а в VPN назначаются  192.0.0.2

Как мне выйти на сервер ?

соединись по рдп с 192.168.1.2
если не увидишь (не получил, не настроил авто-маршруты), то пропиши:
route add 192.168.1.0 mask 255.255.255.0 192.0.0.2
или route add 192.168.1.0 mask 255.255.255.0 192.0.0.1
соединись по рдп с 192.168.1.2

И проверь, чтобы нат не срабатывал на ipsec-соединении со стороны микротика

и глянь это:
http://wiki.mikrotik.com/wiki/Routing_through_remote_network_over_IPsec
http://forum.ixbt.com/post.cgi?id=print:14:60862