kazarma Ierakstīts Augusts 3, 2014 Share Ierakstīts Augusts 3, 2014 Vai kāds zina bezmaksas sotu, kas šo var paveikt? Lietotājs atver mājaslapu www.asd.lv kurā autentificējas ar savu windows domēna lietotāju - uz viņa datora tiek automātiski izveidots VPN savienojums ar konkrēto tīklu. Vai kāds ir izmantojis šādu risinājumu? Ievietoju tīklu sadaļā, jo tā bija vistuvākā, kur šādu jautājumu uzdot. Link to comment Share on other sites More sharing options...
hero Augusts 3, 2014 Share Augusts 3, 2014 Bezmaksas nē.Bet šur tur ir uz fortigate taisīts - ssl vpn tunnel mode. Un uz cisco - web vpn. 1. login caur portālu 2. backendā autentifikācija pret radius/ldap 3. access control un pieejas balstoties uz useru vai grupu.varbūt pēc analoģijas var googlēt kaut ko no opensource Link to comment Share on other sites More sharing options...
McB Augusts 3, 2014 Share Augusts 3, 2014 Kārtējais anālais "risinājums". XY-problem solving. Kādas būs nākošās vēlmes? Torrenti caur SMTP un skype caur IMAP? Link to comment Share on other sites More sharing options...
kazarma Augusts 4, 2014 Author Share Augusts 4, 2014 McB pats Tu esi anāls. Visas lielākās korporācijas pāriet uz šādu risinājumu - tiesa maksas. Tāpēc man ir jautājums vai ir šāds risinājums pieejams tikai bezmaksas. Link to comment Share on other sites More sharing options...
zulus Augusts 4, 2014 Share Augusts 4, 2014 McB kārtējais superteksts ar ļoti noderīgu info:D Aprobežots un apdalīts trollis, žēl tādu cilvēku, bet ir iestādes, kas tādiem piedāvā kvalificētu palīdzību! Link to comment Share on other sites More sharing options...
versatile Augusts 4, 2014 Share Augusts 4, 2014 Fortigate. Link to comment Share on other sites More sharing options...
Ronalds Augusts 4, 2014 Share Augusts 4, 2014 McB pats Tu esi anāls. Visas lielākās korporācijas pāriet uz šādu risinājumu - tiesa maksas Īsti nav skaidrs kam vajadzīgs šāds čerež ž risinājums. Absolūti tupam userim kurš nemāk uz mājas datora VPN konekciju pēc instrukcijas uzlikt?? Jebkurā gadījumā web brozerim (jebkuram) nav VPN funkcionalitātes. Un cik es tos softus pētījis tad viņi strādā tikai uz IE, kur caur activeX tiek uzinstalēts VPN softs. Pasākums strādā tikai ar admina tiesībām un mēdz gļukot. Katrā ziņā neiesaku neko tādu. Ir kaudze ar ļoti labiem VPN risinājumiem, lai useru galā nekas nebūtu jāinstalē, jāizmanto tāds vpn serveris kam ir windows VPN klients. 1 Link to comment Share on other sites More sharing options...
Mezavecis Augusts 4, 2014 Share Augusts 4, 2014 Kuras ir tās lielās korporācijas? Esmu dažādu kompāniju risinājumus veidojis, bet kaut ko tādu praksē neesmu sastapis, lai ne-IE browseris kaut ko tādu saprastu. Pēdējo reizi lietojot skriptu, lai automātiski logotos Cisco VPN, šis pasākums smagi gļukoja, jo nevarēja noķert, kur un kādas kļūdas lido ārā savienojuma laikā. Manuāli palaižot viss rullēja. Lietotājs atver mājaslapu www.asd.lv kurā autentificējas ar savu windows domēna lietotāju - uz viņa datora tiek automātiski izveidots VPN savienojums ar konkrēto tīklu. Visas lielākās korporācijas pāriet uz šādu risinājumu - tiesa maksas. 1 Link to comment Share on other sites More sharing options...
