Chupar VPN
Contents
¿Por qué las VPN apestan y cómo solucionarlos?
Reddit y sus socios usan cookies y tecnologías similares para proporcionarle una mejor experiencia.
Chupar VPN
Reddit y sus socios usan cookies y tecnologías similares para proporcionarle una mejor experiencia.
Al aceptar todas las cookies, usted acepta nuestro uso de cookies para entregar y mantener nuestros servicios y sitio, mejorar la calidad de Reddit, personalizar el contenido y la publicidad de Reddit, y medir la efectividad de la publicidad.
Al rechazar cookies no esenciales, Reddit aún puede usar ciertas cookies para garantizar la funcionalidad adecuada de nuestra plataforma.
Para obtener más información, consulte nuestro Aviso de cookies y nuestra Política de privacidad .
¿Por qué las VPN apestan y cómo solucionarlos?
Es la mitad del día y estás trabajando en un tema difícil que requiere un poco de atención. Un usuario se contacta con usted porque no puede ingresar a la VPN. Tal vez sea un problema de contraseña o están en una ubicación que bloquea las VPNS. Tal vez, tienes suerte y el nivel 1 lo envió, pero luego tuviste mala suerte después de que se intensificaron.
Los problemas relacionados con la VPN nunca están en la parte superior de nuestras listas de tareas pendientes porque las VPN deberían funcionar, al menos hasta que no. Aquí hay un vistazo a por qué las VPN son frustrantes a veces y cómo puede ayudarlos a funcionar mejor.
Falta de diversidad de protocolo en la implementación de VPN
Una buena implementación de punto a sitio (P2S) o VPN de usuario ofrece a los usuarios finales un par de métodos de conectividad, incluso si las opciones son transparentes y se negocian automáticamente. La falta de estas opciones puede causar problemas. IPSEC a veces tiene problemas con los servicios de Internet del hotel, particularmente cuando usan enrutadores de gama baja o hogar. Si no tiene una opción alternativa, sus usuarios finales simplemente no podrán conectarse. No hace que se vea bien cuando un usuario final tiene que visitar un hotel y encontrar uno con Internet que sea más compatible con su VPN.
Como ejemplo, Palo Alto Global Protect y Cisco AnyConnect admite tanto IPSEC como SSL VPN. OpenVPN es otro excelente para tener opciones UDP y TCP y la selección transparente de estas por defecto. El cliente VPN Legacy Cisco usó principalmente IPSEC, pero permitió una opción TCP.
IPsec sigue siendo uno de los protocolos preferidos, particularmente para S2s pero también para P2S. Funciona más bajo en la capa OSI para que tenga menos sobrecarga. Es un protocolo estandarizado, por lo que tiene interoperabilidad entre los proveedores. Dicho esto, a menudo tiene algunas dificultades con Nat y DS-Lite (IPv6 Dual Stack Lite). Esos problemas pueden variar desde el rendimiento hasta la platera no funcionando.
Por otro lado, las VPN SSL tienden a funcionar mejor con NAT ya que los dispositivos de inspección con estado como los firewalls comprenden el tráfico y tienen durante algún tiempo. Perciben que el tráfico es el mismo que cualquier otro tráfico de TLS y generalmente no interfieren.
La solución: tener algunas opciones
Asegúrese de que su solución proporcione algunas opciones de protocolos VPN cuando corresponda. En los días del cliente VPN Legacy Cisco, esto implicó abrir un puerto TCP y configurar manualmente una conexión en el cliente. Hoy, muchas soluciones VPN negocian automáticamente un par de protocolos y es solo una cuestión de garantizar que se abran los puertos apropiados.
Muchas organizaciones tienen ACL abiertas de amplio a su punto de terminación de VPN que debe cubrir la apertura de los puertos necesarios. Si restringe el acceso a esa IP, asegúrese de que los puertos y los protocolos correctos puedan conectarse. Para IPSEC, asegúrese de que al menos UDP/500 (para IKE) y el Protocolo de Internet 50 (ESP) y el Protocolo de Internet 51 (AH) estén abiertos. Los protocolos de Internet a menudo se confunden con los puertos TCP/UDP.
Asegúrese de leer la documentación de su proveedor en los puertos que utiliza, y Protocolo permitido. Además, trate de probar manualmente cada protocolo permitido para asegurarse de que funcione. Si su solución VPN falla automáticamente a diferentes protocolos, es posible que necesite Wireshark la conexión para validar.
Dimensionamiento y encapsulación de paquetes sobre VPN
Un conjunto de problemas con los que se encontrará un administrador de red a veces en nuevas implementaciones de VPN está relacionado con la unidad de transmisión máxima (MTU) y el tamaño máximo del segmento (MSS). Por defecto, la MTU y MSS generalmente se establecen adecuadamente y pueden acomodar túneles VPN. MTU es el tamaño máximo del marco y típicamente es de 1500 bytes. El MSS excluye los encabezados IP y TCP, que son cada 20 bytes para IPv4. Para que coincidan con la MTU, un MSS tradicionalmente se establecería en 1460 byte para cumplir con el 1500 byte MTU
Debido a que estamos encapsulando los paquetes IP en un paquete iPsec, podrían exceder ese límite de 1500 bytes debido al encabezado adicional de IPSEC. Para dar cuenta de los gastos generales y de varios escenarios, Cisco ASA predetermina a un MSS de 1380. Otros proveedores le permiten establecer esto por interfaz, como una interfaz VPN, o son lo suficientemente inteligentes como para hacer esto dinámicamente al tráfico IPSec u otro tráfico encapsulado.
