@lavrentiev
Back-end разработчик

Как зашифровать интернет канал?

Добрый вечер, товарищи возникла надобность зашифровать канал связи из офиса до сервера и в обратном направление.

Допустим есть сервер с установленный корпоративным софтом находящийся в дата-центре и несколько офисов с примерным штатом по ~50. Хочется сделать приватный доступ к удаленному серверу только офисам и ихним рабочим местам посредством шифрования канала. Если рабочее место не настроено на работу с удаленным сервером, то сервер должен быть не доступен, чтобы даже ping'a не было до него.

Я знаю одну схему с которой сталкивался и работал долгое время (КриптоПро CSP + Застава + Криптографические ключи + VPN) скажу вариант интересный ну очень трудоёмкий и стабильности практически не какой.

Я просто не особо знаком с такими рода задачами, но уверен что существуют аналоги схемы написанной выше.

Спасибо!
  • Вопрос задан
  • 2888 просмотров
Решения вопроса 1
kotomyava
@kotomyava
Системный администратор
Есть масса VPN решений, которые для этого могут подойти, в зависимости от операционки на сервере например, бюджета, оборудования и.т.п.

Надо больше данных, чтобы советовать что-то конкретное.
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
@mikluha
ANSI C, Perl, Erlang. FreeBSD, Linux, Mac OS.
Ну в зависимости от ОС сервера и ОС клиентов есть ряд вариантов.
Самый простой это PPTP , в Windows он встроен.
Есть более интересные варианты, но настройка их более сложная, такие как IPsec, L2TP over IPsec, OpenVPN, Tinc.
Если напишешь подробнее про ОС сервера и клиентов, про необходимый уровень безопасности, то, возможно, что-то смогу подсказать более подробно.
Ответ написан
Комментировать
kumaxim
@kumaxim
Web-программист
Некогда работал с програмно-аппаратным комплектом VipNet. Так вот, есть у них там железки HW100/HW1000. По сути это маршрутизаторы, только с продвинутой поддержкой VPN и сертифицированы по российским стандартам. Так вот, эта самая железка позволяет создавать полутунели, т.е. твоя ЛВС => "открытый трафик" => HW100 => "шифрованый трафик" => сервер в ДЦ.

Плюс - не надо разворачивать VPN-клиенты на локальный ПК в офисах, что я как понимаю Вы и хотите избежать.

Детали реализации не подскажу, т.к. работал я с этими решениями года 3-4 назад, но ключевое слово для общения с тех.поддержкой/гуглом - "Полутунель"
Ответ написан
Disen
@Disen
Евгений Лаврентьев: в OpenVPN можно реализовать аутентификацию, как по паролю, так и по сертификатам. Обращаться в УЦ не надо, можете сами выпускать сертификаты с помощью easy-rsa, например.

у PPTP есть проблемы с безопасностью + сложности при прохождении через NAT, поэтому использовать его сейчас крайне не рекоммендуется.

Если же хочется получить VPN без установки дополнительного софта на клиентах, то смотрите в сторону L2TP+IPsec.
Ответ написан
Комментировать
@MMrrTT
Любой недорогой VPS/VDS хостинг + инструкция habrahabr.ru/company/infopulse/blog/183628 с поправкой на L2TP/IPSec.

---

Или OpenVPN:

x64:
1. wget swupdate.openvpn.org/as/openvpn-as-1.8.4-Ubuntu10....
2. dpkg -i openvpn-as-1.8.4-Ubuntu10.amd_64.deb
3. passwd openvpn

x32:
1. wget swupdate.openvpn.org/as/openvpn-as-1.8.4-Ubuntu10....
2. dpkg -i openvpn-as-1.8.4-Ubuntu10.i386.deb
3. passwd openvpn
Ответ написан
Комментировать
@younghacker
Использую OpenVPN.
На серверной стороне крутится OpenVPN в режиме сервера. Он PUSH-ит клиентам все необходимые маршруты в сети где находятся серверы. Разумеется клиент не будет иметь доступа без VPN. Наружу открывается только один UDP порт.
На клиентских сторонах OpenVPN в офисах ставлю на роутеры типа Mikrotik или TP Link с прошивкой OpeWRT. На мобильных компах которые должны работать с сервром вне офиса используется OpenVPN клиент.
Решение работает стабильно годы напролёт (более 5-лет)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы