Kirjoittaja Aihe: Miten rakentaa Cisco VPN:ää tukeva gateway (esim. Raspberry Pi?)  (Luettu 1546 kertaa)

qwertyy

  • Käyttäjä
  • Viestejä: 4774
    • Profiili
Moi, eipä ole pitkästä aikaa tullut tänne kirjoiteltua, mutta olisi yksi kysymys verkoista enemmän tietäville.

On seuraava pulma.
- Laite X vaatii etäyhteyden verkon kautta laitevalmistajalle pientä softamuutosta varten.
- Laitevalmistaja tukee Ciscon VPN protokollaa, mutta oma yrityksen ISP-tarjoaa tuen vain Global Protectille
- Laitevalmistaja haluaa aika paljon rahaa, että suostuu tekemään omaan laitekantaan muutoksia, että ottaisivat yhteyden Global Protectin kautta.

Tuli mieleen, että onko mitään järkevää tapaa tehdä esim. Raspberry Pi:stä VPN tunnelointilaitetta ulkoverkkoon tilapäiskäyttöä varten (lue: suorayhteys laitteeseen ilman kyseisen yrityksen nettiä)? Hiukan tätä sivuten
https://github.com/hwdsl2/setup-ipsec-vpn

Huom! Kyseisen laitteen ei ole mitenkään välttämätöntä olla yrityksen verkossa kiinni. Eli jotain ratkaisua pelkkää tilapäistä etätukea varten.




ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3389
    • Profiili
Eikös vpn-client hoitaisi tuon asian suoraan tuolla laitteella x vai olenko unohtanut jotain tai käsittänyt tilanteen väärinpäin?  Vai haluatko omaan koneeseesi Cisco vpn-clientin ?  Avainsana Googletukseen "vpnc".   Tuon "c" tuolla lopussa tarkoittaa Ciscoa.  Jos kyseessä on sen sijaan, että vpn-clienttisi ei pääse ulos verkosta niin silloinhan kyseessä on palomuuriasia?
« Viimeksi muokattu: 18.09.17 - klo:15.15 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

nm

  • Käyttäjä
  • Viestejä: 13104
    • Profiili
Eikös vpn-client hoitaisi tuon asian suoraan tuolla laitteella x vai olenko unohtanut jotain tai käsittänyt tilanteen väärinpäin?  Vai haluatko omaan koneeseesi Cisco vpn-clientin ?  Avainsana Googletukseen "vpnc".   Tuon "c" tuolla lopussa tarkoittaa Ciscoa.  Jos kyseessä on sen sijaan, että vpn-clienttisi ei pääse ulos verkosta niin silloinhan kyseessä on palomuuriasia?

Käsittääkseni qwertyy tarvitsisi Ciscon protokollaa tukevan VPN-palvelimen, jotta laitevalmistaja voi muodostaa etäyhteyden sisäverkkoon netin yli ja pääsee sitten rukkaamaan laitetta jonkun portin kautta. Ilmeisesti tarvittavia portteja ei voi suoraan avata nettiin tietoturvariskien vuoksi?


On seuraava pulma.
- Laite X vaatii etäyhteyden verkon kautta laitevalmistajalle pientä softamuutosta varten.
- Laitevalmistaja tukee Ciscon VPN protokollaa, mutta oma yrityksen ISP-tarjoaa tuen vain Global Protectille

Onkohan kyseessä Ciscon oma AnyConnect vai vanhempi IPSEC-yhteensopiva protokolla vai kumpi tahansa? AnyConnectia ei kovin moni avoin VPN-palvelinsofta tue, mutta OpenConnect VPN Serverillä voisi toimia.

https://gitlab.com/ocserv/ocserv/tree/master
https://www.vultr.com/docs/setup-openconnect-vpn-server-for-cisco-anyconnect-on-ubuntu-14-04-x64

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3389
    • Profiili
Kiertotietä ideoiden, pystyykö tuo laitevalmistaja hoitamaan päivityksensä ssh/sftp-yhteydellä jollekin koneelle, joka olisi samassa verkossa tuon laitteen kanssa? Tuollainen olisi melko yksinkertainen pystyttää.
"Racoon" on puolestaan vpn-palvelin Ciscolle.  Käytin tuota viimeksi vuonna 2014 tilapäisesti.
« Viimeksi muokattu: 20.09.17 - klo:23.00 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

nm

  • Käyttäjä
  • Viestejä: 13104
    • Profiili
"Racoon" on puolestaan vpn-palvelin Ciscolle.  Käytin tuota viimeksi vuonna 2014 tilapäisesti.

Racoon tukee vain Ciscon vanhempaa IPSEC-pohjaista protokollaa. Jos vaatimuksena on AnyConnect, se ei käy.

qwertyy

  • Käyttäjä
  • Viestejä: 4774
    • Profiili
Lainaus käyttäjältä: 'nm'
Käsittääkseni qwertyy tarvitsisi Ciscon protokollaa tukevan VPN-palvelimen, jotta laitevalmistaja voi muodostaa etäyhteyden sisäverkkoon netin yli ja pääsee sitten rukkaamaan laitetta jonkun portin kautta. Ilmeisesti tarvittavia portteja ei voi suoraan avata nettiin tietoturvariskien vuoksi?
Kyllä, tuo juurikin on ongelma.

Asia kyllä on tulossa hoitoon kuitenkin oman ISP:n kautta. He hoitavat Ciscon käyttöön yrityksen verkkoon takaisin.

Sinänsä kerkesin saada laitevalmistajan puolesta kuitenkin mielenkiintoisen tiedon, että he tukevat myös avointa OpenVPN:nää täysin. Jos asia ei olisi kerennyt mennä hoitoon ISP:n kautta, niin tuo olisi varmaankin kyllä helpottanut asiaa merkittävästi. Sen verran kerkesin tutkiakin asiaa, että joku on ilmeisesti tehnyt sitä kautta OpenVPN tunneloinnin suoraan Android laitteesta OTG-ethernet piuhan kautta johonkin laitteeseen. Blogaus kuulosti kyllä todella mielenkiintoiselta, mutta ilmeisesti ikävä kyllä ei onnistu mitenkään perus Android "käyttäjätasolla".

Eikös periaatteessa ainakin tämä pitäisi olla toimiva ratkaisu, jos siis olisi käytettävissä rootattu laite?
http://blog.avishorp.me/2014/01/using-android-phone-as-secure-openvpn.html

Mutta jos oikein käsitin, niin ehkä olisi järkevämpi käyttää OpenVPN:n kanssa silloin DD-WRT reititintä suoraan? Siihen ilmeisesti olisi suhteellisen helppokin tehdä kyseinen konffaus, vai mitä mieltä olette?