Как зашифровать трафик между офисами?

Хз как там сейчас, а 4 года назад было так. Как не-гос оператор СПДн ты имеешь право выбора - шифровать или нет. Если нет - подпиши бумагу у начальства и взятки гладки. Если ты решил шифровать - ты обязан шифровать по закону. То есть просто длинк с 3DES не катит, у него должна быть бумажка с соответствующим уровнем сертификата. «Не шифровать» != «шифровать не по госту»

Таки можно пруфлинк? И что вы подразумеваете под термином «оператор СПДн»? Если я условно контора «рога и копыта» и у меня 2 филиала, которые я хочу связать — я оператор СПД или нет?

Мое имхо. Если ТС говорит, что цена оборудования ключевой фактор и собрался покупать микротик за 10 КР, то скорее всего никакая «реальная» защита ПД согласно законодательству со всеми сраными сертификатами железом и пр. ТСу не вперлась. Почему? Потому что если придут нагибать контору — нагибать будет саннадзор/пожарная инспекция или что-то токое же, но никак не гебе. Если же я неправ — и ТСу реально нужна защита пд (в данном случае «нужна» аналог «начальство сказало»), то да имеет смысл идти и выкатывать ценник на сертифицированное железо. Если же это просто абстрактная хотелка начальства из разряда «шоб було», но есть опасения за свою голову, что несертифицированное шифрование выйдет «боком» — можно вообще положить болт и оставить GRE/IPIP как меньшее зло для себя.

Таки можно пруфлинк? И что вы подразумеваете под термином «оператор СПДн»? Если я условно контора «рога и копыта» и у меня 2 филиала, которые я хочу связать — я оператор СПД или нет?

Да, оператор СПДн это компания. Пруф в самом законе. Он мог уже 30 раз измениться за 4 года, потому я и советую ТСу ещё раз на консультацию сходить. Лор все-таки не юридический форум.

А про причину - да, именно так. Просто раз тс написал что мол «законодатель требует», значит таки нужна. Опять же к юристам

Чем PBR «тяжел»?

Посмотри на сайте микротика, там для каждой модели сравнение внизу страницы есть. PBR раз в 5 тяжелее обычного маршрута

1. У микротиков есть штука EoIP это когда широковещательный домен (ethernet фреймы целиком ) объединяется поверх IP или каких либо туннелей (pptp,l2tp,IPSec). Это позволит Вам ничего не перенастраивать а просто установить железку между операторским VLAN и тем что в него включено т.е. то что «прозрачно через vlan»
2. В головном офисе при подключении к 4G оператору Вам необходим будет белый IP , для того чтобы можно было с ним делать туннели из удаленного офиса.
3. Разрулить трафик между каналами в случае аварии к.л. из них можно будет посредством стоимости каналов бриджа в настройках STP протокола. Через VLAN (любой тип туннеля) и 4G (pptp,pptp+ipsec) канал с двух микротиков будут объединены два бриджа, т.е. два туннеля через vlan и 4g будут «включены» в два бриджа - получится отказоустойчивая кольцевая топология

4. Шифрование (в туннелях IPsec или где еще) вещь тяжелая нужно аппаратно это делать http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#HEXv3_.28mmips.29_Config_Optimi...
Про новенькую Hex v3 or RB750Gr3 не слыхал. https://routerboard.com/RB750Gr3 - для филиала самое оно. Пишут (http://forum.nag.ru/forum/index.php?showtopic=123158) что жует 170Мбит/с шифрование аппаратно, но софт сырой пока для определенных задач. Но не пугайтесь обычно так и бывает. К тому же сырость новой платформы отразиться ли на Вашем случае. Ну на тест возьмите
В зависимости от требуемой скорости шифрования выбирайте железку (в голове трафика больше). Думаю для двух офисов 170Мбит/с за глаза, так что три штуки RB750Gr3 и вперед + одну в зип и на поиграться.
5. подключение к провайдеру 4G. Можно сразу с RB750Gr3 через USB модем. Но как это будет работать в помещении -ХЗ. НА борту есть eth порты - можно через них - внешняя антенна(со встроенным роутером).
п.1-3,5 позволят без шифрования реализовать прозрачный VLAN и переключение между каналами/туннелями организованными через VLAN и 4G.

У микротиков есть штука EoIP

это да, но в этом случае одним микротиком со стороны удаленного офиса можно обойтись?

В головном офисе при подключении к 4G оператору

нет, удаленный офис должен переключаться на 4Г при падении влана до него

канал с двух микротиков будут объединены два бриджа

хотелось бы обойтись одной железкой, опять же влан я получаю напрямую в локаль, а 4г будет ходить через шлюз без статичного ипа со стороны удаленного офиса

