The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: vpn, tunnel, crypt, linux, freebsd,  (найти похожие документы)
From: Ломакин Евгений <lomakin_e@travelink.by.> Newsgroups: email Date: Mon, 19 Jan 2004 14:31:37 +0000 (UTC) Subject: Опыт внедрения OpenVPN Почему OpenVPN? --------------- На ключевое слово vpn Google откликнулся 17 000 000 ссылок. Это приятно удивило. Немного сузив поиск наткнулся на сайт openvpn.sourceforge.net. Вводная статья обещала простоту инсталяции и конфигурирования,а главное,- возможность создания тунеля для большинства наиболее распрастранённых операционных систем, включая Linux,SUN Solaris,*BSD, Mac OS X, w2k, w2k3. Это то что мне нужно... Внешний интерфейс Внешний интерфейс 100.100.100.1 101.101.101.1 +--------------+ +-------------+ | SuSE 8.2 | Internet | FreeBSD 5.3 | | |<->-----------<->| | | NAT,FireWall | | NAT, ipfw | | | | | +-----+--------+ +-------+-----+ ^ ^ ^ ^ | | VPN | | | +---------------------+ | | 10.1.1.0 | +-----+---+ +--+------+ |Локальная| |Локальная| | сеть | | сеть | +---------+ +---------+ 10.0.0.0 192.168.1.0 Рис.1. Схема моей виртуальной частной сети. Так как работать с VPN планируется "навсегда", пересобрал ядро SuSE с поддержкой tun/tap драйвера. В современные дистрибутивы FreeBSD поддержка tun/tap уже встроена в ядро. Далее установил пакет. Для SuSE: #cp openvpn-1.6.0.tar.gz /usr/src #tar -xzvf openvpn-1.6.0.tar.gz. #./configure #./make #./make install Закапризничавшая во время конфигурированя SuSE потребовала установить предварительно библиотеку lzo. Под FreeBSD всё прошло гладко: #cd /usr/ports/security/openvpn #./make #./make install OpenVPN имеет два режима защиты.Первый базируется на SSL/TLS защите с использованием сертификатов и ключей. Второй,- на использовании статических ключей. Для создания сертификатов пришлось подредактировать в файле /etc/ssl/openssl.cnf несколько строк: # ... dir = /usr/local/etc/openvpn certificate = $dir/my-ca.crt private_key = $dir/private/my-ca.key И для того чтобы не заниматься этой процедурой(созданием ключей и сертификатов) каждый год (наверняка забуду). default_days = 3650 #(10 лет) до пенсии хватит... ... Далее генерирую ключи и сертификаты: openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 Данная команда создаст пару сертификат/ключ действующими 10 лет. Затем создаю пару сертифика/частный ключ для каждого офиса: openvpn reg -nodes -new -x509 -keyout office1.key -out office1.csr openvpn reg -nodes -new -x509 -keyout office2.key -out office2.csr openvpn ca -out office1.crt -in office1.csr openvpn ca -out office2.crt -in office2.csr Я особенно не силён в защите,но раз требуют создать Диффи Хельман параметры для office2,создаём: openvpn dhparam -out dh1024.pem 1024 Не забываю перенести ключи и сертификаты на машину office2. С ключами всё.Перехожу к конфигурированию vpn. Собственно конфигурирование сводится к созданию конфигурационных файлов для офиса1 и офиса2. У меня офис1 выступает в качестве сервера и содержит: #office1 dev tun port 5000 ifconfig 10.1.1.1 10.1.1.2 #Здесь маршрутизацию поднимаем up /etc/openvpn/office1.up #Здесь маршрутизацию удаляем down /etc/openvpn/office1.down tls-server dh dh1024.pem ca my-ca.crt cert office1.crt key office1.key verb3 #end office1 А это клиент: #office2 dev tun port 5000 remote 100.100.100.1 ifconfig 10.1.1.2 10.1.1.1 #Здесь маршрутизацию поднимаем up /etc/openvpn/office2.up #Здесь маршрутизацию удаляем down /etc/openvpn/office2.down tls-client dh dh1024.pem ca my-ca.crt cert office2.crt key office2.key verb3 #end office2 Чтобы сети могли видеть друг друга файл office1.up содержит: #up routing route add -net 192.168.10.0/24 10.1.1.2 Сценарий down должен удалить маршрут office1.down #down route del -net 192.168.10.0/24 office2.up содержит: #up routing FreeBSD route add -net 10.0.0.0/24 10.1.1.1 netmask 255.255.255.0 office2.down: #down FreeBSD route delete -net 10.0.0.0/24 Запускаем: openvpn --config office1 на серврере; openvpn --config office2 на машине-клиенте. И проверяем. SuSE: $ ifconfig tun0 Link encap:Point-to-Point Protocol inet addr:10.1.1.1 P-t-P:10.1.1.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1259 Metric:1 RX packets:79017 errors:0 dropped:0 overruns:0 frame:0 TX packets:85421 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:10 RX bytes:11237151 (10.7 Mb) TX bytes:34079868 (32.5 Mb) $ ping 10.1.1.2 PING 10.1.1.2 (10.1.1.2) 56(84) bytes of data. 64 bytes from 10.1.1.2: icmp_seq=1 ttl=64 time=271 ms 64 bytes from 10.1.1.2: icmp_seq=2 ttl=64 time=419 ms 64 bytes from 10.1.1.2: icmp_seq=3 ttl=64 time=277 ms 64 bytes from 10.1.1.2: icmp_seq=4 ttl=64 time=184 ms 64 bytes from 10.1.1.2: icmp_seq=5 ttl=64 time=137 ms --- 10.1.1.2 ping statistics --- 6 packets transmitted, 5 received, 16% packet loss, time 5039ms rtt min/avg/max/mdev = 137.763/258.168/419.546/96.461 ms FreeBSD: $ ifconfig tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1259 inet6 fe80::202:44ff:fe92:7ac6%tun0 prefixlen 64 scopeid 0x5 inet 10.1.1.2 --> 10.1.1.1 netmask 0xffffffff Opened by PID 429 $ ping 10.1.1.1 PING 10.1.1.1 (10.1.1.1): 56 data bytes 64 bytes from 10.1.1.1: icmp_seq=0 ttl=64 time=159.315 ms 64 bytes from 10.1.1.1: icmp_seq=1 ttl=64 time=426.403 ms 64 bytes from 10.1.1.1: icmp_seq=2 ttl=64 time=352.940 ms 64 bytes from 10.1.1.1: icmp_seq=3 ttl=64 time=394.593 ms 64 bytes from 10.1.1.1: icmp_seq=4 ttl=64 time=249.855 ms 64 bytes from 10.1.1.1: icmp_seq=5 ttl=64 time=203.441 ms ^C --- 10.1.1.1 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 159.315/297.758/426.403/99.439 ms $ Разработчики OpenVPN любезно предоставили настройку файервола для Linux,которая подключается в сценарии автозапуска OpenVPN. #!/bin/sh dir=/etc/openvpn $dir/firewall.sh openvpn --cd $dir --daemon --config office1 Для FreeBSD,как всегда всё гораздо проще: /usr/local/etc/rc.d/openvpn.sh #!/bin/sh dir=/etc/openvpn case $1 in start) openvpn --cd $dir --daemon --config office1;; stop) killall -TERM openvpn;; *) echo "Use: {start|stop}" esac rc.firewall # vpn="tun0" #vpn ${fwcmd} add allow ip from any to any via ${vpn} #nat ${fwcmd} add divert natd all from any to any via ${oif} # Всё. Огромное спасибо разработчикам OpenVPN!

