Pull to refresh

Comments 68

А clientless VPN поддерживается, например SSL через browser? Не SSL VPN сегодня уже не интересен.
Нашол вот:
+ OpenVPN is a full-featured open source SSL VPN solution…

— Can I use a web browser as an OpenVPN client?

No. While OpenVPN uses the SSL/TLS protocol for security, OpenVPN is not a web application proxy. It is an OSI layer 2 or 3 full-mesh internetwork tunneling solution and requires that OpenVPN be installed on both client and server. :(
OpenVPN это не прокси и задачи у него другие. Помимо серфинга есть куча других задач, где обычный VPN очень даже интересен — выход в сеть через удаленный сервер, соединение сетей (офисов например), безопасный доступ к оборудованию в удаленном ДЦ, туннели компьютер-компьютер…
SSL VPN через https очень даже не помешал бы. Был раньше SSL Explorer, но их Баракуда выкупила. Сущетвуют конечно платные решения, прчёи очень дорогие, такие как Checkpoint, FortiGate, Juniper, Baracuda… или M$ Win08:

www.isaserver.org/tutorials/Publishing-Windows-Server-2008-SSL-VPN-Server-Using-ISA-2006-Firewalls-Part1.html

Но хочется чего то абсолютно free и встроенного как демон в FreeBSDу или Генту и чтоб без установки клиента. Дело в том что многие VPN клиенты не поддерживают x64 (вроде и OpenVPN), а надо. Потом иногда сидя у заказчика надо подключить его временно к нашей лицензии из нашей локалки, выполнить некоторые действия и отключиться… здесь clientless был бы не заменим
У меня все машины x86_64 никаких проблем с openvpn наблюдал.
SSL VPN это когда ты браузером заходишь на VPN-сервер и он загружает и запускает на твоей машине VPN-клиент, инкапсулирующий траффик в SSL.

Очень удобно для мобильных пользователей, которым вдруг захочется поработать с машины, которая умеет Java, но на нее не может быть установлен OpenVPN (интернет-кафе какое-нибудь, например)
Да, а на машине в интернет-кафе разрешат встраиваться в стек IP, или создавать виртуальные сетевые адаптеры? (Ну, это непременно требуется для подключения VPN.)

Есть OpenVPN Access Server. Вы про это?
OpenVPN очень хорошая система. Используем ее для доступа к серверу, который глубоко внутри сети небольшого провайдера и не имеет внешнего адреса. Когда нужно подключиться — запускаем сервер у нас (на внешнем адресе) — а там клиент постоянно пытается подключиться, соответственно — подключается.

Единственно чего-то не удалось подружить сервер OpenVPN и файрволл windows server 2008 при умолчательных запрещениях.
Не только Windows server 2008, а еще и Windows Vista. Постоянно сеть становится неопределенной. И все настройки слетают, до тех пор пока не выставишь ее как частной.

Самое обидное что сразу после установки туннеля к компьютеру подключится удаленно не удастся. Все эта пресловутая частная сеть.
Хм… а можно как-то идентифицировать пользователей, подключаюихся к серверу?
можно каждому ключик индивидуальный выдать. и запретить несколько подключений с одним ключиком (чтобы не делились). и заодно настройки индивидуальные для каждого подключения (ключика-логина) создавать можно… в общем много чего можно :)
На сколько я помню этой опцией мы указываем имя виртуального устройства. Типа ppp0 при создании VPN через PPTP.
это создает виртуальную сетевую карту. тоесть сеть будет как бы почти настоящая, можно бридж даже сделать между tap0, eth0 например без всяких проблем с маршрутизацией.
P.S.
ИМХО лучше UDP юзать, вместо TCP…
Всяко бывает: если нужна возможность работы через HTTP-прокси, то только tcp…
Нет. Конкренто это — указать ТИП устройства: создать устройство такого типа и использовать его.

Если бы вы номер указали, напр. tap0, то можно было бы заранее создать это устройство (программой tunctl), а OpenVPN подвязать к нему командой dev tap0.
Означает что в тунеле будут летать эзернет фреймы, а не ip пакеты как это былобы при dev tun
Ээээ, а в генте ядро по дефолту без поддержки tun и nat? Или это рекомендация для тех, у кого ядро было допилено до состояния маразматического минимализма?
Там нет понятия «ядро по дефолту». Там по дефолту ядро конфигурируешь сам с нуля из практически ванильного.
Добавьте пожалуйста, как настроить auth-pass verification.
Т.е. чтобы можно было обычным vpn коннектиться к этому серверу.
эм… обычный это который pptp/l2tp ?! а разве можно !? o_0
Конечно нельзя, OpenVPN это другой протокол.
собственно потому и удивляюсь, что не должно бы :)
но мало-ли, человек так построил свой вопрос что он выглядел как рекомендация-утверждение, вот я и задумался а не пропустил ли я что-то :D
Нет, нельзя, конечно, у OpenVPN свой протокол.

Но по паролю в принципе сделать можно. Но зачем?!
Это pptpd нужен. Я про него тоже однажды напишу. OpenVPN обычным виндовым клиентом, ествественно, не поддерживается.
Гы! Как пить дать, комментарии в итоге сведутся к обсуждению «нужен вообще OpenVPN или не нужен?». ;-)
Не могу не высказать в этой связи своего мнения: на Линуксе, может, и нужен, а на FreeBSD (которой пользуюсь как серверной системой) — уже нет. :-) Раньше использовал несколько раз OpenVPN — действительно, в настройке по сравнению с остальными решениями было достаточно несложно (особенно, при наличии мануалов на ОпенНете ;-) ). Но ведь уже достаточно давно вышел MPD5 (это не Music Player Daemon, о чем сразу думают Линуксоиды, а Multi-link PPP daemon for FreeBSD), в котором решены все проблемы его молодости, который настравается одной левой и который может буквально все, связанное с VPN и к тому же — использует не свои несовместимые ни с кем протоколы/клиентов, а все стандартное, так что может быть клиентом/сервером хоть для Винды, хоть для Линукса, хоть для кого угодно… Спрашивается — зачем искать добра от добра? :-) Раньше у OpenVPN была своя ниша. Сейча ее «зажевали» более функциональные и мощные конкуренты. ИМХО, конечно.
Thanks за инфу про MDP5. Будем разбираться.
custom routes разве что у опенвпна гибкие
Гм. Может мы о разном, но в скриптах на опускание/поднятие интерфейса в mpd маршрутами тоже как угодно манипулировать можно… Или в openvpn что-то специфическое? Извиняюсь — не помню на память…
А вас никто не заставляет его использовать. :-) Используйте L2TP — он не PPTP, там GRE нету…
Там вообще защиты нет. А если делать с защитой — то только IPsec, который тоже не везде пролезает.
Да, это верно. :-)
ОК, соглашусь, что в условиях жесткой «зарезки» всего чего только можно openvpn пригодится. Наверное, дело в том, что я всегда работал в телекомах и сам для себя задавал эти самые условия, поэтому не заморачивался такими вопросами.
Респект! :-)
А оно по udp умеет работать?
У некоторых провайдеров udp трафик приоритетный и очень здорово работают тунели даже в час наибольшей нагрузки.
Да, умеет. Я ссылку выше писал — там прямо на главной странице написано, что оно умеет. :-)
Вообще, чем прекрасен mpd — тем что он на netgraph, а значит возможности расширения ограничены только фантазией. Можно указывать какие ноды создавать и какие и куда хуки цеплять при создании туннеля, а для наиболее популярного (отдача статистики в netflow, зеркалирование трафика, nat на туннеле) — есть готовые опции.
Производительность же за счет того, что это все в ядре, а не userland'е — просто супер. :-)
mpd хорош, не спорим. но только в случае BSD<->BSD

в openvpn прелесть в том что он есть везде.
Да нет же… Я же написал выше — mpd работает по стандартным протоколам, типа PTPP, и если не требуется как-то где-то хитро через зафильтрованный enviroment прокинуть туннель (см. комментарии выше), то лучше уж предпочитать его. OpenVPN требует на каждом конце свою сборку, т.к. никто другой его туннели не проддерживает. А к серверу mpd можно подключаться хоть с Линукса, хоть с винды, и к тому же — средства для того же PPTP есть у всех в стандартной поставке и не нужно ничего ставить отдельно.
Но, повторяюсь, смотря какие задачи стоят. Для кого-то это будет минус. Для меня всегда был плюс. :-) На OpenVPN можно соединить два филиала организации, чтобы был перманентный линк. А сотрудников во внутреннюю сеть я бы лучше через MPD + PPTP запускал — мало ли с чего сотрудник зайти захочет? Не каждый же раз ему у себя OpenVPN собирать?
Multipoint GRE отлично работает в Linux, я сам проверял.

