Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 68
А clientless VPN поддерживается, например SSL через browser? Не SSL VPN сегодня уже не интересен.
Нашол вот:
+ OpenVPN is a full-featured open source SSL VPN solution…
— Can I use a web browser as an OpenVPN client?
No. While OpenVPN uses the SSL/TLS protocol for security, OpenVPN is not a web application proxy. It is an OSI layer 2 or 3 full-mesh internetwork tunneling solution and requires that OpenVPN be installed on both client and server. :(
+ OpenVPN is a full-featured open source SSL VPN solution…
— Can I use a web browser as an OpenVPN client?
No. While OpenVPN uses the SSL/TLS protocol for security, OpenVPN is not a web application proxy. It is an OSI layer 2 or 3 full-mesh internetwork tunneling solution and requires that OpenVPN be installed on both client and server. :(
OpenVPN это не прокси и задачи у него другие. Помимо серфинга есть куча других задач, где обычный VPN очень даже интересен — выход в сеть через удаленный сервер, соединение сетей (офисов например), безопасный доступ к оборудованию в удаленном ДЦ, туннели компьютер-компьютер…
SSL VPN через https очень даже не помешал бы. Был раньше SSL Explorer, но их Баракуда выкупила. Сущетвуют конечно платные решения, прчёи очень дорогие, такие как Checkpoint, FortiGate, Juniper, Baracuda… или M$ Win08:
www.isaserver.org/tutorials/Publishing-Windows-Server-2008-SSL-VPN-Server-Using-ISA-2006-Firewalls-Part1.html
Но хочется чего то абсолютно free и встроенного как демон в FreeBSDу или Генту и чтоб без установки клиента. Дело в том что многие VPN клиенты не поддерживают x64 (вроде и OpenVPN), а надо. Потом иногда сидя у заказчика надо подключить его временно к нашей лицензии из нашей локалки, выполнить некоторые действия и отключиться… здесь clientless был бы не заменим
www.isaserver.org/tutorials/Publishing-Windows-Server-2008-SSL-VPN-Server-Using-ISA-2006-Firewalls-Part1.html
Но хочется чего то абсолютно free и встроенного как демон в FreeBSDу или Генту и чтоб без установки клиента. Дело в том что многие VPN клиенты не поддерживают x64 (вроде и OpenVPN), а надо. Потом иногда сидя у заказчика надо подключить его временно к нашей лицензии из нашей локалки, выполнить некоторые действия и отключиться… здесь clientless был бы не заменим
SSL VPN это когда ты браузером заходишь на VPN-сервер и он загружает и запускает на твоей машине VPN-клиент, инкапсулирующий траффик в SSL.
Очень удобно для мобильных пользователей, которым вдруг захочется поработать с машины, которая умеет Java, но на нее не может быть установлен OpenVPN (интернет-кафе какое-нибудь, например)
Очень удобно для мобильных пользователей, которым вдруг захочется поработать с машины, которая умеет Java, но на нее не может быть установлен OpenVPN (интернет-кафе какое-нибудь, например)
Есть OpenVPN Access Server. Вы про это?
OpenVPN очень хорошая система. Используем ее для доступа к серверу, который глубоко внутри сети небольшого провайдера и не имеет внешнего адреса. Когда нужно подключиться — запускаем сервер у нас (на внешнем адресе) — а там клиент постоянно пытается подключиться, соответственно — подключается.
Единственно чего-то не удалось подружить сервер OpenVPN и файрволл windows server 2008 при умолчательных запрещениях.
Единственно чего-то не удалось подружить сервер OpenVPN и файрволл windows server 2008 при умолчательных запрещениях.
Хм… а можно как-то идентифицировать пользователей, подключаюихся к серверу?
Опция «dev tap» что означает?
На сколько я помню этой опцией мы указываем имя виртуального устройства. Типа ppp0 при создании VPN через PPTP.
это создает виртуальную сетевую карту. тоесть сеть будет как бы почти настоящая, можно бридж даже сделать между tap0, eth0 например без всяких проблем с маршрутизацией.
P.S.
ИМХО лучше UDP юзать, вместо TCP…
P.S.
ИМХО лучше UDP юзать, вместо TCP…
Нет. Конкренто это — указать ТИП устройства: создать устройство такого типа и использовать его.
Если бы вы номер указали, напр. tap0, то можно было бы заранее создать это устройство (программой tunctl), а OpenVPN подвязать к нему командой dev tap0.
Если бы вы номер указали, напр. tap0, то можно было бы заранее создать это устройство (программой tunctl), а OpenVPN подвязать к нему командой dev tap0.
Означает что в тунеле будут летать эзернет фреймы, а не ip пакеты как это былобы при dev tun
Ээээ, а в генте ядро по дефолту без поддержки tun и nat? Или это рекомендация для тех, у кого ядро было допилено до состояния маразматического минимализма?
Добавьте пожалуйста, как настроить auth-pass verification.
Т.е. чтобы можно было обычным vpn коннектиться к этому серверу.
Т.е. чтобы можно было обычным vpn коннектиться к этому серверу.