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, GreenX (??), 17:29, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в чём там косяк со вторым сервис паком от хп?
    У разработчика написано :
    NOTE: Windows XP Service Pack 2 breaks OpenVPN 1.6.0. If you are using XP SP2, it is recommended that you use OpenVPN 2.0.

     
     
  • 2.2, nsware (?), 18:30, 19/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    SP2 это вообще один большой косяк...
     

  • 1.3, stager (??), 19:09, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а про то, как настроить впн для одинокого клиента под виндой и сервером на линуксе можете рассказать?
    я так понимаю нужно использовать bridge, а вот с этим как раз какаято фигня происходит

    и ещё хотелось бы узнать, чем статический ключ хуже ssl?

     
     
  • 2.14, crypt (?), 21:15, 23/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    В такой конфигурации - ничем не хуже, а может быть даже чуть-чуть лучше по быстродействию будут.
     

  • 1.4, klexx (?), 19:46, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У мя это как раз работает :) Если чё стучись по мылу, обьясню как и что :)
     
  • 1.5, cybpoison (??), 00:16, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Могу помочь в настройки этого всего и со статическими ключами и SSL-сертификатами...
    В XP SP2 бага основана на том, что интерфейс не появляется, нужно ставить OpenVPN 2.0r6 и тогда появляется интерфейс...

