Защита локальной сети и сервера

[maxx™]

Реально ли сгибридить ipsec и radius?

Та наверное можно.
Решение на Windows :
Настраиваете один раз домен с политиками безопасности и все работает. Достаточно просто комп ввести в домен.
На линуксе:
Сначала выбираете чтоже вам надо из всего многообразия существующих программ, потом пытаетесь это все скрестить. Ну и на каждом новом клиенте - настраиваете все по новой, либо пишите скрипт который все настроит и который кто-то должен поддерживать.

Мне абсолютно всеравно что выберет топикстартер, но сдается мне что пока решение на линуксе будут тестить, решение на винде уже давно будет работать.

[modding]

отличие решений на линуксе или bsd отличаются тем что 1 раз настроил и забыл про дыры - в основном это bsd . а в случае windows необходим регулярный контроль . наверное слышали про дедики в интернете .. так вод народ ломает windows сервера ради прикола . приставьте ситуацию что проще хакнуть windows комп и он сам будет снифать всю сеть . сколько воды утечет .. а линуксы настраивая через гугл-яндекс с нуля можно заставить заработать за пару дней с помощью гугла
итог .. шеф просил сделать чтобы было все круто . а не быстро .. решать действительно вам .
если информация действительно ценная . нужно учитывать все в несколько шагов .. это новая ин фраструктура т.е большой объем работы .. а контектися лучше без паролей по сертификатам я про ssh


IPsec
Плюсы:

Построение топологии сетей отличной от звезды
Большое количество встроенных клиентов во всех OS, простота конфигурации клиентов.
OpenSwan + KLIPS в теории позволяют создавать наиболее производительные VPN сети, поскольку позволяет подключать аппаратные шифрующие устройства.
Минусы:

Плохая работа с NAT на одной стороне, если NAT на обеих сторонах - сразу нет.
Очень, нет ОЧЕНЬ сложная конфигурация сервера. Причём что в OpenSwan, который в книге про него назвали простым, что в racoon. Хотя racoon на мой взгляд и проще, в простых конфигурациях, и позволяет настраивать тонкие параметры системы (хотя в большинстве случаев это просто не нужно).
Роутеры могут в принципе не пропускать IPsec, даже если у них написано что они его поддерживают, потому что у каждого стека реализации IPsec есть свой Vendor ID и свой же список чужих Vendor ID с описанием того как с ним работать. И если какой-то узел не знает как работать - работать ничего не будет.
Достаточно долго подключается. В целом на подключение нужно где-то 1-2 секунды. Можно ускорить за счёт снижения безопасности.


OpenVPN
Плюсы:

Хорошая работа с NAT, в том числе и в конфигурациях, когда обе точки расположены за NAT.
В любой системе пакеты OpenVPN будут одинаковыми
Очень простая настройка сервера в простых конфигурациях, и не слишком сложная - в сложных.
Очень быстрое подключение
Достаточно высокая производительность (потому что udp, хотя можно и tcp)
Простой и понятный (по сравнению с IPsec) алгоритм шифрования SSL/TLS (по крайней мере знаешь чего от него ждать)
Минусы:

В большинстве систем необходимы административные права, чтобы установить клиент. Конфигурация клиентов тоже не очень проста, но один раз настроив всё буде работать идеально.
Топология только звезда.

https://libc6.org/page/openvpn-vs-ipsec

[maxx™]

отличие решений на линуксе или bsd отличаются тем что 1 раз настроил и забыл про дыры - в основном это bsd . а в случае windows необходим регулярный контроль .

Ломают не винду, а открытые сервисы. И шо BSD но винду сломать нереально. И если вы поставили BSD + openVPN то следить надо уже не только за обновлениями в BSD, но также и в openVPN. Наличие какого-то радиус-сервера заставить следить еще и за его рассылками и т.д. Это если вы действительно переживаете за безопасность. Потому как поставил и забыл - это неверное решение. Следить за ним всеравно надо.

[Альтаир Бергадлер]

Этого я и боялся.....
ПРактически окончательно запутался в механизмах реализации того или иного варианта.
Первый вопрос. Реально ли ставить радиус аутентификацию если сервер находится не сразу за аццеспоинтом (роутером). да и вообще, будет ли проблема если сервер находится как указано на схеме, вроде же для впн не имеет значения , главное указать где сервер а где клиент. Можно ли пускать рабочие пк в сеть по впн через сервер (т.е. сервер как бы будет коммутатором что ли, нужно мониторить сеть)

[maxx™]

Вы и дальше будете путаться, пока не составите четкое ТЗ что вам надо. Ну вот сейчас выясняется, что надо еще и сеть мониторить.

[modding]

безопасность сети в гугл.. и тема закрыта..

[fotinia]

maxx™, копать - колотить! Горе от ума! Домен на 10 вонючих тачек..... Возьмите в центр 1 (ОДИН!) роутер типа Linksys RV042, в нем скромный сервер 5 pptp соединений. При возникновении полноценных ipsec проблем не будет. Оно умеет. И работает. Дорого? Любой дешевый роутер. Да хоть дир 100. Проброс портов, и настройка того-же pptp сервера внутри. Хоть винда, хоть линукс... Честное слово, г...... вопрос.

[Dramteatr]

лучше вариант с ipsec, у меня шеф помешан на том, что бы исключить использование облачных ресурсов.

странно он помешан.
облаков боится, а вайфай- потенциально дырявая штука - ему не страшен.
что мешает подвести витуху к рабочим местам?