it-swarm-vi.com

Nhiều máy khách VPN song song

Nếu tôi chạy đồng thời nhiều máy khách VPN trên máy của mình, rủi ro nào sẽ liên quan?

Ví dụ. Có những xung đột kỹ thuật, như vậy nó sẽ không hoạt động phải không?

Có thể có xung đột giải quyết địa chỉ?

Đáng sợ hơn, có thể lưu lượng truy cập từ một mạng qua, qua máy của tôi, vào mạng khác không?
[.___.] Hoặc lưu lượng truy cập của tôi có thể vô tình bị nhầm vào mạng không?


Nếu có vấn đề, các máy khách VPN tôi đang chạy là Juniper Network Connect và AnyConnect của Cisco (Trên Windows7 được vá đầy đủ và cứng). Tôi không biết nhiều về các điểm cuối từ xa ...

12
AviD

Tôi đã sử dụng phần mềm máy khách VPN trên Mac OS X, chiếm quyền điều khiển tuyến mặc định để gửi tất cả lưu lượng truy cập qua đường hầm (thực ra, nếu bộ nhớ phục vụ cho tôi một cách chính xác, đó là của Cisco). Nếu hai máy khách như vậy đã được cài đặt, hoặc thậm chí một và một máy khách lành mạnh, thì câu trả lời cho câu hỏi "gói này sẽ đi đâu?" sẽ được thời gian và thực hiện phụ thuộc. Các tùy chọn có khả năng là một trong các khách hàng sẽ 'thắng' và sẽ nhận tất cả lưu lượng truy cập hoặc một trong các đường hầm được triển khai thông qua các đường hầm khác. Những gì xảy ra trên Windows trong trường hợp như vậy nằm ngoài tôi.

Khi bạn nói về xung đột "giải quyết địa chỉ", điều này phụ thuộc vào ý của bạn. Nếu bạn có nghĩa là độ phân giải ARP, đây không phải là một vấn đề. Như với bất kỳ hệ thống nào được kết nối với hai mạng, phải có đủ tính duy nhất trong các địa chỉ MAC để tránh va chạm. Về độ phân giải DNS, nó phụ thuộc vào việc triển khai cụ thể của máy khách VPN và hộp máy khách trên mạng riêng. Nếu chúng hoạt động chính xác, thì có thể sử dụng máy chủ DNS qua mạng riêng hoặc mạng công cộng (chú ý khả năng xảy ra xung đột tên trên các máy trong miền tìm kiếm của máy khách). Nếu họ làm sai, thì một lần nữa nó phụ thuộc vào chi tiết cụ thể của tình huống.

7
user185

Ở mức độ khá cơ bản, VPN mô phỏng một "mạng riêng" có mục đích tách biệt với Internet. "V" có nghĩa là sự cô lập như vậy được thực hiện bằng mật mã hơn là vật lý; tuy nhiên, mô hình vẫn là "cáp riêng". Nếu máy của bạn là một phần của hai VPN cùng một lúc, thì các mạng riêng sẽ không bị cô lập nữa. Điều này có xu hướng mâu thuẫn với lý do tại sao các mạng riêng được thiết lập ở nơi đầu tiên.

Việc triển khai VPN được gọi như vậy vì các ứng dụng không cần phải biết về nó. Các ứng dụng sử dụng các giao thức liên quan đến Internet tiêu chuẩn (DNS để phân giải tên, TCP và ổ cắm UDP ...) và VPN thu hút lưu lượng truy cập và thực hiện phép thuật của nó một cách trong suốt. Các bảng định tuyến hệ thống, để nhận các gói dành cho một loại địa chỉ nhất định. Hai VPN chỉ có thể hoạt động song song nếu các địa chỉ được sử dụng trong hai mạng riêng không trùng nhau - và điều đó không dễ đạt được, vì các mạng riêng, là riêng tư, không sử dụng sơ đồ phân bổ địa chỉ toàn cầu. Các mạng riêng thường cố gắng vào các "lớp riêng" như 10. *. *. * và 192.168. *. *.

DNS là một minh họa tốt về vấn đề truy cập hai mạng riêng cùng một lúc. Khi một ứng dụng muốn truy cập vào một máy có tên "ví dụ", nó không biết đó là mạng nào. Đó là điểm của mạng riêng: các ứng dụng không cần phải biết về sự tồn tại của mạng riêng. Mạng riêng lưu trữ máy chủ tên riêng của mình, có thể phân giải tên cho các máy mà nó lưu trữ. Nếu bạn liên kết với hai VPN, thì với mỗi độ phân giải tên, bạn sẽ phải nói chuyện với cả hai máy chủ tên. Do đó, máy chủ tên từ mạng riêng 1 cũng sẽ nhận được yêu cầu phân giải tên cho các tên trong mạng riêng 2. Điều này thật khó hiểu. Và nếu cùng tên được sử dụng trong cả hai mạng, thì tất cả Địa ngục sẽ vỡ ra. Đây là vấn đề tương tự so với các địa chỉ IP chồng chéo, được dịch sang không gian của tên.

