Комментарии 15
По различным причинам основные реализации VPN отпали.
В статье меня больше всего заинтересовала эта фраза. Раскройте мысль, пожалуйста.
+6
Одно из основных требований — возможность с минимальными телодвижениями подключатся отовсюду, в том числе из общественных мест. Подключаются клиенты, т.е. уровень тех. подготовки очень разный.
Тестировал следующие реализации:
Как то так.
Тестировал следующие реализации:
- OpenVPN — требует прав администратора со стороны клиента, что не всегда возможно.
- IPSec L2TP — есть проблемы с подключением из-за прокси, также сложности с клиентами за общим натом
- PPTP — не рассматривался
Как то так.
0
OpenVPN — требует прав администратора со стороны клиента, что не всегда возможно.
Оно требует только при установке, потом просто висит службой в фоне.
0
OpenVPN вносит изменения в таблицу маршрутизации при подключении. Без прав администратора, ему это не удается. Как вариант можно добавить пользователя в группу «Network Configuration Operators», в подробности еще одного варианта вдаваться не стал т.к. он требовал внесения изменения в реестр. Ни один из вариантов мне не подошел. Если что то упустил поделитесь, буду благодарен.
0
Пользуюсь IPSec L2TP через мобильный интернет и WiFi в метро, полёт нормальный. // хотя нет, вру, там даже L2TP нет, просто IPSec
0
а чем ssh-туннель не угодил?
+2
«Я не считаю размещение логов в месте отличном от /var/log хорошей идеей, но заставить stunnel писать логи за пределы окружения мне не удалось.»
Для того и предназначен сислог и возможность у stunnel писать логи в сислог?
Для того и предназначен сислог и возможность у stunnel писать логи в сислог?
+1
Для этого, насколько помню, достаточно создать в чруте сокет /dev/log, и сказать общесистемному сислогу слушать и этот сокет тоже.
Вообще, очень много ручной работы, в более вменяемых дистрибутивах и чрут изкаробки и все каталоги на месте и логи ротируются правильно и сислог настраивается автоматически.
Вообще, очень много ручной работы, в более вменяемых дистрибутивах и чрут изкаробки и все каталоги на месте и логи ротируются правильно и сислог настраивается автоматически.
0
Отличный мануал, спасибо вам большое!
0
Добавлю свои пять копеек.
1. Использование скрипта certlink.sh целесообразно, если нужно создавать хэш только для одного сертификата после добавления его в каталог. Так-то использовать утилиту c_rehash проще, но она перехэширует весь каталог.
2. Чтобы непривилегированные пользователи (в т. ч. уязвимые процессы других служб) не смогли спереть ключ сервера, можно забрать вообще все права у файла ключа:
sudo chmod 0 /etc/stunnel/serverkey.pem
1. Использование скрипта certlink.sh целесообразно, если нужно создавать хэш только для одного сертификата после добавления его в каталог. Так-то использовать утилиту c_rehash проще, но она перехэширует весь каталог.
2. Чтобы непривилегированные пользователи (в т. ч. уязвимые процессы других служб) не смогли спереть ключ сервера, можно забрать вообще все права у файла ключа:
sudo chmod 0 /etc/stunnel/serverkey.pem
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Stunnel на сервере и клиенте