1. Если нужен любой туннель или скажем так любая инкапсуляция (что то поверх чегото) то нужны две железки - с двух сторон - одна инкапсулирует, вторая декапсулирует. И для шифрования нужны две железки - шифратор и дешифратор. Микротик это все умеет в одной коробке - и туннели и шифрование
2. В предлагаемой схеме для микротика в головном офисе нужен будет белый IP. На этот IP будете делать туннель с удаленного офиса через 4G сеть. Если в головном офисе уже есть статический белый IP то по идее его можно перенести на микротик, но нужно смотреть что у Вас на нем сейчас работает и как это скажется на работу после переноса - это не желательный вариант.
При падении основного канала - VLANа в удаленном офисе, можно активировать резервный маршрут например скриптом (https://habrahabr.ru/post/231565/) интерфейс 4G в офисе. Для поднятия интерфейса скрипт не подходит, только как пример. Возможно есть к.л. встроенные активаторы интерфейсов с отслеживанием состояний в микротике.
Если в удаленном офисе планируется 4G как резерв, то пусть интерфейс в 4G сеть будет постоянно активным. ДА трафик служебный будет.
Мне схема с двумя активными туннелями - через VLAN и 4G видится предпочтительнее. т.к. не нужно городить скрипты-костыли. STP в бридже все что нужно заблокирует и активирует.
3. Я не знаю как сделать одной железкой или я не понимаю Вас
То что vlan Вы получаете в локаль, ни о чем мне не говорит. У Вас было требование - все зашифровать и трафик через vlan и через 4G сеть. См. п.1. По сути Вам нужно выкинуть два тупых свича в гол. и удал. офисах и вместо них поставить два микротика которые, умеют - туннели, шифрование, отслеживание состояние каналов связи и переключение между ними.
ОБа канала - vlan и 4G будут приходить в ОДИН микротик в удаленном офисе.

Прочитал " желательно в варианте приобретения одного роутера (думаю за микротик RB3011UIAS-RM) в удаленный офис, я так понимаю надо что то на основе IPSec делать на сервере-шлюзе".
На «сервер шлюз» можно установить routerOS от микротика и весь функционал коробочки будет на сервере шлюзе. тогда да - можно будет обойтись одной коробочкой. Но придется купить лицензию RouterOS для PC
Если Вы хотите на существующем сервере-шлюзе организовать подключения из удаленных офисов то расскажите, что на нем у Вас крутится?
Но то будет вынос мозга кмк.
PS
Но как по мне из за 3700 городить себе зоопарк не стоит.

что на нем у Вас крутится?

там у меня Debian, исходил из того, что хоть через 4Г, хоть влан - работало бы единообразно с точки зрения шлюза в головном офисе.

https://habrahabr.ru/post/170895/

админство совмещаю, програмером работаю ))
програмером работаю

Так держать всё в одном сегменте это как пользоваться только глобальными переменными. Доступно сравнение?

если linux то при желании, что то слепить можно, Микротик это тот же Linux только пиленный и заточенный сильно. Некоторые типы туннелей которые поддерживает linux из каробки или спец демоны думаю взлетят.
В свое время тестил OpenVPN между двумя Linux коробками - тестировал типа EoIP у микротика пару недель. Работало отлично.
НО сами понимаете связку технологий для продакшена между debian и микротик по любому нужно тестить и много читать - может кто то уже сделал это до Вас!!! Но стоит ли 3700руб, Ваше время? А после это нужно поддерживать. А кто то без Вас это должен суметь поднять в случае чего и быстро.
Хождение по мукам
http://vladimir-stupin.blogspot.ru/2015/11/ipsec-debian-mikrotik.html
http://www.lushnikov.net/2014/11/19/ipsec-между-linux-и-mikrotik/
https://habrahabr.ru/post/216215/
В linux так же есть бриджи - можете их объединить (один в микротике другой на линукс) через два IPSec туннеля и костами STP выбрать основной и резервный IPSec туннель.
Зато если заработает - напишите статью на хабре ))).

http://vedernikoff.ru/mikrotik-ipsec-и-eoip-объединяем-офисы/

Vlad-76

спасибо, в теме много информации, нужно переварить, вариант с микротиком меня привлекает по цене и функционалу, на указанную модель мне даже свича не потребуется в удаленный офис, что обычно требуется для недорогих коробочных фаерволов.
по большому счету у меня pptp/gre на шлюзе, может все это элементарно и через него удастся решить.

futurama
Так держать всё в одном сегменте это как пользоваться только глобальными переменными. Доступно сравнение?

и что в них плохого? они для того и глобальные, чтобы ими пользовались все, а не городить огороды только лишь для того, что кому то кажется что это небезопасно.

--Кому и кобыла невеста
--Вопросов больше не имею.

Имеется ввиду, openvpn, будет бегать только поверх tcp, что чуть менее производительнее чем через udp.

Офтоп: а кто может подсказать, как можно свой прикладной протокол гонять через SSH? На уровне программиста? Как я понимаю, надо на сервере и клиенте некие девелоперские библиотеки подключать? Вот, есть некая libssh, это не оно? Есть вменяемые доки на эту тему, что можно почитать? (Можно на английском.)

P.S. Извиняюсь за офтоп, но ЛОР анонимусу не даёт новые темы создавать.

Зачем усложнять, по принципу винды (в каждой программе свой комбайн), KISS
1. Создать тунель (гуглим ssh тунель)
2. Работать через него
Нет?

P.S. Извиняюсь за офтоп, но ЛОР анонимусу не даёт новые темы создавать.

А зарегиться не судьба? Или это сложнее чем ssh тунель?

Зачем усложнять, по принципу винды (в каждой программе свой комбайн), KISS

Усложнение в разработке - упрощение в использовании. Вместо 4 программ можно будет настроить 2.

Есть же пример - SCP. Вот это, как я понимаю, как раз аналог FTP поверх SSH, хочется сделать что-то подобное поверх других задач.

P.S. Получается, «сам спросил - сам ответил». Надо, наверное, посмотреть, как SCP реализован в mc и Far. И возможно, хотя бы с клиентской стороной наступит ясность.

Очепятался, правильно - «что-то подобное ДЛЯ других задач».

Хм, капча «NAHERA viale», возможно, хочет меня предостеречь...

Есть же пример - SCP

А теперь внимательно смотрим и видим что scp как раз запускает процесс ssh. И никаких комбайнов там нет.