Ngoài ra, nếu máy của bạn hoạt động như một bộ định tuyến, nó sẽ vui vẻ định tuyến các gói từ VPN này sang VPN khác. Trên hệ thống Linux, việc này đơn giản như:

echo 1 > /proc/sys/net/ipv4/ip_foward

mà một số bản phân phối Linux sẽ làm cho bạn nếu bạn yêu cầu nó khi cài đặt. Tùy thuộc vào người dùng không làm điều gì đó có vẻ rủi ro.

Tóm lại, mô hình bình thường cho VPN là:

  • một hệ thống người dùng nhất định là một phần của VPN, chỉ VPN (và do đó chỉ một VPN);
  • nếu hệ thống phải có khả năng nói chuyện với "thế giới bên ngoài", thì nó chỉ có thể làm như vậy thông qua một cổng chuyên dụng, theo quan điểm của hệ thống người dùng, là một phần của VPN.

Cụ thể, một hệ thống được liên kết với VPN sẽ không được liên kết đồng thời với một mạng khác, có thể là VPN hoặc Internet nói chung. Một phần mềm VPN phù hợp sẽ chiếm quyền điều khiển tuyến mặc định và đảm bảo rằng nó nhìn thấy tất cả lưu lượng truy cập vào và ra cho toàn bộ hệ thống. Về bản chất, điều này không chấp nhận sự hiện diện đồng thời của một VPN khác.

12
Thomas Pornin

Cách tôi làm việc mọi thứ khi tôi cần sử dụng nhiều máy khách VPN là chạy chúng theo VM. Điều này hiện đang hoạt động rất tốt đối với tôi và tránh các xung đột mà Graham và Thomas đề cập - nếu không, bạn có thể thấy HĐH làm những việc kỳ lạ khi gửi lưu lượng truy cập (đặc biệt là đúng trong Windows)

Điều đó cũng có nghĩa là bạn không dễ dàng mắc lỗi khi gửi dữ liệu cho một VPN khác (điều tôi làm là có nền tảng trên mỗi VM được tùy chỉnh cho từng môi trường)

Bạn sẽ cần phải xem các yêu cầu bảo mật của bạn. Đảm bảo định tuyến không tồn tại giữa các VM là tốt (tm) tại đây.

6
Rory Alsop

Tôi khuyên bạn nên liên hệ với cả Juniper và Cisco và đăng ký để kiểm tra phần mềm máy khách của họ. Tôi nghi ngờ rằng một trong hai công ty sẽ tự kiểm tra cấu hình này. Nếu bạn gặp sự cố, tôi tưởng tượng công nghệ hỗ trợ sẽ yêu cầu bạn xóa ứng dụng khách VPN của các công ty khác và thử truy cập lại mạng.

Quan trọng hơn tôi nghĩ rằng có lẽ bạn sẽ vi phạm chính sách bảo mật của ai đó. Khi bạn tạo kết nối VPN đến một trang web - đó là xây dựng một kết nối đáng tin cậy. Bạn dường như muốn kết nối với hai mạng đáng tin cậy khác nhau cùng một lúc. Nếu tôi quản lý tiêu đề VPN, tôi sẽ gọi truy cập trang web của mình thông qua một VPN và trang web của người khác thông qua VPN khác, vi phạm bảo mật đang chờ khai thác.

1
OhBrian

Không phải là không có gì, nhưng OS X 10.6.x + sẽ cho phép bạn kết nối với nhiều VPN IPSec cùng một lúc. Đối với việc chuyển TẤT CẢ lưu lượng truy cập qua đường hầm VPN, vâng, đây là hành vi mặc định, mặc dù Cisco (và tôi chắc chắn tồn tại tương tự đối với các nhà cung cấp khác như Juniper, v.v.) chỉ có một kỹ thuật gọi là "đường hầm phân tách" một số lưu lượng truy cập của bạn được chuyển qua đường hầm, nghĩa là các mạng được bảo vệ được quản trị viên cấu hình cho bạn. Nếu lưu lượng truy cập không dành cho một trong những mạng đó, thì nó sẽ kết nối WAN thông thường. Điều này có thể tốt vì nó cho phép máy khách VPN truy cập vào các hạn chế của sans internet, nhưng cũng có quyền truy cập vào tài nguyên công ty. Điều này cũng giúp giảm tải cho các máy chủ VPN của công ty vì chúng không còn xử lý nhiều lưu lượng truy cập.

Đối với việc sử dụng máy khách OS X VPN tích hợp để kết nối với nhiều VPN cùng một lúc, tôi nghĩ cũng sẽ vi phạm trực tiếp chính sách bảo mật của công ty. Ngoài ra, nếu bạn sử dụng một máy khách như Cisco AnyConnect, bạn KHÔNG thể kết nối nhiều hơn 1 phiên bản VPN cùng một lúc (AnyConnect chỉ dành cho SSL VPN, máy khách VPN VPN OS X tích hợp chỉ dành cho VPN IPSec).

0
Ronan McGurn