kazarma Augusts 4, 2014 Author Share Augusts 4, 2014 (labots) @mežavecis Es strādāju ar top 500 kompānijām, kā subkontraktors, tāpēc varu apgalvot, ka man zināmās visas pāriet uz šādu risinājumu 1000x mazāks čakars esot uzturot VPN klientus uz datoriem. @Rolands VPN uz datora ir arī jāuzstāda un ja sačakarējas, tad jāpārliek no jauna. WEB VPN tev ir jāievada windows logins, ko Tu tā pat vadi katru dienu datorā. @Ieleja Izkatās, ka būs vien jāpērk Juniper risinājums ("lētākais" un vienkāršākais) Cisco īsti nepiedāvā pietiekami daudz lietotājus, viņu rūteriem šī fīča ir kā bonus savukārt par to pašu naudu var dabūt 5x lielāku lietotāju daudzumu no Junipera. @Rolands Nu nezinu man konkrēti arī nesen bija jāsāk lietot Juniper WebVPN nu nekādas problēmas vēl nav novērotas. Labots Augusts 4, 2014 - kazarma Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Ideja ir baisi vienkārša - neautorizēts useris nemaz netiek pie VPN klienta instalācijas un konfigurācijas datiem, idejā lietotājam draudzīgāk utt. Jāņem vērā, ka ITišņikam nebūs problēmu uzlikt, bet lietotājam parastajam vispār kaut ko nokonfigurēt ir neiespējamā misija. pat ja tā ir servera adrese, userneims un parole. Un tas, ka šis viss ir tiešā sakarā ar visu hipstermodīgo MĀKOŅ tēmu, ka pat VPNs ir tavā pārlūkā. Vēl jau visādu auditoru un sertificētāju prasības, kuras reizēm ir murgainas, bet bieži tomēr ir pamatotas un labas. Reāli ērtākais risinājums ir dot gala lietotājam VPN klientu instalācijas kas jau satur konfigurācijas failus.(bez userneima un paroles) Protams, ka lai šādas instalācijas dabūtu vajag vispirms autorizēties. Link to comment Share on other sites More sharing options...
NewAge Augusts 4, 2014 Share Augusts 4, 2014 SSL VPN (Web based) ir populārs risinājums. To izmanto ļoooti daudzas kompānijas, tajā skaitā arī Fortune 100 kompānijas. Tur nevajag nekādu IE vai ActiveX vai kādas te vēl muļķības tika sarakstītas. Parasti viss, kas ir vajadzīgs ir pareiza Java versija uz klienta datora. Java, protams, nav nekāda dāvana, to es saprotu. Bet katrā ziņā šādus risinājumus piedāvā visi lielākie vendori, spēj tik izvēlēties. Link to comment Share on other sites More sharing options...
Mezavecis Augusts 4, 2014 Share Augusts 4, 2014 (labots) Ā, nu Juniper esmu lietojis priekš vienas bankas risinājuma. Diemžēl viņš čakarēja servera web softa darbību un MS CRM (MS autentifikācija) smagi gļukoja neatkarīgi no browsera (IE, Firefox, Chrome), kā rezultātā kaudze funkciju bija nelietojamas. Vienīgais normālais risinājums bija iet caur terminālserveri, lai normāli varētu strādāt. Visvairāk tam JUniper nepatika popup logi. Labots Augusts 4, 2014 - Mežavecis Link to comment Share on other sites More sharing options...