эм… обычный это который pptp/l2tp ?! а разве можно !? o_0
Это pptpd нужен. Я про него тоже однажды напишу. OpenVPN обычным виндовым клиентом, ествественно, не поддерживается.
Гы! Как пить дать, комментарии в итоге сведутся к обсуждению «нужен вообще OpenVPN или не нужен?». ;-)
Не могу не высказать в этой связи своего мнения: на Линуксе, может, и нужен, а на FreeBSD (которой пользуюсь как серверной системой) — уже нет. :-) Раньше использовал несколько раз OpenVPN — действительно, в настройке по сравнению с остальными решениями было достаточно несложно (особенно, при наличии мануалов на ОпенНете ;-) ). Но ведь уже достаточно давно вышел MPD5 (это не Music Player Daemon, о чем сразу думают Линуксоиды, а Multi-link PPP daemon for FreeBSD), в котором решены все проблемы его молодости, который настравается одной левой и который может буквально все, связанное с VPN и к тому же — использует не свои несовместимые ни с кем протоколы/клиентов, а все стандартное, так что может быть клиентом/сервером хоть для Винды, хоть для Линукса, хоть для кого угодно… Спрашивается — зачем искать добра от добра? :-) Раньше у OpenVPN была своя ниша. Сейча ее «зажевали» более функциональные и мощные конкуренты. ИМХО, конечно.
Не могу не высказать в этой связи своего мнения: на Линуксе, может, и нужен, а на FreeBSD (которой пользуюсь как серверной системой) — уже нет. :-) Раньше использовал несколько раз OpenVPN — действительно, в настройке по сравнению с остальными решениями было достаточно несложно (особенно, при наличии мануалов на ОпенНете ;-) ). Но ведь уже достаточно давно вышел MPD5 (это не Music Player Daemon, о чем сразу думают Линуксоиды, а Multi-link PPP daemon for FreeBSD), в котором решены все проблемы его молодости, который настравается одной левой и который может буквально все, связанное с VPN и к тому же — использует не свои несовместимые ни с кем протоколы/клиентов, а все стандартное, так что может быть клиентом/сервером хоть для Винды, хоть для Линукса, хоть для кого угодно… Спрашивается — зачем искать добра от добра? :-) Раньше у OpenVPN была своя ниша. Сейча ее «зажевали» более функциональные и мощные конкуренты. ИМХО, конечно.
Thanks за инфу про MDP5. Будем разбираться.
custom routes разве что у опенвпна гибкие
GRE не всюду проходит…
А оно по udp умеет работать?
У некоторых провайдеров udp трафик приоритетный и очень здорово работают тунели даже в час наибольшей нагрузки.
У некоторых провайдеров udp трафик приоритетный и очень здорово работают тунели даже в час наибольшей нагрузки.
Да, умеет. Я ссылку выше писал — там прямо на главной странице написано, что оно умеет. :-)
Вообще, чем прекрасен mpd — тем что он на netgraph, а значит возможности расширения ограничены только фантазией. Можно указывать какие ноды создавать и какие и куда хуки цеплять при создании туннеля, а для наиболее популярного (отдача статистики в netflow, зеркалирование трафика, nat на туннеле) — есть готовые опции.
Производительность же за счет того, что это все в ядре, а не userland'е — просто супер. :-)
Вообще, чем прекрасен mpd — тем что он на netgraph, а значит возможности расширения ограничены только фантазией. Можно указывать какие ноды создавать и какие и куда хуки цеплять при создании туннеля, а для наиболее популярного (отдача статистики в netflow, зеркалирование трафика, nat на туннеле) — есть готовые опции.
Производительность же за счет того, что это все в ядре, а не userland'е — просто супер. :-)
mpd хорош, не спорим. но только в случае BSD<->BSD
в openvpn прелесть в том что он есть везде.
в openvpn прелесть в том что он есть везде.
Да нет же… Я же написал выше — mpd работает по стандартным протоколам, типа PTPP, и если не требуется как-то где-то хитро через зафильтрованный enviroment прокинуть туннель (см. комментарии выше), то лучше уж предпочитать его. OpenVPN требует на каждом конце свою сборку, т.к. никто другой его туннели не проддерживает. А к серверу mpd можно подключаться хоть с Линукса, хоть с винды, и к тому же — средства для того же PPTP есть у всех в стандартной поставке и не нужно ничего ставить отдельно.
Но, повторяюсь, смотря какие задачи стоят. Для кого-то это будет минус. Для меня всегда был плюс. :-) На OpenVPN можно соединить два филиала организации, чтобы был перманентный линк. А сотрудников во внутреннюю сеть я бы лучше через MPD + PPTP запускал — мало ли с чего сотрудник зайти захочет? Не каждый же раз ему у себя OpenVPN собирать?
Но, повторяюсь, смотря какие задачи стоят. Для кого-то это будет минус. Для меня всегда был плюс. :-) На OpenVPN можно соединить два филиала организации, чтобы был перманентный линк. А сотрудников во внутреннюю сеть я бы лучше через MPD + PPTP запускал — мало ли с чего сотрудник зайти захочет? Не каждый же раз ему у себя OpenVPN собирать?
