Pålidelig og skalerbar VPN sikker tunneling

  • Blog
  • Pålidelig og skalerbar VPN sikker tunneling

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Pålidelig og skalerbar VPN sikker tunneling

6 min læses

Indholdsfortegnelse

Oversigt #

Når du opretter forbindelse til internettet via en internetudbyder, er du ikke i tvivl om, at denne udbyder vil tage alt i betragtning for at sikre, at din forbindelse er sikker, men hvad nu hvis du vil oprette forbindelse til en privat tjeneste? Hvordan sikrer man, at trafikken fra klient til server i offentlig infrastruktur er sikker? Det er her, hvornår VPN tjenester eller Virtual Private Network teknologier er påkrævet. En sikker forbindelse etableres mellem begge noder, hvilket sikrer, at ingen ekstern agent vil opfange trafikken, der indhenter følsomme oplysninger.

VPN tjenester tilbyder adskillige muligheder såsom:

Fortrolighed: forhindrer andre i at læse dine data. Dette implementeres med kryptering.
GodkendelseBekræfter, at medlemmer, der opretter punkt-til-punkt-forbindelsen, er legitime enheder.
Integritetverificerer, at VPN-pakken ikke blev ændret på en eller anden måde under overførslen.
Anti-genafspilning: forhindrer nogen i at opfange trafik og sende den igen, forsøger at fremstå som en legitim enhed/bruger.

Der findes forskellige former for implementering på det markedsbaserede område inden for private og åbne standarder. Vi vil i denne artikel fokusere på de åbne løsninger, se de mest relevante nedenfor.

IPsecDet er blevet standarden for VPN-installationer på internettet, det implementerer et stort antal kryptografiske algoritmer, og det har ikke kendt til større sårbarheder.
OpenVPNMeget populær, men ikke baseret på standarder. Den bruger brugerdefinerede sikkerhedsprotokoller, understøtter TLS/SSL med Openssl og et stort antal kryptografiske algoritmer.
L2TPDet er en udvidelse af PPTP, den kan bruge IPSec som sikkerhedslag, hvilket tidligere mest blev brugt af internetudbydere. I øjeblikket findes der bedre muligheder med bedre ydeevne.
TrådbeskyttelseDet er en ekstremt hurtig VPN, og ekstremt nem at installere. Den bruger de kryptografiske algoritmer, der allerede er inkluderet i Linux-kernen, den bruger UDP og kan konfigureres i enhver port.

Skalerbart VPN-miljø #

Målet med denne artikel er at beskrive, hvordan man opretter en load-balanced tjeneste med høj tilgængelighedsopsætning til VPN tjenester med Relianoid Load BalancerVi fokuserer i denne artikel på Trådbeskyttelse, som bruger port 51820 PDU, men den kan udvides til andre lignende løsninger med en eller flere protokoller og porte.

I denne artikel konfigureres VPN serveren er udeladt, men følgende punkter skal tages i betragtning ved skalering VPN med succes i høj tilgængelighed:

VPN-serverkonfigurationsfiler skal replikeres i alle VPN servere, der vil være balancerede.
VPN-klienter Trafikken skal være NAT-baseret i VPN-serveren bare for at sikre, at alle indgående og udgående forbindelser fra en APN-klient går gennem den samme VPN-server i puljen.

Følgende diagram beskriver den skalerbare arkitektur, der skal opnås.

VPN Wireguard-arkitektur

1. to Trådbeskyttelse servere, der deler den samme konfiguration.
2. Hver Trådbeskyttelse serveren opretter det samme private netværk 192.168.2.0/24.
3. Hver VPN klienten vil blive NAT-forbundet med IP'en for VPN serveren hvor den er tilsluttet.
4. Klienterne opretter forbindelse til én offentlig IP-adresse vpn.company.com via 51820 PDU, denne forbindelse vil blive videresendt til Relianoid (192.168.100.10).
5. Relianoid vil belastningsbalancere klientforbindelserne til de tilgængelige VPN servere, og endelig vil tunnelen blive oprettet mod en af ​​serverne.

I denne artikel vil vi gennemgå 2 forskellige måder at konfigurere denne skalerbare VPN-tjeneste med Relianoiden via Web GUI og en anden via Command Line Interface.

Konfiguration af virtuel VPN-tjeneste med Relianoid #

Dette afsnit forklarer, hvordan du opnår den korrekte konfiguration med kommandolinjegrænsefladen.

Tag i betragtning, at VPN-protokoller kræver Vedholdenhedssession evner for at sikre, at den samme klient er forbundet til den samme Bagende i en periode, selvom denne klient ikke genererer nogen trafik.