    Короче у кого какие вопросы, то жду в ICQ :)
    ICQ:623091

     
     
  • 2.6, John (??), 10:06, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    "Вы конечно все молодцы...."
    Умные люди придумали форум.
    Чтоб один раз написали все почитали
    что-то до бавили что то подправили.
    А тут  начинаются предложения.
    Давай по почте, давай по ICQ....
    Не лучше ли раз прописать все это в форуме.
    Чтоб вас по 10 раз не спрашивали а если кто спросит то
    адресовать на этот форум.
    А может кто что нового и полезного добавит.
     

  • 1.7, qwerty (??), 11:16, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чето не хочет на Фре генерить ключи, это наверное под линем синтаксис?
    openvpn -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
    0: I'm trying to parse "-nodes" as an --option parameter but I don't see a leading '--'
    1: Use --help for more information
     
     
  • 2.9, Михаил (??), 16:01, 20/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Не хочет потому, что должно быть не openvpn, а openssl
    openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650

    И далее по тексту тоже openvpn заменить на openssl

     

  • 1.8, Ежик (?), 12:26, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?
     
     
  • 2.10, Andrey Mitrofanov (?), 12:04, 21/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?

    А вот ipsec тут не при чём. Впрочем cisco, по факту, тоже.

    Хотя, можно, наверное: собрать паке-е-ет для, apt-get install его... %))) Но, пожалуй, Cisco не будет этого делать для своей супер-надёжной, поддержиФаюШей "индустриальные стандарты" мега-популярной... _закрытой_ платформы.

    Но мы ведь их совсем не за это любим? B-)

     
     
  • 3.12, goblin (??), 19:47, 22/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и ладно... Обойдемся подручными средствами. :)
     

  • 1.11, Belal (??), 17:27, 21/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В оригинальной документации на http://openvpn.sourceforge.net написано куда больше и без ошибок!
     
     
  • 2.13, gt (??), 03:57, 23/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    интересно, ты сначала здесь прочитал, а потом без ошибок или сначала без ошибок а потом здесь?
    обосрать всегда и все можно и это, кстати, не трудно сделать.
     

  • 1.15, Skif (??), 10:58, 26/01/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif все как по handbook-у работает без нареканий, но появился еще один и он подключен через ADSL модем. Там ip реальный находиться на мопеде, а мне выделен только серый. надо подключить этот сервак в нашу общую сетку между серверами. Сейчас листаю и изучаю все что мжно, что бы организовать такой тунель
    {СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
    Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?
     
     
  • 2.18, Michael (??), 17:08, 03/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif
    >все как по handbook-у работает без нареканий, но появился еще один
    >и он подключен через ADSL модем. Там ip реальный находиться на
    >мопеде, а мне выделен только серый. надо подключить этот сервак в
    >нашу общую сетку между серверами. Сейчас листаю и изучаю все что
    >мжно, что бы организовать такой тунель
    >{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
    >Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?

    насколько я в курсе, ipsec использует ip-протокол, отличный от TCP и UDP.
    его может просто не пропустить НАТ в АДСЛ-модеме... ищи у своего модема фичу под названием vpn-passthrough или ipsec-passthrough.

    еще пара вариантов:
    1) перенастроить модем из режима роутера в режим бриджа, тогда реальный ip-адрес будет уже у самого компа.
    2) перейти на другой vpn, например OpenVPN в этой ситуации продошел бы идеально. не обязательно ломать сущестыующий ipsec, можно на OpenVPN построить только этот один линк.

     

  • 1.16, Galmir (?), 13:08, 02/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть это 2 шлюза, на винде KERIO Firewall. Все они в одной подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы одного офиса видели компы другого офиса). Но не видят, то есть с каждого шлюза есть пинг только на другой конец туннеля, а за ним ни фига не доступно.

    Что править, где косяк?

     
     
  • 2.17, Michael (??), 16:26, 03/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент
    >на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть
    >это 2 шлюза, на винде KERIO Firewall. Все они в одной
    >подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы
    >одного офиса видели компы другого офиса). Но не видят, то есть
    >с каждого шлюза есть пинг только на другой конец туннеля, а
    >за ним ни фига не доступно.
    >
    >Что править, где косяк?

    вариантов 2:
    1) разноси клиентов в разные подсети и настраивай маршрутизацию.
    2) локальные интерфейсы каждого из шлюзов объедини с OpenVPN-интерфейсом в мост (бридж).
    по обоим вариантам в родной доке все хорошо расписано.

     

  • 1.19, Michael (??), 16:22, 02/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если есть две локалки, один домен, два сайта, на границах - FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?
     
     
  • 2.20, Michael (??), 12:40, 10/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А если есть две локалки, один домен, два сайта, на границах -
    >FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?