Cuando este valor se establece demasiado bajo, como 1280 para el tráfico IPv4, conduce a que se envíen más paquetes. Por ejemplo, si tiene un paquete de 1300 bytes, ahora se convierte en dos paquetes, mientras que un MSS de 1380 habría permitido que permaneciera uno. Si lo establece demasiado alto, ciertos paquetes que alcanzan la MTU se dejarán caer porque son demasiado grandes. Siempre se recomienda investigar las mejores prácticas de MTU y MSS para el proveedor y la plataforma que usa al implementar una solución VPN o hacerse cargo de la administración de uno.
La solución: use las mejores prácticas
Comience con las mejores prácticas para su producto VPN o firewall. Cisco ASA es predeterminado a un TCP MSS de 1380 para IPv4, que generalmente es la mejor opción suponiendo que 1500 byte MTU, mientras que Palo Alto y otras soluciones de generación más reciente pueden hacerlo automáticamente o puede requerir que la interfaz de túnel sea MTU 1460.
Lo que queremos evitar es establecer esto incorrectamente para deshabilitar o un número extremadamente bajo como 1280. Sin embargo, desea asegurarse de que no esté establecido demasiado alto, como 1460, cuando necesita tener más sobrecarga y el dispositivo no “sujeta automáticamente” los paquetes.
VPNS vs Decisiones de diseño de negocios
Algunos de los mayores problemas de VPN están relacionados con las decisiones comerciales. Un ejemplo de esas decisiones es dónde poner puntos de terminación de VPN. Muchas veces, estos están vinculados a las limitaciones presupuestarias. Si tiene un centro de datos singular, la decisión generalmente se hace a sí misma en cuanto a la ubicación principal.
¿Tiene un sitio de recuperación ante desastres (DR)?? ¿Está la VPN allí o no había presupuesto para ello?? ¿Tiene usuarios en otro país pero que los convierte en VPN en un punto de terminación a la mitad del mundo en su centro de datos?
La solución: punto de presencia
Idealmente, queremos proporcionar a los usuarios un punto de terminación de VPN que esté algo geográficamente cerca de ellos. A veces esto se llama un punto de presencia (pop). Los requisitos y la latencia pueden plagar los protocolos VPN y el tráfico encapsulado subyacente. Esto requiere algún tipo de retama, generalmente a través de un circuito privado. Se puede retrasar a través de IPsec S2s, pero se deben tomar medidas, como garantizar que el POP esté bien mirado al otro extremo del túnel S2S. Se recomendaría la capacidad de los portadores de conmutación por error debido a la presentación u otros problemas de latencia.
Si tiene un sitio de DR frío, intente activar la solución VPN para que los usuarios puedan usarla como copia de seguridad. Esto permite el mantenimiento de la solución VPN principal con usuarios que aún pueden conectarse cuando sea necesario. También proporciona una excelente cama de prueba para aplicar actualizaciones primero.
Capacitación de VPN y autoservicio
Los problemas de contraseña no deberían existir, correcto? No hay nada peor que una afluencia constante de solicitudes de soporte que terminan siendo problemas de contraseña. Compuesto de vencimiento de contraseña que. Los usuarios finales a menudo reciben mensajes vagos que parecen un problema de la red, pero terminan para ser una contraseña mala, una contraseña vencida o una cuenta bloqueada.
No pueden notar la diferencia debido a la retroalimentación limitada que el cliente VPN les está dando. Muchas veces al usuario se ha aprovisionado una computadora portátil con el cliente VPN que ya está en ella. Otras veces, simplemente se les envían algunas instrucciones breves sobre cómo instalar y usar, pero eso es todo.
La solución: documentación
Se debe proporcionar documentación para que el usuario les ayude a solucionar problemas de su problema. Los usuarios de la energía y los guerreros de la carretera generalmente son bastante receptivos a la documentación porque sus horarios generalmente no les dan mucho tiempo para reservar para trabajar con soporte de TI. Dicha documentación debe incluir cómo instalar/reinstalar y reconfigurar el software VPN.
La buena documentación también incluye algunos errores comunes y cómo corregirlos. Cuando trabaje fuera de línea con los usuarios por correo electrónico o chat, haga referencia a su documentación para ayudarlos a informarlos. Cuando trabaje directamente con ellos, resume y apunte a fragmentos o citas de él en lugar de simplemente enviarles un enlace y decirles que lo lean. Esto es muy útil para informarlos de la documentación y que es útil. Es más probable que lo lean primero la próxima vez.
Implementar un portal de autoservicio. Los portales de autoservicio son una forma ideal de ayudar a mitigar los problemas de contraseña. Pueden adoptar un enfoque proactivo para expirar contraseñas advirtiendo al usuario con anticipación. Asegúrese de que tengan suficiente aviso para hacer algo al respecto. Idealmente, esto sería más de siete días de anticipación para tener en cuenta los usuarios de vacaciones cuando se apagen los avisos.
Pensamientos finales
A menudo, las VPN funcionan bien, pero si su entorno tiene problemas recurrentes, considere algunos de los casos y soluciones anteriores. A veces, es solo un problema de percepción y capacitación de usuarios finales. Otras veces hay problemas de configuración menores que deben modificarse. Cuanto mejor pueda simplificar sus servicios VPN, más tiempo tendrá para concentrar más tareas de misión crítica