Pull to refresh
  • by relevance
  • by date
  • by rating

Доступ повышенной проходимости.

System administration *
Не секрет, что своевременный доступ к информации, в том числе хранящейся внутри корпоративной сети компании, может оказаться решающим фактором успешной работы сотрудников. Речь о виртуальных частных сетях (VPN). Иногда предоставить доступ оказывается не так-то просто.

Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 28K
Comments 7

Прокладываем виртуальные сети

Lumber room
С тех пор как интернет ( вернее ARPAnet ) был маленькой американской сеткой утекло много киселя. Сейчас сеть большое небезопасное место, где защита своих данных является одним из приоритетных направлений. О том как же меньше бояться я и расскажу в этом маленьком опусе.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 9.9K
Comments 11

iPhone —как полноценный gprs/3g модем, используя VPN over SSH.

Smartphones
Видимо по той причине, что Apple заинтересована в безлимитном интернете только на самом iPhone (а не на устройствах подключенных к iPhone), они построили ядро ОС не включив в него технологию DIVERT, которая позволяет использовать NAT подобный тому, который обычно стоит в маршрутизаторах для обеспечения интернетом «серых» сетей (те которые 192.168.0.0/24 например).

К счастью, используя стороннее ПО на iPhone можно запустить socks –сервер, но с ним не умеют работать куча программ.

Однако у нас есть возможность использовать на iPhone SSH и туннелирование трафика, что частично позволяет нам неполноценно и достаточно неудобно, но доставать нужные сервисы из интернета.

Но оказывается такого туннелирования достаточно, что бы, благодаря программе OpenVPN, установить связь с удаленным сервером, который умеет и маршрутизировать и NAT-ить.

Единственный нюанс: необходим удалённый сервер, который будет вашим маршрутизатором. Для этого нужен обычный сервер с реальным белым IP- адресом (динамический тоже можно использовать, например, с помощью dynDNS). Таким сервером может быть: домашний компьютер, сервер на работе, VPS и т.п.
Читать дальше →
Total votes 53: ↑41 and ↓12 +29
Views 4.4K
Comments 30

OpenVPN, объединяем домашние сети

Configuring Linux *
Данная статья посвящена объеденению нескольких домашних локальных сетей с предоставлением прозрачного общего доступа к ресурсам сетей с помощью VPN. За реализацию VPN взята openvpn. Клиенты и сервер openvpn установлены на роутерах домашних сетей, в конкретном случае роутеры семейства asus wl500, но данный мануал вполне применим и другим роутерам где есть досуп к OS и можно поставить openvpn.

Хотя подобных руководств в Интернете пруд пруди, они написаны больше для администраторов, которые имеют большой опыт общения с *nix системами, в то время как пользователями домашних роутеров являются в основном не хакеры, а обычные юзеры, может быть впервые увидевшие коммандную строку Linux на том самом роутере. Я постараюсь писать так чтобы было понятно всем.

Для тех кто не любит много букв, чтобы было понятно о чём речь под катом, привожу картинку

Читать дальше →
Total votes 58: ↑54 and ↓4 +50
Views 90K
Comments 57

OpenVPN: создание полноценного openVPN gateway

Configuring Linux *
OpenVPN — это система, позволяющая создавать шифрованные туннели между компьютерами по технологии VPN (Virtual Private Network, виртуальная частная сеть).

Основные плюсы такой модели:

  • Просто: настройка занимает менее часа и не требует специальных знаний.
  • Экономно: трафик сжимается lzo.
  • Безопасно: весь трафик шифруется, а клиенты разделены между собой.
  • Иногда по-другому просто никак. :)


Несмотря на эти пункты, нормальной статьи о настройке OpenVPN на Хабрахабре я не нашел. Чтож, попытаюсь исправить это своими силами.

Я специально стараюсь не углубляться в технические подробности, но и расписывать принципы сборки ядра и установки ПО в вашем дистрибутиве не буду — это выходит за пределы статьи.

За основу возьмем OpenVPN-2.0.9 и Gentoo Linux в качестве сервера и Linux либо Windows в качестве клиента.

Нырнуть глубже
Total votes 42: ↑39 and ↓3 +36
Views 219K
Comments 68

VPN-мост в локальную сеть

Configuring Linux *
Прочитал топик habrahabr.ru/blogs/linux/67209 и решил выложить сюда свою статью, которая была до этого видна только в закрытой корпоративной Wiki.