    домен и сайты к делу не относятся...
    а две локалки соединить с помощью OpenVPN можно.

    что означает "работать прозрачно" ?
    По крайней мере пинговаться будет и сетевые диски по ip-адресу прицепить будет можно. Да и вообще любой софт, использующий ip-протокол без широковещания, работать будет.
    а вот использовать имена компов из сетевого окружения - вряд ли...

    Хотя если настроить в режиме моста, то можно даже сетевое окружение общее сделать. Но не рекомендую - много лишнего трафика будет в канале, плохо для тех у кого канал медленный или трафик дорогой.

     

  • 1.21, Michael (??), 20:07, 11/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я имел в виду виндовые сайты, те, на которые домен разбивается, чтобы меньше траффик был.
     
  • 1.23, resu (??), 00:36, 31/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ставлю openvpn 2 т.к. нуждаюсь в создании тунэля между win клиентами и linux server’ ом за которым стоит LAN c ресурсами на которые эти клиенты должны получить доступ, а получаю следующую проблему:
    настраиваю tun device, сервер получает  IP для tun0 – 10.8.0.1/32  win client – 10.8.0.10/30 и default gateway 10.8.0.9

    я не понимаю зачем нужна такая network mask 255.255.255.252  и если она необходима, то почему на сервере не подымается интерфейс tun0:1 IP 10.8.0.9/30. этого адреса вообще нигде нет и поэтому нет и доступа к подсетям моей LAN (я засылаю клиенту при помощи push "route ..." все необходимые руты, клиент их получает и правильно садит, но нет к ним gateway’я нет и связи с ними).
    Что я делаю не так??????

    меняю tun на tap и все получается так, как я это понимаю:
    - сервер IP 10.8.0.1/24
    - клиент IP 10.8.0.101/24 defaul gateway 10.8.0.1

    все бы хорошо, но тут я не знаю в чем разница между тунелем и bridge’м в терминологии OpenVPN. В каких случаях надо применять тот или иной device.

    Если кто то уже разобрался с этой темой – буду очень признателен за помощь

     
  • 1.24, max (??), 13:43, 28/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добрый день !!!
    Господа никто случайно не прикручивал openvpn + freeradius?
     
     
  • 2.25, Michael (??), 18:38, 28/04/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Господа никто случайно не прикручивал openvpn + freeradius?
    а как одно связано с другим?
     

  • 1.26, merlyn (?), 18:57, 14/06/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пробую настроить openvpn - не получается
    к серверу FreeBSD цепляется виндовый клиент из-за Nat, openvpn 2.0. Использую статические ключи, канал встает, но пинги не ходят, хотя в логах сервера openvpn видно что пакетами обмениваются.
    не могу понять в чем проблема
     
     
  • 2.27, Michael (??), 19:36, 14/06/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >хотя в логах сервера
    >openvpn видно что пакетами обмениваются.
    а подробнее, что в логах?
    на обоих сторонах должна быть строка вида "Peer Connection Initiated with" с ip-адресом другой стороны

     

  • 1.28, pawel_chk (??), 20:27, 22/06/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку (GPRS))
     
     
  • 2.29, Михаил (??), 14:10, 06/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку
    >(GPRS))

    не указывать явно параметр local в конфиге, достаточно знать ip-адрес сервера и указать его в параметре remote


     

  • 1.30, xxx (??), 22:39, 02/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А билинг есть под опенвпн какойто ?
     
     
  • 2.31, Михаил (??), 11:12, 05/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А билинг есть под опенвпн какойто ?
    а зачем под него какой-то особенный биллинг?
    OpenVPN создает обыкновенный сетевой интерфейс, который ничем принципиально не отличается от, например, Ethernet-ного..

     
     
  • 3.32, zyxman (?), 13:40, 10/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    к сожалению, как раз для биллинга отличается.
    конкретно, лучшее что я знаю для биллинга в freebsd - ng_ipacct - не может непосредственно брать данные с tun, зато беспроблемно работает с эзернетами.
    решение простое, хотя на мой взгляд немножко неестественное (и слишком тяжелое при широких потоках) - ipfw tee нужного траффика в ksocket и с него уже счет ng_ipacct - у меня уже работает с апреля на пол мегабита.

    С Уважением,
    Зюхман.

     
     
  • 4.33, Alesx (?), 03:06, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Все работает. Вот только одна проблема - при рестарте сервера, соединение не востанавливается и приходится рестартить клиента. Может можно сделать, что бы соединение восстанавливалось во всех случаях?
     