kazarma Augusts 4, 2014 Author Share Augusts 4, 2014 (labots) @NewAge Tiešī tā, lai gan VPN klients ir ideālais variants, tagad visi pieprasa mobilitāti ( piemēram gribu strādāt no mājas PC). Mana ideja ir tāda, ka tiek palaists WEB VPN, kas ar noteiktajām politikām noloko datoru (trafiks strikti tikai caur VPN ->Proxy. Kad tas ir izdarīts lietotājs slēdzas klāt terminālim un dara savu darbu , VPN autorizējas ar savu lietotāju tāpēc atkrīt mūžīgā problēma ar es aizmirsu kā bija jādara ar VPN. Savukārt visi iet draugiem . lv un ievadīt divos laukos skaidri zināmu Info, lai izveidotu VPN ir vienkārši un intuitīvi teiksim vpn.kompanijaslapa.lv Labots Augusts 4, 2014 - kazarma Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Teikšu tā - zārkā es redzēju to Juniperu ar saviem ScreenOS un JunOS. Nekad vairs neiegādāšos Juniper produkciju. Tik debīli risinājumi un tik nejēdzīgas licencēšanas ir tikai viņiem. Protams vēl Santa Monica Networks kuri iestumj batonus par to ko ierīce māk standarta izpildījumā. Jā māk, bet jāpērk papildus licence. Bija tāds smalks uzmetiens no viņu puses. Protams, ka tur ir arī paša vaina - tirgonim ticēt = sevi apčakarēt. Junipers ir lietots vairāk par vienu iekārtu - nu man nav neviena laba vārda ko par viņu teikt. Nu varbūt to, ka dzelzis strādā normāli un stabili. Bet nekad nekādas superslodzes uz viņiem neesmu licis. Vēl jau klasiskā Netscreen 5XT interpretācija par to kā jāuzvedā, ja tīklā ir vairāk kā tie 5 licencētie useri. Cisco, Checkpoints vai opensource risinājumi. 1 Link to comment Share on other sites More sharing options...
hero Augusts 4, 2014 Share Augusts 4, 2014 (labots) Juniperam nav tiešā izpildījumā tā, ko tu prasi.Par netscreen/ssg nerunāsim - kā par izmirstošu sugu. Bet uz viņu šībrīža security portfolio dzelžiem (SRX,MAG vai SA) visbīdītākais ir pulse klients priekš ssl, kur pirmoreiz lietojot tiek downloadēts un uzinstalēts SSL-VPN klients. Un, diemžēl jāsaka, ka tas mēdz radīt problēmas, ja tu paralēli gribi lietot vēl kāda cita vendora vpn klientu.Tieši ("clientless") ir Fortigate, CiscoASA(webvpn), Checkpoint.... (citus neesmu bakstījis)SSL vpn lielākais mīnuss parasti ir ssl lietotāju licences (ko MIGs arī apstiprina), Lielākā organizācijā izmaksās vairāk kā dzelzis ar visu supportu Īsumā - saproti kuri dzelži tevi apmierina tavas prasības. Uztaisi top 3. Ej pie attiecīgo partneru "reselleriem"/"partneriem", lai parāda demo/prezentācijas. Mārketinga/sales prezentācijās redzēto un dzirdēto kritiski izvērtē 3439284 reizes. NB:Tas, ka caur vpn nestrādā kādas specifiskas aplikācijas, caurmērā vainīga pati aplikācija, jo ir samazināts mss, nepieciešama fragmentācija un sākas problēmas... NB1: MIGs - tev darvas karote izskatās ka sanākusi vairāk kontaktā ar partneri, taču JunOS realizācija = power (tas, cik gļukaini vai negļukaini tas uzvedas uz Juniper portfolio dzelžiem - tas ir cits stāsts). Labots Augusts 4, 2014 - hero Link to comment Share on other sites More sharing options...
