Pourquoi les VPN sont nuls et comment les réparer

Reddit et ses partenaires utilisent des cookies et des technologies similaires pour vous offrir une meilleure expérience.

Sucer VPN

Reddit et ses partenaires utilisent des cookies et des technologies similaires pour vous offrir une meilleure expérience.

En acceptant tous les cookies, vous acceptez notre utilisation des cookies pour fournir et maintenir nos services et notre site, améliorer la qualité de Reddit, personnaliser le contenu et la publicité Reddit, et mesurer l’efficacité de la publicité.

En rejetant des cookies non essentiels, Reddit peut toujours utiliser certains cookies pour assurer la bonne fonctionnalité de notre plateforme.

Pour plus d’informations, veuillez consulter notre avis de cookie et notre politique de confidentialité .

Pourquoi les VPN sont nuls et comment les réparer

C’est le milieu de la journée et vous travaillez sur un problème difficile qui nécessite un peu d’attention. Un utilisateur vous contacte car il ne peut pas monter sur le VPN. C’est peut-être un problème de mot de passe ou qu’ils sont à un endroit qui bloque les VPN. Peut-être que vous avez de la chance et le niveau 1 l’a aligné – mais j’ai eu la malchance après qu’ils vous aient dégénéré.

Les problèmes liés aux VPN ne sont jamais en haut de nos listes de tâches parce que les VPN devraient fonctionner, au moins jusqu’à ce qu’ils ne soient pas. Voici un aperçu des raisons pour lesquelles les VPN sont parfois frustrant – et comment vous pouvez les aider à mieux travailler.

Manque de diversité du protocole dans la mise en œuvre du VPN

Une bonne implémentation point-à-site (P2S) ou utilisateur VPN offre aux utilisateurs finaux quelques méthodes de connectivité, même si les options sont transparentes et négociées automatiquement. Le manque de ces options peut causer des problèmes. IPSEC a parfois des problèmes avec les services Internet de l’hôtel, en particulier lorsqu’ils utilisent des routeurs bas de gamme ou domestiques. Si vous n’avez pas une autre option, vos utilisateurs finaux ne pourront tout simplement pas vous connecter. Il ne le fait pas bien paraître lorsqu’un utilisateur final doit vérifier à partir d’un hôtel et en trouver un avec Internet plus compatible avec votre VPN.

À titre d’exemple, Palo Alto Global Protect et Cisco AnyConnect prennent en charge IPSEC et SSL VPN. OpenVPN est un autre qui est idéal pour avoir des options UDP et TCP et une sélection transparente de ceux-ci par défaut. Le client VPN Cisco Legacy a principalement utilisé IPSEC, mais a autorisé une option TCP.

IPSec est toujours l’un des protocoles préférés, en particulier pour S2S mais aussi pour P2S. Il fonctionne plus bas sur la couche OSI pour qu’il ait moins de frais généraux. Il s’agit d’un protocole standardisé, il a donc l’interopérabilité entre les fournisseurs. Cela dit, il a souvent des difficultés avec NAT et DS-Lite (IPv6 Dual Stack Lite). Ces problèmes peuvent aller de la performance à ne pas fonctionner.

D’un autre côté, les VPN SSL ont tendance à mieux fonctionner avec NAT, car les dispositifs d’inspection avec état comme les pare-feu comprennent le trafic et ont pendant un certain temps. Ils perçoivent que le trafic est le même que tout autre trafic TLS et n’intervient généralement pas.

Le correctif: avoir quelques options

Assurez-vous que votre solution offre quelques options de protocoles VPN le cas échéant. À l’époque du client VPN Cisco Legacy, cela impliquait d’ouvrir un port TCP et de configurer manuellement une connexion dans le client. Aujourd’hui, de nombreuses solutions VPN négocient automatiquement quelques protocoles et il s’agit simplement de s’assurer que les ports appropriés sont ouverts.

