it-swarm-es.com

Múltiples clientes VPN en paralelo

Si tuviera que ejecutar más de un cliente VPN en mi máquina, simultáneamente, ¿qué riesgos estaría involucrado?

P.ej. ¿Hay conflictos técnicos, de modo que no funcione bien?

¿Podría haber conflictos de resolución de direcciones?

Más aterrador, ¿puede el tráfico de una red cruzar, a través de mi máquina, a la otra red?
¿O mi tráfico se puede desviar accidentalmente a la red incorrecta?


Si es importante, los clientes VPN que estoy ejecutando son Juniper Network Connect y AnyConnect de Cisco (en Windows7 completamente parcheado y reforzado). No sé mucho sobre los puntos finales remotos ...

12
AviD

He usado un software de cliente VPN en Mac OS X que secuestra la ruta predeterminada para enviar todo el tráfico a través del túnel (en realidad, si la memoria me sirve correctamente, esa era la de Cisco). Si se instalaron dos de estos clientes, o incluso uno y un cliente sensato, entonces la respuesta a la pregunta "¿a dónde irá este paquete?" dependerá del tiempo y la implementación. Las opciones probables son que uno de los clientes 'gane' y recoja todo el tráfico, o que uno de los túneles se implemente a través del otro. Lo que sucede en Windows en tal caso está más allá de mí.

Cuando habla de conflictos de "resolución de direcciones", esto depende de lo que quiera decir. Si te refieres a la resolución ARP, esto no debería ser un problema. Como con cualquier sistema conectado a dos redes, debería haber suficiente unicidad en las direcciones MAC para evitar colisiones. En cuanto a la resolución de DNS, depende de las implementaciones específicas de los clientes VPN y de la caja del cliente en la red privada. Si se comportan correctamente, entonces debería ser posible usar un servidor DNS a través de una red privada o una red pública (tenga en cuenta la posibilidad de colisiones de nombres en máquinas en los dominios de búsqueda del cliente). Si se portan mal, entonces nuevamente depende de los detalles de la situación.

7
user185

En un nivel bastante fundamental, una VPN emula una "red privada" cuyo propósito es aislarse de Internet en general. La "V" significa que dicho aislamiento se realiza criptográficamente en lugar de físicamente; sin embargo, el modelo sigue siendo "cables separados". Si su máquina forma parte de dos VPN simultáneamente, las redes privadas ya no están aisladas. Esto tiende a contradecir la razón por la cual se crearon las redes privadas en primer lugar.

Una implementación de VPN se llama así porque las aplicaciones no necesitan ser conscientes de ello. Las aplicaciones utilizan protocolos estándar relacionados con Internet (DNS para resolución de nombres, TCP y sockets UDP ...) y la VPN recoge el tráfico y hace su magia de forma transparente. Una implementación típica de VPN se engancha en el tablas de enrutamiento del sistema, para recibir paquetes destinados a una determinada clase de direcciones. Dos VPN pueden funcionar en paralelo solo si las direcciones utilizadas en las dos redes privadas no se superponen, y eso no es fácil de lograr, ya que las redes privadas son privado, no utilice un esquema de asignación de dirección global. Las redes privadas generalmente se esfuerzan en las "clases privadas" como 10. *. *. * y 192.168. *. *.

El DNS es una buena ilustración del problema de acceder a dos redes privadas simultáneamente. Cuando una aplicación quiere acceder a una máquina llamada "ejemplo", no sabe en qué red se encuentra. Ese es el punto de las redes privadas: las aplicaciones no necesitan ser conscientes de la existencia de la red privada. La red privada aloja su propio servidor de nombres, que puede resolver los nombres de las máquinas que aloja. Si se vincula a dos VPN, entonces, para cada resolución de nombre, tendrá que hablar con ambos servidores de nombres. Por lo tanto, el servidor de nombres de la red privada 1 también recibirá solicitudes de resolución de nombres para nombres que están en la red privada 2. Esto es sospechoso. Y si se usa el mismo nombre en ambas redes, entonces todo el Infierno se desata. Este es el mismo problema que las direcciones IP superpuestas, traducidas al espacio de nombres.