Ronalds Augusts 4, 2014 Share Augusts 4, 2014 tagad visi pieprasa mobilitāti ( piemēram gribu strādāt no mājas PC). Bet kur ir problēma uzrakstīt manuāli kā pievienot jaunu VPN konekciju ar windows rīkiem. Ja useris nav totāls slims cilvēks tas takš ir elementāri. Un kas vainas MS-SSTP vpn protokolam??? Mana ideja ir tāda, ka tiek palaists WEB VPN, kas ar noteiktajām politikām noloko datoru (trafiks strikti tikai caur VPN ->Proxy. To pa lielam uz usera PC nevarēs izveikt. Savukārt visi iet draugiem . lv un ievadīt divos laukos skaidri zināmu Info, lai izveidotu VPN ir vienkārši un intuitīvi teiksim vpn.kompanijaslapa.lv Jā, piekrītu. Tomēr web browzeris nepiedāvā vpn funkcionalitāt! Tajā lapā tiek palaista kāda activex vai java programma. Vai tiek prasīts kādu specifisku browsera pluginu pieinstalēt. Rezultātā uz viena PC strādā, uz otra nē. Savā laikā pie mums brauca klienti kuram bija šāds vpn. Vienam iet, otram nē. Tas otrais liels boss - visu adminu konsīlijs tika savākts, gandrīz visu dienu nočakarējāmies, tā arī beigās neatradām kāpēc viņam negāja tas brīnums. Ja pareizi atceros bija Juniper risinājums tas. Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Hero - pēdējais ko liku uz Junipera bija SRX240. Nu galīgi man nepatika, nepatika un vēlreiz nepatika. Bija jāsaslēdz ar RSA SecureID.Sen tas bija, bet te "defaultajā pakā" kaut kas no licencēm pietrūka(neatminos, baidos samelot). Laikam nemācēja pa taisno ar LDAP autorizāciju strādāt un nācās izveikt aklās zarnas trikus caur otru galu. Viņa paša VPN risinājumi maigi izsakoties izraisīja pumpas. Nē nu tipa jau strādāja, bet uz to brīdi likās kaut kas diezgan murgains. Tālāk bija kaut kāds joks ar portu forvardēšanu iekšējā tīklā(da vienalga kurā lanā vai vlanā), un tur bija smieklīgs ierobežojums uz portu vai polišu skaitu. Tobiš, tāda līmeņa iekārta nespēja nodrošināt to, ko Linksys pa 25Ls. Protams, ka tas ir tīri licences limits, bet ne jau dzelzim par tādu cenu. Tas bija relatīvi sen - visas detaļas galvā vairs nestāv. Protams, ka viss tika uzlikts, viss darbojās.Protams, ka ne tā kā sākumā bija doma'ts, kautkas tika realizēts savādāk, citādāk, apgalvojot, ka esmu stājies dzimumsakaros ar SRX, ar JunOS un visu Juniper rūpnīcu. Ak jā, laikam vēl bija tā, ka suports lika N reizes šūt firwares pirms nāca skaidrība par to, ko licences ļauj un ko neļauj. Cik ir bijusi darīšana ar Izraēlā rakstītiem softiem, tad vienmēr ir bijis jākož pirkstos taisni par licencēm un finansēm. ronalds_ - jā vidējais useris ir TIK tups, ka nemāk pēc manuāļa izveidot VPN konekciju ar Windows defaulto tooli. īstenībā ir vēl trakāk, bet nu tev jau aŗi piemīt profesionālais kretīnisms, ka neredzi tālāk par savu degungalu. By default ir jāuzskata, ka useris ir stulbs un izdarīs visu nepareizi pat tad, ja to nav iespējams izdarīt ! Lielisks piemeŗs ar iepriekš minētajiem RSA SecureID - ir lietotāji kas NAV spējīgi to uzģenerēto kodu ievadīt minūtes laikā. Nu nesanāk viņam un nošaujies. Ja tas ir noliktavas darbinieks tad vēl tā, bet ja tas ir lielas kompānijas liels priekšnieks... Tāpat pa brīdim ir kāds kas nemāk banku kodu kalkulatorus izmantot. Nu visādi tak ir... Ķirzaka - rīku jau uzrakstīt vari, bet: * Tam vajag smadzenes - ne kurš katrs uzrakstīs skriptu, kas ne tikai iezvana savienojumu, bet arī to izveido. * Tam vajag tiesības - tātad jālaiž no amdina * Tas nepatiks visādiem IT priekšniekiem, jo tas neskan tik cēli,kā ieviest risinājumu par N tūsktošiem. Jo kas gan kruts var būt, ja pašu datorists ir skriptu sakodējis ?! * Auditori un grupas politikas... Es jau toreiz aŗi izvēlējos Juniperu tikai tāpēc, ka opensourcīgie nebija atļauti grupas ietvaros un Junipera cena VS iedomātā performance bija labāka par CheckPointu, Cisco un ko nu es vēl tajā reizē pētīju.(Bija arī daži brendotie Linux un BSD risinājumi, bet no tiem "Lēmēji" baidījās). Protams prakse VS iedomātā performance atšķirās... 1 Link to comment Share on other sites More sharing options...