Обычно, при создании VPN, используется подключение типа точка-точка к некоторому серверу, либо установка ethernet-туннеля с некоторым сервером, при котором туннелю назначается определённая подсеть. Сервер VPN при этом выполняет функции маршрутизации и фильтрования трафика для доступа к локальной сети через VPN.

Данная статья рассматривает другой подход к созданию виртуальной сети, при котором удалённые системы включаются в уже существующую локальную подсеть, а сервер VPN выполняет роль Ethernet-шлюза. При использовании такого подхода мы всё ещё имеем возможность фильтровать трафик на основании способа подключения (например, использовать для локальной сети и для удалённых пользователей разные фильтры), но исключается необходимость настройки маршрутизации, а удалённые машины включаются прямо в локальную сеть, видят ресурсы, даже способны использовать широковещательные посылки вообще без дополнительной настройки. Через такой VPN у них отображаются все компьютеры локальной сети Windows, все доступные XDMCP-серверы при XDMCP broadcast и т. д.

Читать дальше →
Total votes 29: ↑23 and ↓6 +17
Views 191K
Comments 14

Особенности установки OpenVPN GUI под Windows 7

Lumber room
На днях понадобилось мне настроить клиентскую часть OpenVPN на компьютере с установленной Windows 7.
Я предвидел проблемы и потому сразу погуглил на эту тему. Нашел несколько советов, суть которых сводилась к тому, что отличий от установки на Vista мало, и главное из них — в свойствах инсталятора предварительно установить режим совместимости с Vista, а также запуск от имени администратора.

Сразу оговорюсь — в силу своей ленности использую вариант OpenVPN GUI, который мне очень полюбился по практике использования на Windows XP/2003.

Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views 8.3K
Comments 7

Удобный запуск туннеля OpenVPN на ноутбуке

Lumber room
Последние пару месяцев я путешествую по Индии и к интернету приходится подключаться где попало — в интернет-кафе, через чей-то беспарольный WiFi, через GPRS. Предвидя это, перед отъездом из дома я решил настроить себе VPN до моего сервера. Выбор пал на OpenVPN. Разумеется, мне хотелось запускать VPN не через командную строку, а удобно, одним-двумя кликами мыши. На ноутбуке стояла Ubuntu 8.10 и я, недолго думая, установил пакет network-manager-openvpn, надеясь на простую интеграцию с network manager'ом. Оказалось, что этот плагин непригоден для использования.

Я решил использовать OpenVPN в режиме работы со статическими ключами (pre-shared key), потому что у него есть важное преимущество: … it is a handshake-free protocol without any distinguishing signature or feature (such as a header or protocol handshake sequence) that would mark the ciphertext packets as being generated by OpenVPN. Anyone eavesdropping on the wire would see nothing but random-looking data. Или, говоря по-русски, шифрованные данные выглядят как случайный набор байтов и определить, что это такое, невозможно.

А упомянутый плагин просто тупо запускает OpenVPN с жёстко прописанными в коде параметрами, не давая указать нужные. Вначале стал писать патч, но потом понял, что проще выкинуть и найти альтернативное решение.

После некоторых поисков обнаружился апплет tuntun для Gnome, который работает с OpenVPN принципиально другим способом, используя интерфейс управления последнего.

Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 2.7K
Comments 5

Рецепт простого приготовления OpenVPN. Пошаговая инструкция

Lumber room
image

Приветствую, хабралюди. Не буду писать традиционное «этой мой первый топик на Хабре, не судите строго». Наоборот — обоснованная критика приветствуется, т.к. я не имею большого опыта написания статей и буду признателен за любую реакцию.

Предупреждение номер раз. Данный пост, скорее всего, не будет интересен гуру от мира сетей. Он в первую очередь адресован тем, чьи интересы лежат в других областях мира IT, но им свойственно любопытство и интересно все новое. Поэтому для тех, кто «в теме» текст может показаться набором известных истин и банальностей. Господа, я стремлюсь не удивить вас, а помочь менее продвинутым в данной области. Все нижесказанное будет касаться исключительно компьютеров под управлением различных версий Windows.
Предупреждение намбер ту. Я также не считаю себя гуру и могу ошибаться/допускать неточности в некоторых утверждениях и суждениях. Однако сам алгоритм действий по настройке рабочий и проверен лично.
Предупреждение три. Много букв. Пишу намеренно подробно, как следствие – обширно.
Если вышесказанное вас не испугало – приступим.
Читать дальше →
Total votes 36: ↑27 and ↓9 +18
Views 14K
Comments 27

Не совсем обычное VPN соединение обычными средствами

Network technologies *
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 151K
Comments 16

Домашний linux сервер своими руками

Configuring Linux *
Хочется поделиться с хабросооществом информацией о том как я собирал домашний сервер.

image

Из софта на домашнем сервере будет «крутиться» следующий набор:
  • torrent клиент с web-мордой
  • DHCP — раздаем ip адреса и сетевые настройки
  • TFTP — для сетевой загрузки
  • OpenVPN — для хождения в сеть с нетбука из недоверенных сетей
  • FTP/Samba/NFS — сетевые шары для доступа с домашних машин
  • Radius — для WPA2 авторизации
  • DigiTemp — мониторинг домашней температуры

Читать дальше →
Total votes 181: ↑129 and ↓52 +77
Views 169K
Comments 118

Соединяем филиалы в одну сеть. Снижаем затраты на интернет

Configuring Linux *
logo

Приветствую тебя хабражитель, не так давно передо мною встала задача соединить в единую сеть филиалы одной крупкой компании, разбросанные по Сибири. Главная проблема была в том, что OpenVPN надо было заставить работать поверх нестабильного PPPoE попутно пустив весь трафик через OpenVPN
Далее о том как я с этим справился и получил profit
Total votes 101: ↑88 and ↓13 +75
Views 43K
Comments 84

Вышла новая версия OpenVPN Access Server

System administration *
Translation
image
Сегодня вышла новая версия OpenVPN Access Server. OpenVPN Access Server (OpenVPN-AS) это набор инструментов для установки и настройки, которые упрощают быстрое развертывание VPN-сервера удаленного доступа. Он основывается на популярном программном обеспечении с открытым исходным кодом OpenVPN, позволяя работать с настроенным VPN-сервером при помощи кроссплатформенного клиентского ПО. Предоставляемые сервером возможности — это тщательно подобранный набор из всех возможных конфигураций OpenVPN. Таким образом OpenVPN-AS упрощает настройку и последующее управление системой. Читайте далее, чтобы узнать, что нового появилось в версии 1.7.1.
Читать дальше →
Total votes 24: ↑18 and ↓6 +12
Views 23K
Comments 11

VPN на 50+ филиалов на коленке

System administration *
image
Появилась потребность сделать VPN для аутсорсинговой компании — организовать связь с сетями компаний клиентов таким образом, чтобы админы заказчика и собственной сети видели каждый хост клиента за NATом и не было возможно обратное. Аппаратные решения в принципе не рассматривались ввиду стоимости, да и все проприетарные программные решения отсеялись по этой же причине. Остался только свободный софт. Благо свободных решений более чем достаточно

Поскольку начинал я знакомство со свободными системами с FreeBSD — выбор пал на нее. Сразу прошу хабралюдей не разводить холивар на тему BSD vs Linux – основной причиной выбора были более глубокие знания этой системы (до сих пор не могу осилить Linux настолько, чтобы быть уверенным в результатах своей работе с ним). Собственно, ВПН решено было организовать на основе OpenVPN — опять же, раньше приходилось иметь с ней дело, и недостатков я не обнаружил. И снова попрошу без холивара на тему PPTP – если есть приверженцы такого решения – лучше напишите свою статью.
Читать дальше →
Total votes 39: ↑31 and ↓8 +23
Views 49K
Comments 21

Автоматизируем создание VPN пользователей в PFSense

*nix *
image

Мне очень нравится PFSense 2.0. Особенно хороша у него стала функция OpenVPN сервера. Сам сервер настраивается в несколько кликов ( www.youtube.com/watch?v=odjviG-KDq8 ). После этого остается только создать пользователей и выслать им архив с настройками. Но когда передо мной встала задача перенести 70 пользователей из ClearOS в PFSense, я честно говоря приуныл. Перспектива рисовалась следующая. Зайти в «User Manager», щелкнуть кнопку добавления пользователя, ввести логин, ввести пароль, еще раз ввести пароль, вести фамилию и имя, отметить чекбокс «Click to create a user certificate», снова вести фамилию и имя, щелкнуть кнопку «Сохранить», перейти в «OpenVPN Server» вкладку «Client Export», сохранить архив с настройками, создать письмо, вставить туда email, написать логин, пароль, вложить архив с настройками, написать сопроводительный текст и отправить. И так 70 раз!!! Конечно если задаться целью и отключить мозг, все это можно сделать за день, а то и меньше. Но я от тупой работы либо засыпаю, либо прихожу в бешенство. Поэтому решено было сей процесс автоматизировать. И тут уныние, теперь уже переходящее в отчаяние, настигло меня во второй раз. Потому что PFSense на мои попытки переписать его потроха отвечал Read-only file system, а выполнить задуманное через config.xml мне не позволяло знание его структуры (и я подозреваю, что его средствами это невозможно). То есть на горизонте мрачно маячили либо нервное засыпание, либо покусание близ находящихся особей гуманоидного типа. Но выход был найден. Если выполнять работу самому не хочется, нужно написать скрипт, который будет нажимать на кнопки вместо тебя. Я уже вижу лес рук пользователей Windows которые нетерпеливо выкрикивают: «AutoIt, AutoIt!». Простите великодушно, я не описал полной картины. Я работаю из под Ubuntu. Ага. Лес рук сильно поредел. Осталась только пара, тройка. Ну давай, вот ты, мальчик в свитере с отчаянно пробивающейся бородой. Как, как? Правильно. Садись, пять. Xdotools, друзья. Вот тот самый мужик в синем трико с буквой S на груди, который спас мое отчаянное положение.
Читать дальше →
Total votes 6: ↑1 and ↓5 -4
Views 14K
Comments 6

Правительственная связь на базе Asterisk!

MyAsterisk corporate blog
Вертушки

image

«Вертушка» — закрытая система партийной и правительственной телефонной связи в СССР.

Первоначально была создана по указанию Владимира Ленина, как внутренняя АТС Кремля. Получила название «Вертушка», так как в отличие от обычной телефонной сети, где в то время соединение происходило через оператора, абоненты соединялись друг с другом с помощью АТС и дискового номеронабирателя («Вертушки»).
Читать дальше →
Total votes 11: ↑8 and ↓3 +5
Views 12K
Comments 6

Аутентификация в OpenVPN c помощью Рутокен ЭЦП

«Актив» corporate blog Information Security *
image
OpenVPN — кроссплатформенное, гибкое и удобное решение для организации VPN. Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:
  • по логину и паролю
  • по ключу и сертификату в файлах
  • по ключу и сертификату на «борту» криптографического USB-токена или смарт-карты
Последний способ является наиболее безопасным. В топике будет описана авторизация в OpenVPN с помощью криптографического USB-токена Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» токена. Благодаря этому закрытый ключ никогда не покидает токен и его невозможно украсть из оперативной памяти компьютера с помощью троянов.

В топике будет показано, как развернуть тестовый VPN, а также корпоративный УЦ на базе open source приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.
Читать дальше →
Total votes 25: ↑24 and ↓1 +23
Views 28K
Comments 60

Рутокен ЭЦП и Open Source

«Актив» corporate blog


Мне нравится современный Open Source. Нравится не как идея, а с вполне прагматической точки зрения. Фактом является то, что компания любого масштаба может использовать Open Source приложения в своей информационной системе и получить в результате кроссплатформенные, удобные и бесплатные решения практически любых проблем.

Мы прилагаем много усилий, чтобы «подружить» Рутокен ЭЦП и различные приложения Open Source. Для этой цели мы добавили поддержку российских криптоалгоритмов (ГОСТ 28147-89, ГОСТ Р 34-11.94 и ГОСТ Р 34-10.2001) и устройств Рутокен и Рутокен ЭЦП в проект OpenSC, а также разработали свою собственную кроссплатформенную библиотеку PKCS#11, работающую на операционных системах Microsoft Windows, GNU/Linux, Mac OS X, FreeBSD и др.

Читать дальше →
Total votes 23: ↑22 and ↓1 +21
Views 29K
Comments 15