Además, si su máquina actúa como un enrutador, felizmente enrutará paquetes de una VPN a la otra. En un sistema Linux, esto es tan simple como:

echo 1 > /proc/sys/net/ipv4/ip_foward

lo que algunas distribuciones de Linux harán por usted si lo solicitó en el momento de la instalación. Dependiendo del usuario no hacer algo así parece arriesgado.

En resumen, el modelo normal para una VPN es que:

  • un sistema de usuario dado es parte de la VPN, solo la VPN (y, por lo tanto, solo na VPN);
  • si el sistema debe poder hablar con el "mundo exterior", puede hacerlo solo a través de una puerta de enlace dedicada que, desde el punto de vista del sistema del usuario, es parte de la VPN.

En particular, un sistema vinculado a una VPN no se vinculará simultáneamente a otra red, ya sea la VPN o Internet en general. Un software VPN adecuado secuestrará la ruta predeterminada y se asegurará de que vea todo el tráfico entrante y saliente de todo el sistema. Por naturaleza, esto no tolera la presencia simultánea de otra VPN.

12
Thomas Pornin

La forma en que trabajo las cosas cuando necesito usar varios clientes VPN es ejecutarlas en máquinas virtuales. Actualmente, esto funciona muy bien para mí y evita los conflictos que mencionan Graham y Thomas; de lo contrario, puede encontrar que el sistema operativo hace cosas extrañas al enviar tráfico (especialmente cierto en Windows)

También significa que no puede cometer errores fácilmente al enviar datos para una VPN por la otra (lo que hago es tener los fondos en cada VM personalizado para cada entorno)

Deberá vigilar sus requisitos de seguridad. Asegurarse de que el enrutamiento no exista entre máquinas virtuales es bueno entonces (tm) aquí.

6
Rory Alsop

Te sugiero que te pongas en contacto con Juniper y Cisco y te registres para probar su software de cliente. Dudo que alguna de las compañías pruebe esta configuración por su cuenta. Si tiene un problema, imagino que el técnico de soporte le pedirá que elimine el cliente VPN de otras compañías e intente acceder a la red nuevamente.

Más importante aún, creo que probablemente estarás violando la política de seguridad de alguien. Cuando crea una conexión VPN a un sitio, es construir una conexión confiable. Parece que desea conectarse a dos redes de confianza diferentes al mismo tiempo. Si administraba la cabecera VPN, llamaría al acceso a mi sitio a través de una VPN y al sitio de otra persona a través de otra VPN, una violación de seguridad a la espera de ser explotada.

1
OhBrian

No por nada, pero OS X 10.6.x + le permitirá conectarse a múltiples VPN IPSec a la vez. En cuanto a pasar TODO el tráfico a través de un túnel VPN, sí, este es el comportamiento predeterminado, aunque Cisco (y estoy seguro de que existe lo mismo para otros proveedores como Juniper, etc.) tiene una técnica llamada "túnel dividido" donde solo parte de su tráfico pasa a través del túnel, es decir, las redes protegidas configuradas para usted por el administrador de su red. Si el tráfico no está destinado a una de esas redes, se apaga su conexión normal WAN. Esto puede ser agradable ya que permite a los clientes VPN acceder a Internet sin restricciones, pero también tener acceso a recursos corporativos. Esto también facilita la carga en los servidores VPN corporativos ya que ya no procesan tanto tráfico.

En cuanto al USO real del cliente integrado de OS X VPN para conectarse a más de una VPN a la vez, creo que también sería una violación directa de la política de seguridad corporativa. Además, si utiliza un cliente como Cisco AnyConnect, NO puede conectar más de 1 instancia de VPN a la vez (AnyConnect es solo para VPN SSL, el cliente integrado de Cisco X Cisco OS X es solo para VPN IPSec).

0
Ronan McGurn