Nepodcenujte zabezpeceni OpenVPN!

[Lubomír Klubus]

>A muzete se s nami podelit o to, v cem byl problem a jak jste ho vyresil?
>Jsou lide, kteri by to jiste ocenili.

Narozdíl od Vás si myslím, že to nikdo neocení, jen to zvýší počet
příspěvků, ale dobře když chcete...

Větev kterou jsem vytvořil v konferenci Já:

"VPN přes OPENVPN a spolupráce s doménou Windows 2003".

Větev ve které jsem přispěl asi zbytečně, protože dotaz na heslo k
certifikátu na serveru byl už zodpovězen v předchozí větvi:

"Nepodcenujte zabezpeceni OpenVPN."

Problémy s nespuštěním VPN sítě před prvním přihlášením do domény jsem se
rozhodl ignorovat.
První přihlášení do domény provedu prostě v cílové LAN, aby se vytvořil
profil na Windows XP a "přenesl tzv. doménový účet na počítač".
	Každopádně openvpn funguje s doménovým i nedoménovým počítačem,
pokud je dobře nastaveno DNS a routování do cílové sítě.

Rozhodl jsem se OpenVPN spouštět na Windows přes GUI až po přihlášení do
počítače, nikoliv aby najelo síťové rozhraní OpenVPN před přihlašovacím
dialogem, tak jak jsem to původně zamyšlel.
Pokud někod má spolehlivý návod jak to na Windows nastavit aby najela VPN
ještě před přihlašovacím dialogem, tak budu samozřejmě rád.

Ohledně hesla ke klíči k certifikátu, tak na serveru jsme to vytvořil pomocí
té volby

Příkaz openssl s parametrem -nodes je totéž jako nástroj build-keys z
OpenVPN verze 2.
	V posledních verzích klienta Opevpn pro Windows je možnost
dodatečného zaheslování s možností heslo měnit, tak jsem toho využil.
Jestli se zmodifikoval klíč na klientovi nebo se jen zahesluje samotné GUI
je pro mě vedlejší, hlavně, že to jede.


Lubomír Klubus