nktns Augusts 4, 2014 Share Augusts 4, 2014 Tieša saskarsme ar Juniperu nav bijusi, bet ir runāts ar pāris klientiem, kuriem ir tieši sāpe sirdī par viņu licencēšanas politiku un "slēptajām" maksām. Un, jā, no "ne skaļo brendu gala" vēl ir Cyberoam. Ir savi labumi, piemēram, live supports, kas jēdz kaut ko atbildēt, var pieslēgties iekārtai un apskatīt, kas fiksai problēmu risināšanai nāk tikai par labu. No konfigurācijas viedokļa draudzīgs. Šo vienkārši neviens nebija pieminējis - var iemest katliņā pie visiem. Link to comment Share on other sites More sharing options...
hero Augusts 4, 2014 Share Augusts 4, 2014 uwaga - palags incoming... Par SRX likstām un bērnības problēmām stāsts ir, ka Juniper nopirka Netscreen, bija lēmums visu funkcionalitāti pārnest uz JunOS. Visu to uzdevums bija darīt strauji - nu un gāja attiecīgi arī kā pa celmiem. Tas SSL vpn arī bija kā jaunums un gļučīja vairāk kā darbojās - neslēdzās klāt, neatbrīvoja licences, kārās sesijas. Es gadījumus, kas skāra dyn-vpn vispār ignorēju, jo tos risināt bija bezjēdzīgi (JTAC ieteikums bija - gaidiet stabilāku relīzi). Tāpēc Junos 9.6 - 10.1-2 versijās uz srx, tiklīdz vajadzēja konfigurēt kaut ko, kas "izkāpj no manuāļa robežām" - varēja gatavot vazelīnu. Tagad ar to stabilitāti ir daudz pozitīvāk. Uz SRXiem ir sabūvēta un strādā infrastruktūra ar vairākiem simtiem filiāļu. "Branch"(jeb mazo) SRXu burvība ir, ka tā kaste ir kā Šveices nazis - darīt var visu - router/switch/zonebased firewall/L2 vai L3 HA modes un sintakse ir tāda pati ierastā (vismaz man ) kā uz Junipera rūteriem/Switchiem Paliek tikai izfiltrēt, cik lielu kasti vajag un kādām fīčām vajag licences un kurām vajag "subscribtion licences". Ja te runa iet par Juniper ssl vpn, tad salīdzinoši priekš SRX 25 vienlaicīgu vpn sesiju licence ir 1000$ GPL, 50 users 2k$; 500 users - 15k $ (Partneriem parasti ir atlaides). Ja kasti skatās tikai kā sslvpn terminācijas punktu, tad no Juniper var uzmest aci vēl MAG gateways, kas ir šī produkta primārais uzdevums. Par licencēm visiem ražotājiem bez izņēmuma tam ir jāpievērš uzmanība. Jo par licencēm tiek kāsts lielāks piķis nekā par dzelzi. Tālāk bija kaut kāds joks ar portu forvardēšanu iekšējā tīklā(da vienalga kurā lanā vai vlanā), un tur bija smieklīgs ierobežojums uz portu vai polišu skaitu. šobrīd joprojām ir smieklīgs ierobežojums, ka vienā nat politikā nevar būt vairāk par 8 source/destination IP. (bet tas risinās taisot papildus politikas) Kādreiz bija debīla problēma, ja tu gribēji noforwardēt piemēram 10000-20000 portus (aka range), to izdarīt nevarēja. Vai nu pa vienam portam, vai Jāzaudē bija publiskā IP un jātaisa static nat. Tagad šis konkrētais ir atrisināts. Par kopējo polišu/zonu/vlanu/sesiju/uc skaitu, jāskatās whitepaperi - jo ir hardkodēti ierobežojumi, lai nepārsniegtu dzelža iespējas. Nekādas citas NAT problēmas galvā nav aizķērušās. Un, jā, no "ne skaļo brendu gala" vēl ir Cyberoam. Ir savi labumi, piemēram, live supports, kas jēdz kaut ko atbildēt, Cyberoam - īstenībā nav nemaz tik "ne skaļais brands". Tagad tas var teikt ir sophos un Gartnera UTM kvadrātā bija vadošo sarakstā. Par supportu runājot - visiem top vendoriem ir iespēja nopirkt kaut vai 24x7 telefona atbalstu. Problēmas ir divas: 1) cena 2) Lielais vairums 1st level support keisu aiziet uz kādu lētāka darbaspēka zemi (lasīt - Indiju/Izraēlu/tuvākiem vai tālākiem austrumiem) . Un kritiskos, specifiskos gadījumos uzreiz jāprasa eskalēt kaut kam, kas neiet caur pēc checklista bet uzreiz saslēdz smadzenes. Un te būs atkal - vai tev ir nopirktas tiesības pieprasīt tūlītēju eskalāciju vai nē. Ja nē - ejam uz pirmo rindkopu pēc vazelīna; var noderēt, kad problēmas ātrāku risinājumu prasīs tieši no tevis. Mana ideja ir tāda, ka tiek palaists WEB VPN, kas ar noteiktajām politikām noloko datoru (trafiks strikti tikai caur VPN ->Proxy. Šādam gadījumam vēl var ielūkoties Endpoint Control / network admission control risinājumus. Pietiekoši apjomīgi projekti nav bīdīti, lai par to ietu runāt tribīnē, bet tas noteikti būs kaut kāds klients uz kompja, kas čeko visu iespējamo -> vai ir pēdējie OS/AV updeiti vai esi pieslēdzies VPNam - tikai tad tiec internetā. Ja pie VPN neesi - neta nav vai ir ļoti limitēts. Ja pie VPN esi - viss trafiks iet caur centrālo korporatīvo firewallu ar tādām pašām drošības politikām kā sēžot ofisā. Līdz LV šāda līmeņa genocīds gan nav vēl masveidā nonācis, bet tipiski tiek pielietots lielās korporācijās daribniekiem izsniedzot korporatīvo tehniku. Lai nav jāalgo armija IT personāla, kas pēc katra komandējuma brauciena tīra līdzatvesto zoodārzu Jebkurā gadījumā - ikvienam risinājumam būs grābekļi ar kuriem vajdzēs pacīnīties. web/ssl vpn - lielākā priekšrocība - tiek aptverta gandrīz jebkura iespējamā lietošanas platforma un tunelējas caur standarta 443 portiem un klienta daļu no nulles iedarbināt var pat šimpanze ar negatīvu IQ. EOF Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Izskatās, ka lietu pārzini. Bet nu HZV kam jānotiek lai vēlreiz gribētos provēt JunOS. Nē, nu gan jau atkal kas interesants nonāks manās rokās. Jā, tad jau ar SRX būšu kā reiz trāpījis pašā "labākajā laikā". Cerēsim, ka nākamreiz man ar viņu tāds sex nebūs. ;D Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Ja jau offtopic tad pastāstiet pieredzi ar Linux/BSD "Hardware"/OEM risinājumiem. Nu ir kautkādi Astaro Linux/Sophos. RouterOS un visādus free PFsense, IPCop utt nepiesauksim. Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Nu custom risinājumi man pašam arī netrūkst. Es domāju gatavos produktus kas nāk dzelzis+softs kopā kā gatavs risinājums. Link to comment Share on other sites More sharing options...
hero Augusts 4, 2014 Share Augusts 4, 2014 (labots) ieleja, par fortigeitiem. Par bokšiem, kas ir 2-ciparu (aļa 20,40,60,80) arī nav tā labākā pieredze - apgraizītas fīčas/vāja performance (it sevišķi izteikti, kad skar kriptēšanu vai UTM/NGN fīčas). Bet, kas iet 3 ciparu 100/300/800 - ir lietojami, galvenais izvēlēties kasti pēc reālā trafika un fīčām, ko slēgs iekšā.Nevis - ir nauda, Pēteris teica Fortigate ir labs, sanāk 80c, ņemam, uzsēdinam ofisu ar 50 lietotājiem virsū un brīnamies "a h*$i tas varenais dzelzis nifiga nestrādā" (stāsts iz dzīves) Pamatā Fortinet un PaloAlto šobrīd manā burtnīcā ir simpātiskākie UTM risinājumi. Un kantori paši pa sevi ir ar kaut kādu progresīvāku vīziju un seju. MIGs Linux/BSD "Hardware"/OEM...Es domāju gatavos produktus kas nāk dzelzis+softs kopā kā gatavs risinājums. tavs "mīļais" srx, viņam softs apakšā ir BSD, kuram pa virsu uzbāzsts junos ;] Labots Augusts 4, 2014 - hero Link to comment Share on other sites More sharing options...
MIGs Augusts 4, 2014 Share Augusts 4, 2014 Jā, jā, arī iekš Windows ir ieportēts IP stacks no BSD. Bet tas maz ko maina. Gandrīz visi šitie dzelži griežas uz dažādiem BSD atvasinājumiem. Link to comment Share on other sites More sharing options...
NewAge Augusts 5, 2014 Share Augusts 5, 2014 Esmu implementējis pfSense + HAProxy + OpenVPN stacku. Principā tas ir all-in-one risinājums, ja vajag Firewall, Router (pfSense) + LoadBalanceri ar SSL Offloading (HAProxy) un Remote Access VPN (OpenVPN). Tas viss darbojas failover modē. OpenVPN autorizācija notiek ar ssl sertifikātu un username&password, kurš, savukārt, autorizējas uz AD vai LDAP. OpenVPN pluss ir tas, ka klienti pieejami uz jebkuras platformas, ieskaitot Android utt. pfSense piedāvā arī savu hardwari ar pre-instalētu OS. Esmu strādājis arī ar Citrix Netscaler. Labs produkts, bet dārgs un updeiti vairs neiznāk. It sevišķi sāpīgi tas ir attiecībā uz OpenSSL updeitiem uz Loadbalancera (Heartbleed anyone??). Vēl problēma ar Netscaler bija tāda, ka GUI ir strādāja tikai ar vienu konkrēti vecu Java versiju, bet nav liela sāpe, jo SSH tika izmantots pārsvarā. Lai vai kā, ja man būtu jāizvēlas Remote Access VPN, mani kritēriji būtu: Uz cik un kādām platformām ir pieejams VPN klients (mūsdienās sevišķi aktuāli uz mobilajām ierīcēm) VPN klients nav Java based, tas pats arī attiecas uz servera menedžmentiem, kuri ir tikai Java based Supports (tai skaitā community) Cena Principā nelielām un vidējām kompānijām OpenVPN ir pilnībā ok. Link to comment Share on other sites More sharing options...
kazarma Augusts 5, 2014 Author Share Augusts 5, 2014 Tur tā lieta, ka man tieši interesēja clientless VPN. Ja būtu vajadzīgs ar klientu ņemtu Cisco un viss. Link to comment Share on other sites More sharing options...
NewAge Augusts 5, 2014 Share Augusts 5, 2014 Reku ari variants https://www.barracuda.com/products/sslvpn Bazets uz savu laiku popularo SSL Explorer, kur starp citu joprojam ir pieejams http://sourceforge.net/projects/sslexplorer/. Bez maksas, tikai mazliet out-dated. Link to comment Share on other sites More sharing options...
it.kroplis Augusts 26, 2014 Share Augusts 26, 2014 SSL explorer ir labs, bet tas nav īsti tas ko gribi. Tajā var lieliski publicēt servisus caur webu. Bezmaksas variantā tava vēlme nav redzēta. Izmantoju komerc produktu. No drošības viedokļa ļoti labi,Krietni drošāk par visādiem PPTP utml. Domāju ka zem Linux gan jau ir kāds openSource projekts ar līdzīgu domu. Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!