LINUX.ORG.RU

vpn over vpn

 , , , ,


0

1

В свете последних событий решил уехать из России, но мой работодатель не дает подключаться к рабочему VPN с иностарнных IP.

Пока что думаю сделать так:

Купить российский vps, развернуть на нем open vpn сервер, а на mikrotik-е клиент, с рабочего компа как обычно подключаться через рабочий vpn. Вроде в теории должно работать но я ни когда так не делал. Есть ли какие-то подводные камни?

Где лучше взять vps под vpn или мб готовый vpn c российским ip, и таким протоколом, чтобы у роутера был под него клиент, стоит ли рассмотреть еще роутеры помимо mikrotik-а?

Перемещено leave из talks

Ответ на: комментарий от gutaper

Мне принципиального значения не имеет, т.к. рассматриваю пока временный вариант уехать хоть куда-то чтобы из точки паники с горящей жопой работу не искать сейчас. Скорее всего поеду в турцию потому что двое приятелей уже туда уехали.

mythCreator
() автор топика

читаем договор ещё раз " работодатель не дает подключаться к рабочему VPN с иностарнных IP"

и ещё раз читаем медленно и вдумчиво…

вы мил-друг пытаетесь наипать работодателя в сфере безопасности. Это чревато, помимо увольнения, чОрной меткой и пинком обратно. Возможны более плохие варианты

Оно вам надо ?

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Так если прочитать вдумчиво, то не даёт и запрещает под роспись - разные вещи. У нас тоже не дают заходить на многие сайты так то.

gutaper ★★★★★
()
Ответ на: комментарий от MKuznetsov

читаем договор ещё раз " работодатель не дает подключаться к рабочему VPN с иностарнных IP"

А кто вас сказал, что это там написано?

anc ★★★★★
()
Ответ на: комментарий от gutaper

Так если прочитать вдумчиво, то не даёт и запрещает под роспись - разные вещи. У нас тоже не дают заходить на многие сайты так то.

ой всё :-)

MKuznetsov ★★★★★
()
Ответ на: комментарий от anc

А кто вас сказал, что это там написано?

дети, откуда вас столько набежало ?

так топик-стартер же и сказал. Вот прямо в топике

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

но мой работодатель не дает подключаться к рабочему VPN с иностарнных IP.

!=

читаем договор ещё раз " работодатель не дает подключаться к рабочему VPN с иностарнных IP"

anc ★★★★★
()
Ответ на: комментарий от MKuznetsov

Ничего такого он не говорил, это его интерпретация того факта что он якобы не может подключиться с заэрефного ип к рабочей впн, но на деле он кажется даже еще никуда не уехал и это то ли догадки, то ли слухи, про договор который явно запрещает тоже ничего не было сказано, а вы уже устроили гестапо с расстрелами.

abcq ★★
()
Ответ на: комментарий от abcq

Ничего такого он не говорил, это его интерпретация того факта что он якобы не может подключиться с заэрефного ип к рабочей впн, но на деле он кажется даже еще никуда не уехал и это то ли догадки, то ли слухи, про договор который явно запрещает тоже ничего не было сказано, а вы уже устроили гестапо с расстрелами.

у вас видимо траблы с быстрочтением :-)

ТС явно заявил в топике :

  1. Он хочет уподобиться «поросёнку Петру»

  2. По сей момент он (ТС, не факт что работодатель) находится на территории РФ

  3. Его текущий работодатель, с которым подписано всякое, против подключений извне РФ

MKuznetsov ★★★★★
()
Последнее исправление: MKuznetsov (всего исправлений: 2)
Ответ на: комментарий от MKuznetsov

одни домыслы и поклеп в мою сторону, вы сами то не способны прочитанное осознать и начинаете сочинять на ходу того, что не написано. Давайте так, показывайте «подписано всякое» где буквами по подписанному запрещается делать финт ушами которой задумал ТС, тогда ваше гестапо будет иметь обоснование, а пока фантазии на вольное изложение проблемы ТСор

abcq ★★
()

Классика толксов: начали обсуждать трудовой договор тс’а и немного кидаться трюфелями, а о чем тс спросил - дело десятое :)

gutaper ★★★★★
()
Ответ на: комментарий от abcq

одни домыслы и поклеп в мою сторону, вы сами то не способны прочитанное осознать и начинаете сочинять на ходу того, что не написано. Давайте так, показывайте «подписано всякое» где буквами по подписанному запрещается делать финт ушами которой задумал ТС, тогда ваше гестапо будет иметь обоснование, а пока фантазии на вольное изложение проблемы ТСор

да какой-же поклёп. Констатация факта. Что-то у вас не позволило вам прочесть и воспринять топик :-)

успокойтесь, прочтите - там же написано всё.

на случай если вы не разу ещё не трудоустраивались: пункт «конфиденциальность» и прочее относящееся к ИБ есть в договоре.

MKuznetsov ★★★★★
()

Вроде в теории должно работать но я ни когда так не делал. Есть ли какие-то подводные камни?

Да, впн можно завернуть в впн, джва года так делаю, брат жив. Полезная нагрузка получается меньше, больше накладные расходы, меньше пропускная способность, но если тебе работать, а не ставить рекорды по скачиванию торрентов, то разницы не заметишь. Есть риск что РФ окуклится или ее окуклят снаружи, тогда впн не поможет и ты останешься за границей и без работы.

slowpony ★★★★★
()
Ответ на: комментарий от MKuznetsov

Если это единственное, в чём он провинится, то это черевато максимум предложением уволиться по собственному, а то и просто предупреждением для первого раза. Чтобы в айти уволили по статье нужно не иначе как придти обкуренным в офис и разбить половину оргтехники. И то могут попытаться спустить на тормозах в обмен на компенсацию ущерба.

KivApple ★★★★★
()
Ответ на: комментарий от MKuznetsov

Конфеденциальность это про то, что нельзя скопировать все исходники и БД на флешку и уйти с ней к конкурентам или выложить на файлообменник. Подключение из не той страны гораздо менее значительное нарушение, которое скорее всего даже не заметят. И далеко не факт, что оно прописано в договоре явным образом. Там обычно пишут только просто про то, что у работодателя есть интеллектуальная собственность и не хорошо её тырить.

Исключением может быть разве что какая-нибудь военка, но тогда бы у ТС уже забрали бы загран и он бы ни в какую Турцию поехать не смог.

В российском айти дефицит кадров и никто по статье за такие мелочи как подключение к VPN не с того IP по статье не увольняет. Скорее всего в первый раз просто попросят так не делать, самое плохое - предложат уйти по собственному желанию.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)

Да, это будет работать.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

если запрет донесли до сотрудников (так что они поняли) и включили физический запрет, ТО ВСЁ. Наши коммерсы все пуганные - это не просто так вносили и за нарушение почти гарантирован «зазабор» (по_собственному/по_соглашению_сторон).

до всяких таких текущих напрягов, прямое+заведомое нарушение ИБ грозило чревато. Это на около-оборонки пожурили бы, вот там с кадрами плохо было. В около-денег вполне и морду набьют в прямом смысле.

MKuznetsov ★★★★★
()

Во раздули ) 1. Если ТС увольняется, то это задача руководителя удалить/заблокировать его рабочий акк, если по какой-то причине этого не сделают то работодатель ссзб 2. Если ТС продолжит работать, то какая разница как и откуда он будет подключается?

pavel_l
()

Работать будет, тебе только нужно будет делать NAT на микротике.

Либо подключаться к своему домашнему ПК и с него уже заходить в сеть работодателя.

Ну и это не «vpn over vpn», это просто два VPN подключенных к микротик, т.е. по сути две сети подключенные к микротик.

