[Techinfo] VPN Windows Szerver 2016-ra

[Sándor Fehér]

Sajnos a windows lelkivilágát én nem nagyon értem, mivel linuxosnak 
születtem. :)

Szerintem ilyenben gondolkodjatok:
Vagy egy VM vagy egy fizikai gépre húzzatok fel egy openvpn-t. Ennek 
belső ip-je lesz és erre forwardoljátok a kívánt portot kinntről. Én tcp 
80-at választanék vagy tcp443-at!! Ha van weblap és foglalt mindkét 
port, akkor jó még a 81 vagy 8080 tcp.
Hátha később lesz vmi szűrés az egyéb portokon. ( lehet van most is ??)
Tap módban konfiguráljátok be az openvpn-t ún bridge módban.

Előny:
Ez arra jó, hogy a külső gép vpn-en "bekerül" a lanba, mintha ott lenne 
fizikailag és még a lan dhcp-je adja neki az ip-t is!Ami működik a 
lan-on az fog menni vpn-en is.
Kevesebb a buktató és nem kell szarakodni a route táblákkal és egyéb 
masq paraméterekkel stb.
Mindenféle szűrés stb kikerülhető, amennyiben a "benti" sulis internet 
nincs szűrve, mert minden azon át fog menni a net irányába.
Akár a kms aktiválás is működik így nem szükséges ezért behordani az 
egyéb sulis laptopokat.

Hátrány:
-Ha C osztályú ip tartomány van az intézményben, akkor kevés lehet a 
rendelkezésre álló kiosztható ip cím >>> Ekkor létre kell hozni egy 
másik tartományt és routolhatóvá tenni. Gáz ha sulinetes router az 
egyetlen ebben az esetben, bár lehet megcsinálják kérésre.
-Külön program kell minden gépre ( openvpn + konfigja)

Ha van valahol mikrotik, akkor pedig vagy az sstp vagy az l2tp+ipsec 
kombót ajánlom.
Ekkor nem kell semmit telepíteni a winre, mindkét dolog benne van 
integráltan.

http://fkuris.hu/blog/2015/08/30/proxy-arp/
Röviden, eltérő hálózatoknál a vpn technikától függően cachelni kell a 
mac címeket, mert nem minden esetben az adott eszköz fizikai címével 
kommunikálsz. pl címfordítás esetén. A proxy-arp összerendeli és 
megjegyzi az ip/mac párokat és nagyon hasznos tud lenni ez a vpn-ek 
esetén. Nélküle gyakran nem működik a vpn mert nem találnak egymásra a 
peerek.



2018. 08. 17. 15:48 keltezéssel, Kiss Zsolt írta:
>> niif-től kérj proxy-arp-ot.
> Ez pontosan mire jó?
>
> Még a portot is ki kell nyitni hozzá, csak azt sem tudom mit nyittassak.
> Most PPTP-vel megy (belső hálóról), de én azért biztonságosabbat szeretnék.
> Most már annyit is elértem, hogy átmegy a windows szerver beépített tűzfalán
> is.
>
> Valakinek sikerült már nem csak PPTP-t kihajtani belőle. A mai piszkálgatás
> alapján azt gyanítom mennie kellene, csak még lehet kell finomhangolás a
> szerverben, de a kliens beállításai között is.
>
> Ill. arra rá tudnám venni, hogy a net forgalmat is a VPN "csövön" küldje,
> így aktiváljon is a KMS felé itthonról?
>
> Zsolt
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/