For at oprette VPN virtuel tjeneste, en ny gård kaldet VPNLB med l4xnat-profil lytter på 51820 PDU bundet til VPN Virtuel IP 192.168.100.10 og sNAT tilstand, hvor firewallen vil NAT-forbindelser fra klienter med følgende kommando:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

eller via web-GUI:

Rediger Globale parametre af gården for at kunne bruge UDP protokol, og konfigurer derefter Vedholdenhedssession by Kilde IP og en simpel Load Balancing Algoritme by Vægt.

zcli farm sæt VPNLB -protokol udp -nattype nat -persistence srcip -ttl 1800 -algoritmevægt

eller via web-GUI:

Tilføj to Backend-servere 192.168.100.11 og 192.168.100.12 til den allerede oprettede gård for VPN load balance-tjeneste. port behøver ikke at blive konfigureret som l4xnat vil bruge det samme som i Virtuel port konfigureret.

zcli farm-service-backend tilføj VPNLB standard_service -ip 192.168.100.11 zcli farm-service-backend tilføj VPNLB standard_service -ip 192.168.100.12

eller via web-GUI:

For kun at vælge sunde backends, lad os konfigurere et simpelt sundhedstjek for backends, der sikrer porten 51820 PDU er tilgængelig i backend-siden. Lav en kopi af et aktuelt generisk og forudindlæst sundhedstjek kaldet check_udp og redigere den. Vi anbefaler at ændre interval felt til 21 fordi hvert sundhedstjek bruger en timeout of 10 sekunder, Så 10 sekunder * 2 backends + 1 sekund = 21 sekunder.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn zcli farmguardian set check_udp_vpn -description "VPN-tjek for UDP 51820" -interval 21

eller via web-GUI:

Til sidst skal du tilføje det allerede oprettede sundhedstjek, der hedder check_udp_vpn til den nuværende gård VPNLB.

zcli farm-service-farmguardian tilføj VPNLB standard_service -navn check_udp_vpn

DDoS-angrebsafbødning med IPDS-modul #

VPN-tjenester er normalt mål for angreb og cybersikkerhedstrusler for at udnytte fjernforbindelsen til at få adgang til organisationens netværk.

Derfor anbefales det at gennemføre vores skalerbare VPN service med et sikkerhedssystem for at beskytte vores organisation mod eksterne angreb. I dette afsnit forklares, hvordan man bruger Relianoid IPDS-modul og afbøde DDoS-angreb forum offentlige VPN-tjenester meget let.

To forskellige beskyttelser er beskrevet i dette afsnit, som giver bedre resultater med denne type tjeneste: IP-beskyttelse via whitelister og forbindelsesgrænser.

Tillader adgang til den offentlige VPN-tjeneste fra en given hvidliste #

Brugen af sortliste/whitelist kan bruges i tjenester, hvor vi kan sikre, at klientlisten er kendt, for eksempel en offentlig VPN-tjeneste at tillade fjernarbejde i en organisation i et bestemt land.

For at konfigurere en hvidliste til Tyskland og afvise trafik fra andre IP-adresser landeintervaller, bedes du anvende følgende:

1. Gå til IPDS > Sortliste og find sortlisten der geo_ES_Tyskland. Derefter Redigere denne sortlisteregel og ændr politikfeltet til Tillad skal bruges som hvidliste.
2. Gå til fanen i den samme liste Gårde og flytte gården VPNLB fra kolonnen Tilgængelige gårde til Aktivér gårde.
3. Tryk Leg ikon inkluderet i handlinger for at aktivere hvidlisten.
4. Gå til IPDS > Sortliste og find sortlisten der Alle, gå til fanen Gårde og flytte gården VPNLB fra kolonne Tilgængelige gårde til Aktivér gårde.
5. Tryk Leg ikon af handlinger for at aktivere sortlisten.

Med denne konfiguration, én hvidliste med navnet geo_ES_Tyskland allerede forudindlæst Relianoid med alle IP-intervallerne i et sådant land tilføjes det til farmen VPNLB og yderligere sortliste navngivet Alle hvor resten af ​​IP-adresserne tilføjes til farmen, så hvis klientens IP-adresse ikke matcher i noget område af Tyskland, vil den blive droppet.

Tillader adgang til den offentlige VPN-tjeneste med forbindelsesbegrænsninger #

For at anvende denne slags DDoS beskyttelse Det anbefales kraftigt at vide, hvordan vores offentlige service fungerer, for eksempel Trådbeskyttelse bruger kun én UDP-forbindelse pr. klientSå hvis vi modtager flere samtidige forbindelser fra den samme kilde-IP, kan vi tro, at mere end én telemedarbejder opretter forbindelse bag en NAT, der maskerer trafikken, eller det kan være relateret til en UDP-oversvømmelsesangrebUnder alle omstændigheder kan vi forstå, at mere end 10 forbindelser pr. kilde-IP ikke er legitim trafik.

For at konfigurere en grænse for samtidige forbindelser pr. kilde-IP for vores VPN virtuel tjeneste gør venligst følgende:

1. Gå til IPDS > DoS > Opret DoS-regel, opret en ny regel med navnet limit_per_source_IP og vælg Regeltype samlet forbindelsesgrænse pr. kilde-IP og tryk Opret.
2. I regelredigeringsformularen skal du indtaste den ønskede grænse for samtidige forbindelser i feltet Samlet grænse for forbindelser pr. kilde-IP, i vores tilfælde 10 og tryk Insend.
3. Gå til fanen Gårde og flytte gården VPNLB fra kolonne Tilgængelige gårde til Aktivér gårde.

Med denne konfiguration har vi begrænset antallet af samtidige forbindelser pr. kilde-IP til 10. Vi stoler ikke på klient-IP'er, der forsøger at etablere mere end 10 VPN-forbindelser. Hvis du kan sikre, at mere end én klient aldrig kører forbindelser gennem en offentlig NAT, så... limit_per_source_IP kunne konfigureres til kun 1.

Nyd din skalerbare, meget tilgængelige og sikre VPN-tjeneste med Relianoid!

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs