Più client VPN in parallelo

Ho usato il software client VPN su Mac OS X che dirotta il percorso predefinito per inviare tutto il traffico attraverso il tunnel (in realtà, se la memoria mi serve correttamente, era Cisco). Se sono stati installati due di questi client, o anche uno e un cliente sano, la risposta alla domanda "dove andrà questo pacchetto?" saranno i tempi e l'implementazione dipendenti. Probabilmente le opzioni sono che uno dei clienti "vincerà" e prenderà tutto il traffico, o che uno dei tunnel è implementato tramite l'altro. Ciò che accade su Windows in questo caso è oltre me.

Quando parli di "risoluzione dell'indirizzo", questo dipende da cosa intendi. Se intendi la risoluzione ARP, questo non dovrebbe essere un problema. Come con qualsiasi sistema connesso a due reti, ci dovrebbe essere sufficiente unicità negli indirizzi MAC per evitare collisioni. Per quanto riguarda la risoluzione DNS, dipende dalle implementazioni specifiche dei client VPN e della casella client sulla rete privata. Se si comportano correttamente, dovrebbe essere possibile utilizzare un server DNS su una rete privata o su una rete pubblica (si noti tuttavia la possibilità di conflitti di nomi sulle macchine nei domini di ricerca del client). Se si comportano male, poi di nuovo dipende dalle specifiche della situazione.

A un livello abbastanza fondamentale, una VPN emula una "rete privata" il cui scopo è quello di essere isolato da Internet in generale. La "V" significa che tale isolamento viene eseguito crittograficamente piuttosto che fisicamente; tuttavia, il modello è ancora "cavi separati". Se la tua macchina fa parte di due VPN contemporaneamente, le reti private non sono più isolate. Questo tende a contraddire il vero motivo per cui le reti private sono state istituite in primo luogo.

Un'implementazione VPN è chiamata così perché le applicazioni non devono esserne a conoscenza. Le applicazioni utilizzano protocolli standard di Internet (DNS per la risoluzione dei nomi, socket TCP e UDP ...) e la VPN raccoglie il traffico e fa la sua magia in modo trasparente. Una tipica implementazione VPN si aggancia alle tabelle di routing del sistema, per ricevere pacchetti che sono pensati per una determinata classe di indirizzi. Due VPN possono funzionare in parallelo solo se gli indirizzi utilizzati nelle due reti private non si sovrappongono - e questo non è facile da ottenere, dal momento che le reti private, essendo private, non utilizzano uno schema di assegnazione dell'indirizzo globale. Le reti private di solito cercano le "classi private" come 10. *. *. * E 192.168. *. *.

Il DNS è una buona illustrazione del problema dell'accesso simultaneo a due reti private. Quando un'applicazione vuole accedere a una macchina chiamata "esempio", non sa su quale rete sia. Questo è il punto delle reti private: le applicazioni non devono essere consapevoli dell'esistenza della rete privata. La rete privata ospita il proprio server dei nomi, che può risolvere i nomi delle macchine che ospita. Se si collega a due VPN, quindi, per ciascuna risoluzione del nome, sarà necessario parlare con entrambi i server dei nomi. Quindi, il name server dalla rete privata 1 riceverà anche richieste di risoluzione dei nomi per i nomi che si trovano nella rete privata 2. Questo è fishy. E se lo stesso nome viene usato in entrambe le reti, allora si scatena l'inferno. Questo è lo stesso problema rispetto agli indirizzi IP sovrapposti, tradotti nello spazio dei nomi.

Inoltre, se la tua macchina funge da router, gestirà felicemente i pacchetti da una VPN all'altra. Su un sistema Linux, questo è semplice come:

echo 1 > /proc/sys/net/ipv4/ip_foward

che alcune distribuzioni Linux faranno per te se lo chiedessi al momento dell'installazione. A seconda dell'utente non che fa qualcosa di simile sembra rischioso.

Per riassumere, il modello normale per una VPN è:

• un determinato sistema utente fa parte della VPN, solo la VPN (e quindi solo una VPN);
• se il sistema deve essere in grado di parlare con il "mondo esterno", può farlo solo attraverso un gateway dedicato che, dal punto di vista del sistema dell'utente, è parte della VPN.

In particolare, un sistema collegato a una VPN non deve essere collegato simultaneamente a un'altra rete, che si tratti della VPN o di Internet in generale. Un software VPN appropriato dirotterà il percorso predefinito e si assicurerà che veda tutto il traffico in entrata e in uscita per l'intero sistema. Per sua natura, questo non tollera la presenza simultanea di un'altra VPN.

Il modo in cui lavoro quando ho bisogno di utilizzare più client VPN è eseguirli sotto VM. Questo al momento funziona molto bene per me, ed evita i conflitti che Graham e Thomas menzionano - altrimenti puoi trovare il sistema operativo fare cose strane quando invii traffico (specialmente vero sotto Windows)

Significa anche che non si commettono facilmente errori nell'invio dei dati per una VPN nell'altra (quello che faccio è avere gli sfondi su ogni VM personalizzata per ogni ambiente)

Dovrai controllare i tuoi requisiti di sicurezza. Assicurati che il routing non esista tra le VM sia un bene allora (tm) qui.

Suggerirei di contattare sia Juniper che Cisco e iscriverti per testare il loro software client. Dubito che entrambe le società testassero questa configurazione da sole. Se hai un problema, immagino che il tecnico di supporto ti chiederebbe di rimuovere il client VPN di altre società e tentare di accedere nuovamente alla rete.

Ancora più importante, penso che probabilmente violerai la politica di sicurezza di qualcuno. Quando crei una connessione VPN a un sito, cioè per creare una connessione affidabile. Sembra che tu voglia collegarti a due reti fidate diverse allo stesso tempo. Se gestissi l'headend VPN chiamerei l'accesso al mio sito tramite una VPN e il sito di qualcun altro tramite un'altra VPN, una violazione di sicurezza in attesa di essere sfruttata.

Non per niente, ma OS X 10.6.x + ti permetterà di connetterti a più VPN IPSec contemporaneamente. Per quanto riguarda il passaggio di TUTTO il traffico attraverso un tunnel VPN, sì, questo è il comportamento predefinito, anche se Cisco (e sono certo che lo stesso esiste per altri fornitori come Juniper, ecc.) Ha una tecnica chiamata "split-tunneling" dove solo parte del tuo traffico è passato attraverso il tunnel, cioè le reti protette configurate per te dal tuo amministratore di rete. Se il traffico non è destinato a una di queste reti, allora si spegne la normale connessione WAN. Questo può essere utile in quanto consente ai client VPN di accedere a Internet senza restrizioni, ma ha anche accesso alle risorse aziendali. Ciò facilita anche il carico sui server VPN aziendali poiché non elaborano più traffico.

Per come effettivamente utilizzare il client OS X VPN integrato per connettersi a più di una VPN alla volta, penso che sarebbe in diretta violazione della politica di sicurezza aziendale. Inoltre, se si utilizza un client come Cisco AnyConnect, NON è possibile connettere più di 1 istanza VPN alla volta (AnyConnect è solo per SSL VPN, il client VPN Cisco OS X integrato è solo per VPN IPSec).