Múltiples clientes VPN en paralelo

He utilizado el software de cliente VPN en Mac OS X que secuestra la ruta predeterminada para enviar todo el tráfico a través del túnel (en realidad, si la memoria me sirve correctamente, eso fue de Cisco). Si se instalaron dos de estos clientes, o incluso uno y un cliente sano, entonces la respuesta a la pregunta "¿a dónde irá este paquete?" Será dependiente el tiempo y la implementación. Las opciones probables son que uno de los clientes "gane" y recoja todo el tráfico, o que uno de los túneles se implemente a través del otro. Lo que sucede en Windows en este caso me supera.

Cuando hablas de conflictos de "resolución de direcciones", esto depende de lo que quieras decir. Si te refieres a la resolución ARP, esto no debería ser un problema. Al igual que con cualquier sistema conectado a dos redes, debe haber suficiente singularidad en las direcciones MAC para evitar colisiones. Con respecto a la resolución de DNS, depende de las implementaciones específicas de los clientes VPN y de la caja del cliente en la red privada. Si se comportan correctamente, entonces debería ser posible usar un servidor DNS a través de una red privada o de la red pública (sin embargo, tenga en cuenta la posibilidad de colisiones de nombres en las máquinas en los dominios de búsqueda del cliente). Si se portan mal, entonces nuevamente depende de los aspectos específicos de la situación.

En un nivel bastante fundamental, una VPN emula una "red privada" cuyo propósito es aislarse de Internet en general. La "V" significa que dicho aislamiento se realiza criptográficamente en lugar de físicamente; Sin embargo, el modelo sigue siendo "cables separados". Si su máquina forma parte de dos VPN simultáneamente, entonces las redes privadas ya no estarán aisladas. Esto tiende a contradecir la razón misma por la que se crearon las redes privadas en primer lugar.

Una implementación de VPN se llama así porque las aplicaciones no necesitan conocerla. Las aplicaciones utilizan protocolos estándar relacionados con Internet (DNS para resolución de nombres, sockets TCP y UDP ...) y la VPN recoge el tráfico y hace su magia de forma transparente. Una implementación de VPN típica se enlaza a sí misma en las tablas de enrutamiento del sistema, para recibir paquetes que están destinados a una determinada clase de direcciones. Dos VPN pueden funcionar en paralelo solo si las direcciones utilizadas en las dos redes privadas no se superponen, y no es fácil de lograr, ya que las redes privadas, al ser privadas, no utilizan un esquema de asignación de direcciones global. Las redes privadas usualmente se esfuerzan en las "clases privadas" como 10. *. *. * Y 192.168. *. *.

El DNS es una buena ilustración del problema de acceder a dos redes privadas simultáneamente. Cuando una aplicación quiere acceder a una máquina llamada "ejemplo", no sabe en qué red está. Ese es el punto de las redes privadas: las aplicaciones no necesitan ser conscientes de la existencia de la red privada. La red privada alberga su propio servidor de nombres, que puede resolver los nombres de las máquinas que alberga. Si se vincula a dos VPN, entonces, para cada resolución de nombre, tendrá que hablar con ambos servidores de nombres. Por lo tanto, el servidor de nombres de la red privada 1 también recibirá solicitudes de resolución de nombres para los nombres que se encuentran en la red privada 2. Esto es sospechoso. Y si se usa el mismo nombre en ambas redes, entonces todo el infierno se desata. Este es el mismo problema que las direcciones IP superpuestas, traducidas al espacio de nombres.

Además, si su máquina actúa como enrutador, felizmente enrutará los paquetes de una VPN a la otra. En un sistema Linux, esto es tan simple como:

echo 1 > /proc/sys/net/ipv4/ip_foward

lo que algunas distribuciones de Linux harán por usted si lo solicita en el momento de la instalación. Dependiendo del usuario no , hacer algo así parece arriesgado.

Para resumir, el modelo normal para una VPN es que:

• un sistema de usuario determinado es parte de la VPN, solo la VPN (y, por lo tanto, solo una VPN);
• si el sistema debe poder hablar con el "mundo exterior", puede hacerlo solo a través de una puerta de enlace dedicada que, desde el punto de vista del sistema del usuario, forma parte de la VPN.

En particular, un sistema vinculado a una VPN no se vinculará simultáneamente a otra red, ya sea la VPN o Internet en general. Un software de VPN apropiado secuestrará la ruta predeterminada y se asegurará de que vea todo el tráfico entrante y saliente para todo el sistema. Por naturaleza, esto no tolera la presencia simultánea de otra VPN.

La forma en que trabajo las cosas cuando necesito usar varios clientes VPN es ejecutarlas bajo VM. Esto actualmente funciona muy bien para mí, y evita los conflictos que mencionan Graham y Thomas. De lo contrario, puede encontrar que el sistema operativo está haciendo cosas extrañas al enviar tráfico (especialmente en Windows)

También significa que no puede cometer fácilmente errores al enviar datos para una VPN a la otra (lo que hago es personalizar los fondos de cada VM para cada entorno)

Deberá vigilar sus requisitos de seguridad. Asegurarse de que el enrutamiento no exista entre las máquinas virtuales es bueno aquí (tm).

Le sugiero que se ponga en contacto con Juniper y Cisco y que se registre para probar su software de cliente. Dudo que cualquiera de las compañías probaría esta configuración por su cuenta. Si tiene un problema, me imagino que el técnico de soporte le pedirá que elimine el cliente VPN de otras compañías e intente acceder a la red nuevamente.

Más importante aún, creo que probablemente estarás violando la política de seguridad de alguien. Cuando creas una conexión VPN a un sitio, eso es para construir una conexión confiable. Parece que quieres conectarte a dos redes de confianza diferentes al mismo tiempo. Si gestionara la cabecera de VPN, llamaría a acceder a mi sitio a través de una VPN y al sitio de otra persona a través de otra VPN, una violación de seguridad que espera ser explotada.

No en vano, pero OS X 10.6.x + te permitirá conectarte a varias VPN IPSec a la vez. En cuanto a pasar TODO el tráfico a través de un túnel VPN, sí, este es el comportamiento predeterminado, aunque Cisco (y estoy seguro de que existe lo mismo para otros proveedores como Juniper, etc.) tiene una técnica llamada "túnel dividido" donde solo una parte de su tráfico pasa a través del túnel, es decir, las redes protegidas configuradas para usted por su administrador de red. Si el tráfico no está destinado a una de esas redes, se apaga la conexión WAN normal. Esto puede ser bueno ya que permite a los clientes de VPN acceder a Internet sin restricciones, pero también tienen acceso a recursos corporativos. Esto también facilita la carga en los servidores VPN corporativos, ya que ya no procesan la mayor cantidad de tráfico.

En cuanto a la UTILIZACIÓN del cliente OS X VPN incorporado para conectarse a más de una VPN a la vez, creo que también estaría en violación directa de la política de seguridad corporativa. Además, si usa un cliente como Cisco AnyConnect, NO puede conectar más de 1 instancia de VPN a la vez (AnyConnect es solo para SSL VPN, el cliente VPN OS X Cisco incorporado es solo para IPSec VPN).