Лучше Cisco DMVPN пока ничего не придумали. И протоколы все открытые (IPsec IKE, mGRE, NHRP и OSPF).
А DNS?
кто днс будет прятать?

при таком подходе ДНС резолвинг будет через вашего местного провайдера
Кто-нибудь в курсе, какого чёрта могут не работать UDP broadcast-ы? Очень долго мучался, так и не вышло. Старые игры любят их использовать.
Вероятно, потому, что автор забыл добавить опцию client-to-client. Без этого, клиенты видят только сервер и не видят друг друга.

Просто допишите в конфиг сервера и перезапустите его.
Не забыл, разделение клиентов сделано специально и про это написано в статье. :)
Есть отличный плагин который может авторизовать клиентов по логину-паролю а на сервере они в базе mysql
Очередной боян на хабре. Достаточно погуглить по теме и всплывёт не менее десятка статей (как минимум, помню про это было где-то в «Хакере», Античате, Злом.Орг и пр.). То, что объявлено плюсами модели — просто Ваш конфиг под определённые задачи (например, скрыть трафик от посторонних лиц [от органов?]).

Технология VPN предназначена для решения более обширных задач, но жаль, статья ограничилась опять только простыми вещами.
а можно читать мануалы, и ничего не постить в инет.
Справедливости ради, именно с OpenVPN мануала более чем достаточно.
Можно и полезно. Мой коммент о том, что именно по этой теме уже немало статей в инете. Пошаговых, подробных, на любой вкус. :)
Вполне осознанно закончена простыми вещами. Сложные вещи раздули бы ее до размеров маленькой книги :)
для более гибкой работы в конфиге сервера:
#директория с индивидуальными данными
client-config-dir /etc/openvpn/ccd
#индивидуальный файл /etc/openvpn/ccd/client
ifconfig-push 192.168.0.2 255.255.255.0
push «dhcp-option DNS 192.168.0.1»
push «route-gateway 192.168.0.1»
push «redirect-gateway local def1»

В этот случае создаются ключи для каждого пользователя.
А чем ОпенВПН выгодно отличается от poptop? И почему выбор пал именно на него?
OpenVPN умеет работать через HTTP-Proxy, например.
Очень гибкий. Можно, например, некую команду выполнить при подключении клиента, другую — при отключении. У меня так устроен DDNS в VPNе.
То же самое элементарно делается в poptop.
Выгодно отличается тем, что легче ходит через NAT'ы.
У каждого свои причины, но вот лично у меня poptop всегда тормозит так, что просто ужас. Для клиентских целей его еще можно использовать, но шифрованный трафик гонять — на фиг, на фиг… А если еще и туннелей энное количество…
а зачем это на клиенте
vpclient.csr vpdh1024.pem
ta.key
dh не нужны

csr — certificate sign request — тоже не нужен
Автор, действительно, клиенту нужно всего три файла — ca.crt, client.crt и client.key, всё.
Да, погорячился. Убрал лишние. Не выяснял специально, без каких работает, скинул все, которые относятся к клиенту.
У меня вот про OpenVPN вопрос. Насколько сложно его настроить так, чтобы он работал по принципу программы hamachi. У нас просто такой провайдер в городе, у него много подсетей, и в играх, где нет прямого коннекта по IP — поиграть нельзя. А Hamachi не всегда работает адекватно. Т.е. сделать виртуальную сеть такую. Если кто-то ответ, заранее спасибо.
З.Ы. Я не очень сильно разбираюсь в этом всём, но мне интересно возможно ли это, и может какие зацепки кто-то подскажет.
hamachi — это p2p full mesh VPN — есть проект gvpe. Но насчёт запуска его в винде — очень сомневаюсь.
А доспустим просто поднять сервер отдельный с линуксом и там поставить этот «gvpe» и через него. Сложная ли настройка получится?
Не очень сложная, но вы не будете принадлежать тому же самому сегменту сети — виртуальный интерфейс GVPE нельзя поставить в мост, так что широковещательные рассыки всё равно работать не будут. А некоторые игры именно их и требуют.

OpenVPN позволяет решение full mesh, но не p2p, весь трафик у него проходит через сервер. Если есть возможность поставить сервер на толстом канале, игры заработают (но лаги будут ощутимы).
Есть пару вопросов. Зачем нужно: «cd /etc/openvpn/vpnet». Появилась такая проблема «NOTE: unable to redirect default gateway — Cannot read current default gateway from system»
Sign up to leave a comment.

Articles