mlsnoleg 31 дек 2014 в 12:04

Stunnel на сервере и клиенте

6 мин

113K

Настройка Linux*Системное администрирование**nix*Сетевые технологии*

Туториал

Из песочницы

Комментарии 15

Shapeshifter 31 дек 2014 в 13:32

По различным причинам основные реализации VPN отпали.

В статье меня больше всего заинтересовала эта фраза. Раскройте мысль, пожалуйста.

mlsnoleg 1 янв 2015 в 20:26

Одно из основных требований — возможность с минимальными телодвижениями подключатся отовсюду, в том числе из общественных мест. Подключаются клиенты, т.е. уровень тех. подготовки очень разный.

Тестировал следующие реализации:

OpenVPN — требует прав администратора со стороны клиента, что не всегда возможно.
IPSec L2TP — есть проблемы с подключением из-за прокси, также сложности с клиентами за общим натом
PPTP — не рассматривался

Как то так.

blind_oracle 1 янв 2015 в 20:44

OpenVPN — требует прав администратора со стороны клиента, что не всегда возможно.

Оно требует только при установке, потом просто висит службой в фоне.

mlsnoleg 1 янв 2015 в 22:05

OpenVPN вносит изменения в таблицу маршрутизации при подключении. Без прав администратора, ему это не удается. Как вариант можно добавить пользователя в группу «Network Configuration Operators», в подробности еще одного варианта вдаваться не стал т.к. он требовал внесения изменения в реестр. Ни один из вариантов мне не подошел. Если что то упустил поделитесь, буду благодарен.

blind_oracle 1 янв 2015 в 22:12

Еще раз говорю — он работает службой в фоне с нужными правами (NT AUTHORITY\SYSTEM или как там его).

mlsnoleg 1 янв 2015 в 22:22

Понял, почитаю. Спасибо.

Disasm 3 янв 2015 в 18:12

Пользуюсь IPSec L2TP через мобильный интернет и WiFi в метро, полёт нормальный. // хотя нет, вру, там даже L2TP нет, просто IPSec

TrueBers 31 дек 2014 в 16:22

а чем ssh-туннель не угодил?

eMptywee 31 дек 2014 в 17:15

«Я не считаю размещение логов в месте отличном от /var/log хорошей идеей, но заставить stunnel писать логи за пределы окружения мне не удалось.»

Для того и предназначен сислог и возможность у stunnel писать логи в сислог?

mlsnoleg 1 янв 2015 в 20:33

Stunnel по умолчанию пишет в syslog.
Дело в том, что лог stunnel нужно парсить и на основании этих данных формировать определенные отчеты. Поэтому очень желательно иметь логи в отдельном файле.

eMptywee 1 янв 2015 в 20:34

Настройки сислога позволяют корректно по ident писать в отдельный файл. Плюс проблем с ротацией таких логов заметно меньше.

mlsnoleg 1 янв 2015 в 20:37

Не знал, спасибо. Обязательно посмотрю.

evg_krsk 1 янв 2015 в 14:25

Для этого, насколько помню, достаточно создать в чруте сокет /dev/log, и сказать общесистемному сислогу слушать и этот сокет тоже.

Вообще, очень много ручной работы, в более вменяемых дистрибутивах и чрут изкаробки и все каталоги на месте и логи ротируются правильно и сислог настраивается автоматически.

FireStorm 13 фев 2016 в 14:57

Отличный мануал, спасибо вам большое!

FireStorm 14 фев 2016 в 11:29

Добавлю свои пять копеек.
1. Использование скрипта certlink.sh целесообразно, если нужно создавать хэш только для одного сертификата после добавления его в каталог. Так-то использовать утилиту c_rehash проще, но она перехэширует весь каталог.
2. Чтобы непривилегированные пользователи (в т. ч. уязвимые процессы других служб) не смогли спереть ключ сервера, можно забрать вообще все права у файла ключа:
sudo chmod 0 /etc/stunnel/serverkey.pem

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Показать лучшие за всё время

Stunnel на сервере и клиенте

Комментарии 15

Публикации

Истории