aborche 13 янв 2019 в 12:30

OpenVPN, о котором вы так мало знали

16 мин

178K

*nix * DevOps * Сетевые технологии * Системное администрирование *

Туториал

+56

Комментарии 18

leschenko 13 янв 2019 в 16:45

То что написано в статье, это потрясающе. Но с чего вы взяли что openvnp это дефакто стандарт? Чтобы соединение было установлено требуется стороннее по на клиенте. Я бы сказал, openvnp это хорошая альтернатива стандартным l2tp и ikev2.

sborisov 13 янв 2019 в 19:24

Да, всё-таки стандарт это L2TP.
Хотя, на одном из мест работы, намучились с ним, очень долго настраивали клиентский Linux, помогла вот эта статья:
https://github.com/nm-l2tp/network-manager-l2tp/wiki/Known-Issues

OpenVpn в Ubuntu (клиенте) было бы настроить значительно проще.

Amihailov 13 янв 2019 в 20:55

Стандарт стандартом, но когда два и более клиентов пытаются построить l2tp туннель из одной сети к одному серверу, то происходит ОЙ. И, к сожалению, не каждый маршрутизатор умеет этот ОЙ разруливать.

leschenko 13 янв 2019 в 22:12

Первый раз слышу о подобном. Если не секрет, то кто именно это делать не умеет? Что-бы на будущее знать.
PS: ESP (50 IP) не все умеют прокидывать внутрь сети, но чтобы наружу кого-то не пускать…

icCE 13 янв 2019 в 23:02

Проблема там, когда два клиента за одним NAT, то сервер обслуживает пслд подключение. Зависит все от реализации. Было проблемой например в routeros/mikrotik.

stavinsky 14 янв 2019 в 07:52

Точно не PPTP? Обычно у него такие проблемы

Pinkerton42 15 янв 2019 в 06:01

Там на самом деле проблема в ipsec. Если его отключить, то все работает.

Andrusha 15 янв 2019 в 10:28

Без IPsec получается нешифрованный туннель.

Pinkerton42 15 янв 2019 в 10:38

Да, я знаю и написал это не как руководство к действию, а назвал причину неработающего ipsec+l2tp у занатовых клиентов.

Andrusha 15 янв 2019 в 10:35

Это фишка Windows-клиента, у него исходящий порт всегда одинаковый, соответственно, последний подключившийся «перетягивает одеяло» на себя.

vesper-bot 14 янв 2019 в 07:38

Там просто дефолтные правила для L2TP заставляли транслировать исходящий порт 1701 в 1701 вне зависимости от существующей трансляции. Отключить — заработает.

LESHIY_ODESSA 15 янв 2019 в 15:58

А вы не могли бы более подробно объяснить что и где отключать?

leschenko 13 янв 2019 в 22:17

С Linux всегда всё не просто. Не скажу что это плохо, просто там все по другому. И когда люди привыкают к этому другому, то Windows им кажется «по другому».

sborisov 14 янв 2019 в 07:26

Сервер настраивали администраторы windows, поэтому на ней не было проблем с подключением, ну а тем кто пользуется linux пришлось подбирать протоколы шифрования.
Но ничего, справились…

saipr 13 янв 2019 в 17:15

Для корпоративных сетей в режиме MultiPoint-To-SinglePoint обычно используется свой центр сертификации PKI, который легко строится либо при помощи easy-rsa, либо на основе XCA.

Для выпуска сертификатов можно еще использовать и этот УЦ, созданное на базе OpenSSL и SQLite3. А для настройки клиента можно посмотреть это GUI.

vanyas 14 янв 2019 в 13:08

Ужаснее GUI сложно даже представить…
Ну и GUI для OpenVPN rkbtynf есть практически в любом дистрибутиве в виде модуля к NetworkManager

jamm1985 14 янв 2019 в 06:30

Статья интересная, про внутренний пакетный фильтр очень занятно. Хотелось бы добавить, что в клиентский конфиг желательно добавить опцию

remote-cert-tls server

для защиты от MitM акт это мастхэв.

toxi_roman 14 янв 2019 в 08:48

Интересная статейка, сохранил в заметки на будущее.
Сразу по ходу чтения статьи, набросал несколько вариантов, где бы можно было использовать плагины.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий