Фильтрация доступа через файервол по SSH надежнее, т.к. даже по ключу не будет доступа с неавторизованных хостов. Мало ли у кого ключ завалялся…
Ну а проблем с установкой Squid никаких — там все очень просто.
Здесь еще помимо ежегодных платежей напрягает невозможность купить «вечную» лицензию. В теории может получиться, что в один прекрасный момент по какой-либо причине продлить лицензию не удастся.
Не совсем. У нас имеются ресурсы во внешней сети, на наших и арендованных серверах, размещенных в датацентре. Эти ресурсы должны быть доступны из Интернета, но доступ к ним ограничен файерволом.
Для офисной сети мы прописали в файерволах правила, разрешающие доступ. Но у сотрудников, которые работают дома, адреса IP динамические, и не всегда имеется возможность приобрести фиксированные адреса у локальных провайдеров Интернета.
Squid позволяет нам организовать доступ сотрудников через сеть OpenVPN и через сервер OpenVPN, имеющий фиксированный адрес IP, на наши закрытые ресурсы в Интернете. Для проксирования используется адрес из сети OpenVPN, поэтому не имеет значения, что у сотрудника динамический IP.
Мне было интересно изучать OpenVPN, и он подходил под все наши требования. У него довольно гибкие настройки. А установка отдельного ПО не вызвала у нас никаких особых затруднений, там нет ничего сложного. Есть еще статья PPTP vs L2TP vs OpenVPN vs SSTP, довольно интересны комментарии.
Расскажу об этом во второй статье, эта получилась очень большая.
Насчет 3 версии easy-rsa — хотелось рассказать именно про новую версию, по старой много статей.
Насколько я понимаю, easy-rsa выполняет всю работу через openssl, а текущая известная проблема не влияет на безопасность.
Вообще по технологии ключи передавать не требуется, они создаются на узлах одновременно с запросом на подпись сертификата.
А запросы и сертификаты не секретные, их передавать можно.
Насчет файловых хранилищ и скайпа — стараюсь ничего конфиденциального, типа паролей, там не хранить и через них не передавать.
Конечно, коммерческие решения обычно удобнее бесплатных. Но у меня изначально стояла цель внедрения именно бесплатной технологии. На самом деле при использовании готовых конфигурационных файлов установка и настройка OpenVPN не так уж и сложна. На мой взгляд, с ней справится любой системный администратор или программист. Главное, разобраться в терминологии и технологии.
Я старался отразить в статье свой реальный опыт изучения этой технологии и ее реализации на практике.
Больше внимания уделил тому, с чем сам долго разбирался — терминология, сертификаты, ключи, удостоверяющий центр, подписывание сертификатов. Реально попробовал OpenVPN в разных ОС, которые у нас используются.
Надеюсь, с этой статьи можно начинать изучение и практические эксперименты с OpenVPN, не обращаясь к поиску и другим статьям.
Ну а проблем с установкой Squid никаких — там все очень просто.
Для офисной сети мы прописали в файерволах правила, разрешающие доступ. Но у сотрудников, которые работают дома, адреса IP динамические, и не всегда имеется возможность приобрести фиксированные адреса у локальных провайдеров Интернета.
Squid позволяет нам организовать доступ сотрудников через сеть OpenVPN и через сервер OpenVPN, имеющий фиксированный адрес IP, на наши закрытые ресурсы в Интернете. Для проксирования используется адрес из сети OpenVPN, поэтому не имеет значения, что у сотрудника динамический IP.
— особенности TUN/TAP;
— проблемы с MTU и их решение;
— безопасность и шифрование;
— скорость передачи данных;
— мониторинг сервера OpenVPN
Насчет 3 версии easy-rsa — хотелось рассказать именно про новую версию, по старой много статей.
Насколько я понимаю, easy-rsa выполняет всю работу через openssl, а текущая известная проблема не влияет на безопасность.
А запросы и сертификаты не секретные, их передавать можно.
Насчет файловых хранилищ и скайпа — стараюсь ничего конфиденциального, типа паролей, там не хранить и через них не передавать.
Больше внимания уделил тому, с чем сам долго разбирался — терминология, сертификаты, ключи, удостоверяющий центр, подписывание сертификатов. Реально попробовал OpenVPN в разных ОС, которые у нас используются.
Надеюсь, с этой статьи можно начинать изучение и практические эксперименты с OpenVPN, не обращаясь к поиску и другим статьям.