«vpn over vpn» был бы, если бы ты подключившись к одному VPN через его сеть подключался бы к другому VPN, находящемуся в сети за VPN сервером.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от MKuznetsov

Есть ещё вариант, когда многие в фирме понимают, что объективно сотрудник работающий из Турции очень незначительно влияет на ИБ (разве что его будет труднее ловить, если убежит с секретами, но если он не идиот, то точно также окажется в Турции, просто в день кражи, а не заранее). Однако ограничение продавлено контрагентами или законами.

Так что техническое ограничение помогает переложить ответственность. Если ничего не случится - никто ничего не заметит. Если случится, то ТСа можно будет перед всеми заинтересованными лицами выставить злобным хакером и снять ответственность с фирмы.

KivApple ★★★★★
()
Ответ на: комментарий от MKuznetsov

Вы походу никогда эти бумажки и не читали ставя визу без просмотра, все эти бумажки написаны настолько обобщенным языком, что их можно трактовать как угодно, и уж тем более в типовых шаблонах которыми пользуются большинство юр отделов и отделов приема кадров никогда не прописаны технические аспекты, просто потому что они не знаю как их описать грамотно, хорошо составленные договора встречаются 1 на 10к только в конторах маниакально относящихся к вопросу безопасности.

Подытожив, у вас нет никаких пруфов и вы фонтанируете домыслами и фантазиями, перманентно обвиняя и инициируя такие обвинения оппонентов в некомпетентности. Кажется это вам надо успокоиться и принять тот факт, что у вас нет никаких доказательств которые бы подтверждали ваши домыслы. Невозможность подключиться к впн с адреса не входящего в пулы адресов российских провайдеров, наверняка просто превентивная мера защиты которая была вполне оправдана когда контора работала в пределах рф и ее сотрудники также. В сфере безопасности есть подход, разрешать только то, что необходимо, не более и не говорите мне что вы это слышите первый раз.

abcq ★★
()
Ответ на: комментарий от mittorn

А где здесь наипка? Он же будет подключаться с местной VPS

то что реальный IP одного из плечей, не там где разрешил работодатель.

У вас что, детский конкурс, как поиметь админов и местный ИБ ? да они на таком собаку съели и всё прекрасно видится и руководству докладывается.

Если не удалось договориться с руководством (то есть запрещено), то не стоит нарушать. САМЫЙ РАЗУМНЫЙ СОВЕТ ДЛЯ ТС

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Если vpn будет поднят на VPS то его реальный ip - ip VPS, обмана нет

mittorn ★★★★★
()

На ЛОРе как обычно развели срач по сути вопроса не ответили. В общем идея использовать open vpn плохая везде пишут что он на микротике тормозит и лучше l2tp + IPSec потому что на некоторых моделях есть шифрование на уровен железа. Вот тут есть какие-то бенчмарки https://mum.mikrotik.com/presentations/EU16/presentation_2955_1458135277.pdf

Мне же вообще вся эта криптография не нужна и я хочу просто тунель в Рашку поэтому буду настраивать PPPoE без шифрования там оверхед всего несколько байт.

mythCreator
() автор топика
Ответ на: комментарий от mythCreator

Ну вот теперь это реально начинает попахивать халатность к соблюдению иб ) хотя возможно у вас работа картинки с котиками перебирать, тогда ничего страшного.

abcq ★★
()
Ответ на: комментарий от abcq

Так это тунель только чтобы получить российский ip, а на рабочей машине у меня рабочий vpn с шифрованием уже есть.

mythCreator
() автор топика
25 мая 2022 г.

На любой роутер с openwrt или другим линуксом ставишь wireguard и подкидываешь ему любые российские общедоступные сервера. Всяких бесплатных кучи, а если работа, то копейку кинуть на долго не проблема думаю. С vpc российским не подскажу, но даже на него не стоит тащить openvpn. Это старая тормозная совершенно ненужная в данном случае технология.

pluzhnyk
()

А чего так возбудились некоторые комиссары от того, что человек хочет, как сейчас модно говорить, релоцироваться?

Riendau
()

Зачем в этой схеме роутер, почему нельзя кинуть туннель напрямую с рабочей тачки на местный сервер?

level1 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.