Multipoint GRE отлично работает в Linux, я сам проверял.
Лучше Cisco DMVPN пока ничего не придумали. И протоколы все открытые (IPsec IKE, mGRE, NHRP и OSPF).
Лучше Cisco DMVPN пока ничего не придумали. И протоколы все открытые (IPsec IKE, mGRE, NHRP и OSPF).
А DNS?
кто днс будет прятать?
при таком подходе ДНС резолвинг будет через вашего местного провайдера
кто днс будет прятать?
при таком подходе ДНС резолвинг будет через вашего местного провайдера
Кто-нибудь в курсе, какого чёрта могут не работать UDP broadcast-ы? Очень долго мучался, так и не вышло. Старые игры любят их использовать.
Есть отличный плагин который может авторизовать клиентов по логину-паролю а на сервере они в базе mysql
Очередной боян на хабре. Достаточно погуглить по теме и всплывёт не менее десятка статей (как минимум, помню про это было где-то в «Хакере», Античате, Злом.Орг и пр.). То, что объявлено плюсами модели — просто Ваш конфиг под определённые задачи (например, скрыть трафик от посторонних лиц [от органов?]).
Технология VPN предназначена для решения более обширных задач, но жаль, статья ограничилась опять только простыми вещами.
Технология VPN предназначена для решения более обширных задач, но жаль, статья ограничилась опять только простыми вещами.
для более гибкой работы в конфиге сервера:
#директория с индивидуальными данными
client-config-dir /etc/openvpn/ccd
#индивидуальный файл /etc/openvpn/ccd/client
ifconfig-push 192.168.0.2 255.255.255.0
push «dhcp-option DNS 192.168.0.1»
push «route-gateway 192.168.0.1»
push «redirect-gateway local def1»
В этот случае создаются ключи для каждого пользователя.
#директория с индивидуальными данными
client-config-dir /etc/openvpn/ccd
#индивидуальный файл /etc/openvpn/ccd/client
ifconfig-push 192.168.0.2 255.255.255.0
push «dhcp-option DNS 192.168.0.1»
push «route-gateway 192.168.0.1»
push «redirect-gateway local def1»
В этот случае создаются ключи для каждого пользователя.
А чем ОпенВПН выгодно отличается от poptop? И почему выбор пал именно на него?
OpenVPN умеет работать через HTTP-Proxy, например.
Очень гибкий. Можно, например, некую команду выполнить при подключении клиента, другую — при отключении. У меня так устроен DDNS в VPNе.
Выгодно отличается тем, что легче ходит через NAT'ы.
У каждого свои причины, но вот лично у меня poptop всегда тормозит так, что просто ужас. Для клиентских целей его еще можно использовать, но шифрованный трафик гонять — на фиг, на фиг… А если еще и туннелей энное количество…
А зачем CONFIG_NF_NAT_PPTP=m?
а зачем это на клиенте
vpclient.csr vpdh1024.pem
ta.key
vpclient.csr vpdh1024.pem
ta.key
Автор, действительно, клиенту нужно всего три файла — ca.crt, client.crt и client.key, всё.
Надо ещё написать про .p12
У меня вот про OpenVPN вопрос. Насколько сложно его настроить так, чтобы он работал по принципу программы hamachi. У нас просто такой провайдер в городе, у него много подсетей, и в играх, где нет прямого коннекта по IP — поиграть нельзя. А Hamachi не всегда работает адекватно. Т.е. сделать виртуальную сеть такую. Если кто-то ответ, заранее спасибо.
З.Ы. Я не очень сильно разбираюсь в этом всём, но мне интересно возможно ли это, и может какие зацепки кто-то подскажет.
З.Ы. Я не очень сильно разбираюсь в этом всём, но мне интересно возможно ли это, и может какие зацепки кто-то подскажет.
hamachi — это p2p full mesh VPN — есть проект gvpe. Но насчёт запуска его в винде — очень сомневаюсь.
А доспустим просто поднять сервер отдельный с линуксом и там поставить этот «gvpe» и через него. Сложная ли настройка получится?
Не очень сложная, но вы не будете принадлежать тому же самому сегменту сети — виртуальный интерфейс GVPE нельзя поставить в мост, так что широковещательные рассыки всё равно работать не будут. А некоторые игры именно их и требуют.
OpenVPN позволяет решение full mesh, но не p2p, весь трафик у него проходит через сервер. Если есть возможность поставить сервер на толстом канале, игры заработают (но лаги будут ощутимы).
OpenVPN позволяет решение full mesh, но не p2p, весь трафик у него проходит через сервер. Если есть возможность поставить сервер на толстом канале, игры заработают (но лаги будут ощутимы).
Есть пару вопросов. Зачем нужно: «cd /etc/openvpn/vpnet». Появилась такая проблема «NOTE: unable to redirect default gateway — Cannot read current default gateway from system»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
OpenVPN: создание полноценного openVPN gateway