De nombreuses organisations ont des ACL très ouverts à leur point de résiliation VPN qui devrait couvrir l’ouverture de tous les ports nécessaires. Si vous limitez l’accès à cette IP, veuillez vous assurer que les bons ports et protocoles sont autorisés à se connecter. Pour IPSec, assurez-vous qu’au moins UDP / 500 (pour IKE) et Internet Protocol 50 (ESP) et Internet Protocol 51 (AH) sont ouverts. Les protocoles Internet sont souvent confondus avec les ports TCP / UDP.

Assurez-vous de lire la documentation de votre fournisseur sur les ports qu’il utilise – et le protocole autorisé. Essayez également de tester manuellement chaque protocole autorisé pour vous assurer qu’il fonctionne. Si votre solution VPN échoue automatiquement à différents protocoles, vous devrez peut-être pour Wireshark la connexion pour valider.

Dimensionnement et encapsulation des paquets sur les VPN

Un ensemble de problèmes qu’un administrateur réseau se heurtera parfois sur de nouveaux déploiements VPN est lié à l’unité de transmission maximale (MTU) et à la taille maximale du segment (MSS). Par défaut, les MTU et MSS sont généralement définis de manière appropriée et capable d’accueillir les tunnels VPN. MTU est la taille maximale du cadre et est généralement de 1500 octets. Le MSS exclut les en-têtes IP et TCP, qui sont chacun 20 octets pour IPv4. Pour correspondre au MTU, un MSS serait traditionnellement réglé à 1460 octets pour rencontrer le MTU de 1500 octets

Parce que nous encapsulons les paquets IP dans un paquet IPSec, ils pourraient dépasser cette limite de 1500 octets en raison de l’en-tête IPSec supplémentaire. Pour tenir compte des frais généraux et de divers scénarios, Cisco ASA fait défaut un MSS de 1380. D’autres fournisseurs vous permettent de définir cela par interface, comme une interface VPN, ou sont assez intelligents pour le faire dynamiquement au trafic IPSEC ou à un autre trafic encapsulé.

Lorsque cette valeur est réglée trop bas, comme 1280 pour le trafic IPv4, il conduit à plus de paquets envoyés. Par exemple, si vous avez un paquet de 1300 octets, il devient maintenant deux paquets alors qu’un MSS de 1380 lui aurait permis de rester un. Si vous le réglez trop haut, certains paquets qui atteignent le MTU seront abandonnés car ils sont trop grands. La recherche des meilleures pratiques MTU et MSS pour le fournisseur et la plate-forme que vous utilisez est toujours recommandée lors de la mise en œuvre d’une solution VPN ou de la prise en charge de l’administration d’un.

Le correctif: utilisez les meilleures pratiques

Commencez par les meilleures pratiques pour votre VPN ou votre produit de pare-feu. Cisco ASA fait par défaut un TCP MSS de 1380 pour IPv4, qui est généralement la meilleure option en supposant un MTU de 1500 octets tandis que Palo Alto et d’autres solutions de génération plus récentes peuvent le faire automatiquement ou peut simplement nécessiter l’interface de tunnel MTU à 1460.

Ce que nous voulons éviter, c’est le régler à tort pour désactiver ou un nombre extrêmement bas tel que 1280. Cependant, vous voulez vous assurer qu’il n’est pas trop élevé, comme 1460, lorsqu’il doit avoir plus de frais généraux et que l’appareil ne “réprimande pas” les paquets.

VPNs vs décisions de conception d’entreprise

Certains des plus grands problèmes de VPN sont liés aux décisions commerciales. Un exemple de ces décisions est l’endroit où mettre les points de résiliation VPN. Plusieurs fois, celles-ci sont liées aux contraintes budgétaires. Si vous avez un centre de données singulières, la décision se rend généralement à l’emplacement principal.

