it-swarm-id.com

Beberapa klien VPN secara paralel

Jika saya menjalankan lebih dari satu klien VPN di mesin saya, secara bersamaan, risiko apa yang akan terlibat?

Misalnya. Adakah konflik teknis, sehingga tidak akan berfungsi dengan baik?

Mungkinkah ada konflik resolusi alamat?

Lebih menakutkan, bisakah lalu lintas dari satu jaringan melintas, melalui mesin saya, ke jaringan lain?
Atau bisakah traffic saya secara tidak sengaja disalahartikan ke jaringan yang salah?


Jika itu penting, klien VPN yang saya jalankan adalah Juniper Network Connect, dan Cisco's AnyConnect (Pada Windows7 yang sepenuhnya ditambal dan dikeraskan). Saya tidak tahu banyak tentang titik akhir jarak jauh ...

12
AviD

Saya telah menggunakan perangkat lunak klien VPN pada Mac OS X yang membajak rute default untuk mengirim semua lalu lintas melalui terowongan (sebenarnya, jika ingatanku benar, itu adalah milik Cisco). Jika dua klien seperti itu diinstal, atau bahkan satu dan klien yang waras, maka jawaban untuk pertanyaan "kemana paket ini pergi?" akan tergantung pada waktu dan implementasi. Kemungkinan pilihannya adalah bahwa salah satu klien akan 'menang' dan akan mengambil semua lalu lintas, atau bahwa salah satu terowongan diimplementasikan melalui yang lain. Apa yang terjadi pada Windows dalam kasus seperti itu berada di luar jangkauan saya.

Ketika Anda berbicara tentang konflik "resolusi alamat", ini tergantung apa yang Anda maksud. Jika yang Anda maksud resolusi ARP, ini seharusnya tidak menjadi masalah. Seperti halnya sistem yang terhubung ke dua jaringan harus ada keunikan yang cukup di alamat MAC untuk menghindari tabrakan. Mengenai resolusi DNS, itu tergantung pada implementasi spesifik klien VPN dan kotak klien di jaringan pribadi. Jika mereka berperilaku dengan benar, maka seharusnya dimungkinkan untuk menggunakan server DNS melalui jaringan pribadi atau jaringan publik (perhatikan kemungkinan untuk tabrakan nama pada mesin di domain pencarian klien, meskipun). Jika mereka berperilaku salah, sekali lagi itu tergantung pada situasi spesifik.

7
user185

Pada tingkat yang cukup mendasar, VPN mengemulasi "jaringan pribadi" yang tujuannya adalah untuk diisolasi dari Internet secara luas. "V" berarti bahwa isolasi semacam itu dilakukan secara kriptografis dan bukan secara fisik; Namun, model ini masih "kabel terpisah". Jika mesin Anda adalah bagian dari dua VPN secara bersamaan, maka jaringan pribadi tidak lagi terisolasi. Ini cenderung bertentangan dengan alasan mengapa jaringan swasta didirikan.

Implementasi VPN disebut seperti itu karena aplikasi tidak perlu menyadarinya. Aplikasi menggunakan protokol terkait Internet standar (DNS untuk resolusi nama, TCP dan soket UDP ...) dan VPN mengambil lalu lintas dan melakukan keajaibannya secara transparan. Implementasi VPN khas menghubungkan dirinya dengan tabel perutean sistem, untuk menerima paket yang dimaksudkan untuk kelas alamat tertentu. Dua VPN dapat bekerja secara paralel hanya jika alamat yang digunakan dalam dua jaringan pribadi tidak tumpang tindih - dan itu tidak mudah untuk dicapai, karena jaringan pribadi, menjadi pribadi, jangan gunakan skema alokasi alamat global. Jaringan pribadi biasanya berusaha pada "kelas privat" seperti 10. *. *. * dan 192.168. *. *.

DNS adalah ilustrasi yang baik tentang masalah mengakses dua jaringan pribadi secara bersamaan. Ketika sebuah aplikasi ingin mengakses mesin bernama "example", ia tidak tahu di jaringan mana itu. Itulah inti dari jaringan pribadi: aplikasi tidak perlu sadar akan keberadaan jaringan pribadi. Jaringan pribadi host server nama sendiri, yang dapat menyelesaikan nama untuk mesin yang dihostingnya. Jika Anda menautkan ke dua VPN, maka, untuk setiap resolusi nama, Anda harus berbicara dengan kedua server nama. Oleh karena itu, server nama dari jaringan pribadi 1 juga akan menerima permintaan resolusi nama untuk nama-nama yang ada di jaringan pribadi 2. Ini mencurigakan. Dan jika nama yang sama digunakan di kedua jaringan, maka semua Neraka akan lepas. Ini adalah masalah yang sama dari tumpang tindih alamat IP, diterjemahkan ke dalam ruang nama.

