OpenVPN, о котором вы так мало знали

[leschenko]

То что написано в статье, это потрясающе. Но с чего вы взяли что openvnp это дефакто стандарт? Чтобы соединение было установлено требуется стороннее по на клиенте. Я бы сказал, openvnp это хорошая альтернатива стандартным l2tp и ikev2.

[sborisov]

Да, всё-таки стандарт это L2TP.
Хотя, на одном из мест работы, намучились с ним, очень долго настраивали клиентский Linux, помогла вот эта статья:
https://github.com/nm-l2tp/network-manager-l2tp/wiki/Known-Issues

OpenVpn в Ubuntu (клиенте) было бы настроить значительно проще.

[Amihailov]

Стандарт стандартом, но когда два и более клиентов пытаются построить l2tp туннель из одной сети к одному серверу, то происходит ОЙ. И, к сожалению, не каждый маршрутизатор умеет этот ОЙ разруливать.

[leschenko]

Первый раз слышу о подобном. Если не секрет, то кто именно это делать не умеет? Что-бы на будущее знать.
PS: ESP (50 IP) не все умеют прокидывать внутрь сети, но чтобы наружу кого-то не пускать…

[icCE]

Проблема там, когда два клиента за одним NAT, то сервер обслуживает пслд подключение. Зависит все от реализации. Было проблемой например в routeros/mikrotik.

[stavinsky]

Точно не PPTP? Обычно у него такие проблемы

[Pinkerton42]

Там на самом деле проблема в ipsec. Если его отключить, то все работает.

[Andrusha]

Без IPsec получается нешифрованный туннель.

[Pinkerton42]

Да, я знаю и написал это не как руководство к действию, а назвал причину неработающего ipsec+l2tp у занатовых клиентов.

[Andrusha]

Это фишка Windows-клиента, у него исходящий порт всегда одинаковый, соответственно, последний подключившийся «перетягивает одеяло» на себя.

[vesper-bot]

Там просто дефолтные правила для L2TP заставляли транслировать исходящий порт 1701 в 1701 вне зависимости от существующей трансляции. Отключить — заработает.

[LESHIY_ODESSA]

А вы не могли бы более подробно объяснить что и где отключать?

[leschenko]

С Linux всегда всё не просто. Не скажу что это плохо, просто там все по другому. И когда люди привыкают к этому другому, то Windows им кажется «по другому».

[sborisov]

Сервер настраивали администраторы windows, поэтому на ней не было проблем с подключением, ну а тем кто пользуется linux пришлось подбирать протоколы шифрования.
Но ничего, справились…

[saipr]

Для корпоративных сетей в режиме MultiPoint-To-SinglePoint обычно используется свой центр сертификации PKI, который легко строится либо при помощи easy-rsa, либо на основе XCA.

Для выпуска сертификатов можно еще использовать и этот УЦ, созданное на базе OpenSSL и SQLite3. А для настройки клиента можно посмотреть это GUI.

[vanyas]

Ужаснее GUI сложно даже представить…
Ну и GUI для OpenVPN rkbtynf есть практически в любом дистрибутиве в виде модуля к NetworkManager

[jamm1985]

Статья интересная, про внутренний пакетный фильтр очень занятно. Хотелось бы добавить, что в клиентский конфиг желательно добавить опцию

remote-cert-tls server

для защиты от MitM акт это мастхэв.

[toxi_roman]

Интересная статейка, сохранил в заметки на будущее.
Сразу по ходу чтения статьи, набросал несколько вариантов, где бы можно было использовать плагины.