Avez-vous un site de reprise après sinistre (DR)? Y a-t-il le VPN ou il n’y avait pas de budget pour cela? Avez-vous des utilisateurs dans un autre pays mais en faisant des VPN en un point de résiliation à mi-chemin du monde dans votre centre de données?

Le correctif: point de présence

Idéalement, nous voulons fournir aux utilisateurs un point de terminaison VPN qui est quelque peu géographiquement proche d’eux. Parfois, cela est appelé un point de présence (pop). Les tentatives et la latence peuvent affliger les protocoles VPN et le trafic encapsulé sous-jacent. Cela nécessite une sorte de liaisage, généralement via un circuit privé. Il peut être réduit via IPSEC S2S, mais les mesures doivent être prises, par exemple à garantir que la pop est bien regardée à l’autre extrémité du tunnel S2S. La possibilité de basculer les transporteurs en raison de pair ou d’autres problèmes de latence serait recommandée.

Si vous avez un site DR Cold, essayez de rendre la solution VPN active afin que les utilisateurs puissent l’utiliser comme sauvegarde. Cela permet la maintenance sur la solution VPN principale avec les utilisateurs toujours en mesure de se connecter lorsque cela est nécessaire. Il fournit également un excellent lit d’essai pour appliquer d’abord les mises à jour.

Formation VPN et auto-servante

Les problèmes de mot de passe ne doivent pas exister, à droite? Il n’y a rien de pire qu’un afflux constant de demandes de support qui finissent par être des problèmes de mot de passe. Expirations de mot de passe aggravent que. Les utilisateurs finaux reçoivent souvent des messages vagues qui semblent être un problème de réseau, mais finissent par être un mauvais mot de passe, un mot de passe expiré ou un compte verrouillé.

Ils ne peuvent pas faire la différence en raison des commentaires limités que le client VPN leur donne. Plusieurs fois, l’utilisateur a déjà été provisionné un ordinateur portable avec le client VPN déjà dessus. D’autres fois, ils sont simplement envoyés de brèves instructions sur la façon d’installer et d’utiliser, mais c’est tout.

Le correctif: documentation

La documentation doit être fournie à l’utilisateur pour les aider à résoudre son problème. Les utilisateurs puissants et les guerriers de la route sont généralement assez réceptifs à la documentation car leurs horaires ne leur donnent généralement pas beaucoup de temps pour réserver pour travailler avec le support informatique. Une telle documentation devrait inclure comment installer / réinstaller et reconfigurer le logiciel VPN.

Une bonne documentation comprend également quelques erreurs courantes et comment les corriger. Lorsque vous travaillez hors ligne avec les utilisateurs par e-mail ou par chat, référez votre documentation pour les en faire connaître. Lorsque vous travaillez directement avec eux, résumez et indiquez des extraits ou des citations au lieu de simplement leur envoyer un lien et de leur dire de le lire. Cela contribue grandement à les informer de la documentation et qu’il est utile. Ils sont plus susceptibles de le lire d’abord la prochaine fois.

Mettre en œuvre un portail en libre-service. Les portails en libre-service sont un moyen idéal pour aider à atténuer les problèmes de mot de passe. Ils peuvent adopter une approche proactive pour expirer les mots de passe en avertissant l’utilisateur à l’avance. Assurez-vous qu’ils ont suffisamment de préavis pour faire quelque chose. Idéalement, ce serait plus de sept jours à l’avance pour rendre compte des utilisateurs en vacances lorsque les avis sortent.

Dernières pensées

Souvent, les VPN fonctionnent bien, mais si votre environnement a des problèmes récurrents, considérez certains des cas et solutions ci-dessus. Parfois, c’est juste un problème de perception et de formation des utilisateurs finaux. D’autres fois, il y a des problèmes de configuration mineurs qui doivent être modifiés. Mieux vous pouvez faire rationaliser vos services VPN, plus vous devrez concentrer de temps pour concentrer plus de tâches critiques de mission