Juga, jika mesin Anda bertindak sebagai router, ia akan dengan senang hati merutekan paket-paket dari satu VPN ke VPN lainnya. Pada sistem Linux, ini sesederhana:

echo 1 > /proc/sys/net/ipv4/ip_foward

yang beberapa distribusi Linux akan lakukan untuk Anda jika Anda memintanya pada saat instalasi. Bergantung pada pengguna tidak melakukan sesuatu seperti itu terlihat berisiko.

Singkatnya, model normal untuk VPN adalah:

  • sistem pengguna yang diberikan adalah bagian dari VPN, hanya VPN (dan karenanya hanya sat VPN);
  • jika sistem harus dapat berbicara dengan "dunia luar", ia dapat melakukannya hanya melalui gateway khusus yang, dari sudut pandang sistem pengguna, merupakan bagian dari VPN.

Secara khusus, sistem yang terhubung ke VPN tidak boleh dihubungkan secara bersamaan ke jaringan lain, baik itu VPN atau Internet secara luas. Perangkat lunak VPN yang tepat akan membajak rute default dan memastikan bahwa ia melihat semua lalu lintas masuk dan keluar untuk keseluruhan sistem. Secara alami, ini tidak mentolerir keberadaan simultan VPN lain.

12
Thomas Pornin

Cara saya bekerja ketika saya perlu menggunakan banyak klien VPN dijalankan di bawah VM. Ini saat ini bekerja sangat baik untuk saya, dan menghindari konflik yang disebutkan oleh Graham dan Thomas - jika tidak, Anda dapat menemukan OS melakukan hal-hal aneh ketika mengirimkan lalu lintas (terutama berlaku di Windows)

Ini juga berarti Anda tidak mudah membuat kesalahan dalam mengirim data untuk satu VPN ke VPN yang lain (yang saya lakukan adalah memiliki latar belakang pada setiap VM disesuaikan untuk setiap lingkungan)

Anda harus memperhatikan persyaratan keamanan Anda. Memastikan routing tidak ada di antara VM adalah baik maka (tm) di sini.

6
Rory Alsop

Saya sarankan Anda menghubungi Juniper dan Cisco dan mendaftar untuk menguji perangkat lunak klien mereka. Saya ragu bahwa perusahaan mana pun akan menguji konfigurasi ini sendiri. Jika Anda memiliki masalah, saya bayangkan teknisi pendukung akan meminta Anda menghapus klien VPN perusahaan lain dan mencoba mengakses jaringan lagi.

Lebih penting lagi, saya pikir Anda mungkin akan melanggar kebijakan keamanan seseorang. Saat Anda membuat koneksi VPN ke situs - yaitu membangun koneksi tepercaya. Anda tampaknya ingin terhubung ke dua jaringan tepercaya yang berbeda secara bersamaan. Jika saya mengelola headend VPN, saya akan menelepon untuk mengakses situs saya melalui satu VPN dan situs orang lain melalui VPN lain, pelanggaran keamanan yang menunggu untuk dieksploitasi.

1
OhBrian

Bukan untuk apa-apa, tetapi OS X 10.6.x + akan memungkinkan Anda untuk terhubung ke beberapa IPSec VPN sekaligus. Adapun melewati SEMUA lalu lintas melalui terowongan VPN, ya, ini adalah perilaku default, meskipun Cisco (dan saya yakin ada yang sama untuk vendor lain seperti Juniper, dll.) Memiliki teknik yang disebut "split-tunneling" di mana hanya beberapa lalu lintas Anda dilewatkan melalui terowongan, yaitu, jaringan yang dilindungi yang dikonfigurasi untuk Anda oleh admin jaringan Anda. Jika lalu lintas tidak diperuntukkan bagi salah satu jaringan itu, maka itu akan keluar sebagai koneksi WAN biasa Anda. Ini bisa bagus karena memungkinkan klien VPN mengakses internet tanpa batasan, tetapi juga memiliki akses ke sumber daya perusahaan. Ini juga memudahkan beban pada server VPN perusahaan karena mereka tidak lagi memproses banyak lalu lintas.

Adapun sebenarnya MENGGUNAKAN klien OS X VPN built-in untuk terhubung ke lebih dari satu VPN pada satu waktu, saya pikir juga akan langsung melanggar kebijakan keamanan perusahaan. Selain itu, jika Anda menggunakan klien seperti Cisco AnyConnect, Anda TIDAK dapat menghubungkan lebih dari 1 instance VPN secara bersamaan (AnyConnect hanya untuk SSL VPN saja, klien bawaan OS X Cisco VPN hanya untuk IPSec VPNs saja).

0
Ronan McGurn