  • 1.34, YuroN (??), 17:12, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

    с версией OpenVPN 2.0.5 пишет:

    Options error: I'm trying to parse "reg" as an --option parameter but I don't see a leading '--'
    Use --help for more information.

    что делать?

     
  • 1.35, Аноним (-), 18:09, 10/03/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl, второе не reg, а req (от слова реквест). Пожалуйста выдай исходную ссылку статьи...
     
     
  • 2.36, Михаил (??), 10:53, 12/03/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl,
    >второе не reg, а req (от слова реквест). Пожалуйста выдай исходную
    >ссылку статьи...
    Зачем тебе статья двухлетней давности?
    OpenVPN довольно неплохо развивается и информация двухлетней давности, имхо, уже устарела.

    Читайте родную документацию! Там все написано!
    В крайнем случае, на оригинальном сайте есть ссылки на сторонние руководства.

     

  • 1.37, NF (?), 00:03, 12/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Короче... надо поднять виндовый VPN сервер, только чтоб   клиенты(тож виндовые) могли цепляться к нему, не видя друг друга, все в одной под сети типа 123.123.***.***, все подключаются к инету через АДСЛ (у сервера можно сделать статический ип), критерии безопасности не оч важны, лишь бы работало, манов для моего случая не нашел,
     
     
  • 2.39, d_m (?), 10:29, 22/06/2007 [^] [^^] [^^^] [ответить]  
  • +/
    "не видя друг друга"

    "критерии безопасности не оч важны"
    Сэр! Вы сами себе противоречите. Первое - весьма сильный "критерий безопасности".

     

  • 1.40, akaGudvin (?), 12:06, 06/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    Действительно ли технология OpenVPN является настолько надежной, как об этом пишут, или это очередная уловка спецслужб? На этот вопрос я решил себе ответить запустив Wireshark и проанализировав трафик VPN соединения в различных режимах работы (с шифрованием и без, с транспортом в виде TCP и UDP, ...).
    Как оказалось не все так радужно как об этом пишут. SSLv3/TLSv1 я нашел, но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий фрагментирование. Не помог мне ни официальный сайт openvpn, ни google. Как человеку, постоянно использующему эту технологию, хотелось бы знать что за информация там передается и зачем этот протокол вообще нужен?

    Заранее благодарен всем, кто окажет свою посильную помощь в разрешении этого вопроса.

     
     
  • 2.41, Аноним (41), 12:48, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий
    >фрагментирование.

    UDP? :)

     
     
  • 3.42, AloneGh0st (ok), 13:11, 09/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мужики! Помогите разобраться...
    Надо засунуть из мира несколько машин в офисную сетку(домен внутренний)
    в Офисной сетке стоит Gentoo сервак(OpenVPN), клиент будет подниматься
    на Windows XP SP2 Pro. Нужна ваша помощь. Вроде все настроил, выдаёт в логе:
    Mon Jun 09 12:09:37 2008 OpenVPN 2.1_rc7 Win32-MinGW [SSL] [LZO2] [PKCS11] built on Jan 29 2008
    Mon Jun 09 12:09:37 2008 WARNING: using --pull/--client and --ifconfig together is probably not what you want
    Mon Jun 09 12:09:37 2008 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
    Mon Jun 09 12:09:37 2008 LZO compression initialized
    Mon Jun 09 12:09:37 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Mon Jun 09 12:09:37 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Mon Jun 09 12:09:37 2008 Local Options hash (VER=V4): '41690919'
    Mon Jun 09 12:09:37 2008 Expected Remote Options hash (VER=V4): '530fdded'
    Mon Jun 09 12:09:37 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Mon Jun 09 12:09:37 2008 UDPv4 link local: [undef]
    Mon Jun 09 12:09:37 2008 UDPv4 link remote: 217.147.161.29:1194
    Mon Jun 09 12:09:37 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
    Уже незнаю чё делать, в фаэрволе под клиент открыл дырку... и всеравно одно и тоже...
     

  • 1.43, Ярослав (??), 15:24, 19/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    аффтору незачёт.
    Сертификаты генерятся openssl, а не openvpn.
    Соответственно
    openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

    меняется на

    openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650


    Второй параметр req а не reg.

    Статья нуждается в редактировании, так как прямое её применение невозможно.

     
     
  • 2.44, Michael (??), 11:54, 20/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
    >
    >меняется на
    >
    >openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
    >
    >
    >Второй параметр req а не reg.
    >
    >Статья нуждается в редактировании, так как прямое её применение невозможно.

    Про это еще 4 года назад было написано:
    http://www.opennet.dev/openforum/vsluhforumID3/4979.html#9

     

    игнорирование участников | лог модерирования

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру