Gå til innhold

Hvordan holde VPN-tjeneste ublokkert?


CasterAnd

Anbefalte innlegg

Driver å utvikler en VPN-tjeneste, som benytter seg av flere protokoller. Jeg har dog støtt på et nokså avansert problem.

VPN-klienten henter et lite knippe IP-adresser til VPN-er fra flere sentrale servere, og tester forbindelser før den kobler til server x med ip a.

 

Mitt lille problem er: Dersom skoler/arbeidsplasser begynner å blokkere IP-adressene til VPN'en, vil den til slutt ikke lenger fungere. Løsningen på dette vil jo å leie flere servere med ulike IP'er, men hvordan begrenser jeg bruken av IP'er? Hvordan lar jeg IKT-ansvarlige få blokkert færrest mulige IP'er mens tjenesten fortsatt fungerer?

Jeg kommer til å løse dette delevis ved å se på den eksisterende IP-adressen til klientene, og ikke spy ut hele databasen med IP'adresser til samme geografiske område. Det begrenser bruken noe, men ikke nok. 

Noen idéer? Håper at det finnes ett eller annet lurt. Kanskje en CDN-løsning for kjerneserverne som holder styr på IP'er, slik at dersom IP x blir blokkert, blokkeres også mye annet innhold levert av den CDN-tjenesten?

Sleng ut idéer. Noe leder til noe annet.

Lenke til kommentar
Videoannonse
Annonse

 

Lage en VPN-tjeneste som ikke blir blokkert.

Det er nå en ting, men hva er formålet med VPN-tjenesten? For man kan vel gå utifra at VPN-tjenester ikke blir blokkert sånn helt vilkårlig. Hvis man f.eks. baserer seg på SSL-VPN kan man ganske enkelt kjøre VPN over HTTPS.

 

Er ikke noe spesielt formål med VPN-tjenesten. Tenker det hadde vært et lærerikt prosjekt som kanskje kan ha noe markedsverdi også.

Lenke til kommentar

Er ikke noe spesielt formål med VPN-tjenesten. Tenker det hadde vært et lærerikt prosjekt som kanskje kan ha noe markedsverdi også.

Som med alt kommer det jo an på hva trafikken blir. Med VPN blir det veldig vanskelig å overvåke trafikken mellom klientmaskinen og VPN-konsentratoren, da trafikken går kryptert. Det er jo gjerne slik at der det er begrensning på båndbredde, så struper man typer trafikk som åpenbart krever båndbredde (som f.eks. det NSB gjør med videostreaming på deres Wifi-nett på togene sine).

 

En annen ting man må tenke på med bruk av VPN er at hvis man skal koble til internett gjennom VPN, så må man bruke et oppsett som setter gateway til VPN-konsentratoren. Det kan skape trøbbel ift. å nå ressurser lokalt på skolen, særlig hvis disse ressursene står på forskjellige subnett, eller hvis man skal kommunisere med eksterne tjenester hvor tilgangsstyringen gjøres med IP-identifikasjon. Når en bruker da benytter VPN vil det se ut som at trafikken ikke kommer fra skolen, men fra VPN, og tilgang til slike ressurser over IP vil typisk knekke.

 

For enkelhets skyld, skulle jeg satt opp en slik offentlig VPN-tjeneste ville jeg nok basert meg på SSL-VPN, dvs trafikk over port 443/tcp, mao. så standard som overhodet mulig. Men det er som med alt, hvis en slik tjeneste skaper for mye bry for brukerne og IT-support blir overlesset med problemer forårsaket av eksterne tjenester som overhodet ikke har noe med deres gjøremål å gjøre, er det ikke umulig at slike tjenester blir stengt ned.

Lenke til kommentar

 

Er ikke noe spesielt formål med VPN-tjenesten. Tenker det hadde vært et lærerikt prosjekt som kanskje kan ha noe markedsverdi også.

Som med alt kommer det jo an på hva trafikken blir. Med VPN blir det veldig vanskelig å overvåke trafikken mellom klientmaskinen og VPN-konsentratoren, da trafikken går kryptert. Det er jo gjerne slik at der det er begrensning på båndbredde, så struper man typer trafikk som åpenbart krever båndbredde (som f.eks. det NSB gjør med videostreaming på deres Wifi-nett på togene sine).

 

En annen ting man må tenke på med bruk av VPN er at hvis man skal koble til internett gjennom VPN, så må man bruke et oppsett som setter gateway til VPN-konsentratoren. Det kan skape trøbbel ift. å nå ressurser lokalt på skolen, særlig hvis disse ressursene står på forskjellige subnett, eller hvis man skal kommunisere med eksterne tjenester hvor tilgangsstyringen gjøres med IP-identifikasjon. Når en bruker da benytter VPN vil det se ut som at trafikken ikke kommer fra skolen, men fra VPN, og tilgang til slike ressurser over IP vil typisk knekke.

 

For enkelhets skyld, skulle jeg satt opp en slik offentlig VPN-tjeneste ville jeg nok basert meg på SSL-VPN, dvs trafikk over port 443/tcp, mao. så standard som overhodet mulig. Men det er som med alt, hvis en slik tjeneste skaper for mye bry for brukerne og IT-support blir overlesset med problemer forårsaket av eksterne tjenester som overhodet ikke har noe med deres gjøremål å gjøre, er det ikke umulig at slike tjenester blir stengt ned.

 

Er det jeg planlegger, men ettersom dette kan bli kommersielt kan det fort havne på vpn-blocklist som en del andre VPN's. Kan jo fort være at noen laster ned klienten og samler inn IP-adresser, som de deretter kan auto-blocke på nettet sitt. Hender fort slik på skolenett, spesielt så har STFK vært litt nazi på VPN's.

 

Dessverre kommer jeg ikke gjennom NGFW's, men er jo ikke sååå mange som har deployet det enda.

Lenke til kommentar

Nei, det er en utfordring. Det er nødvendigvis sånn at klienten må vite hvor den skal koble til. Sikkert mulig å sette opp en VPN-link hjem til deg som ikke blir stoppet, men jeg ser det kan være en viss fare for at de som drifter skolenettverket vil reagere hvis det går mye trafikk til en potensiell VPN-tjeneste.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...