Nepodcenujte zabezpeceni OpenVPN!

[Michal Dobes]

Lubomír Klubus napsal(a):
> Problémy s nespuštěním VPN sítě před prvním přihlášením do domény jsem se
> rozhodl ignorovat.

Pak tu je ještě jedno řešení, a to místo OpenVPN použít nativního
klienta z MS win používajícího L2TP/IPsec (šel by i PPTP, ale to už
je asi nouzovka). Klient je součástí W2K i XP, server pro linux
dostupný.
Umí to spustit tunel před přihlášením (dá se přihlásit pomocí
vytáčeného připojení a tam se objeví i VPNka definované adminem).
Umí to k autorizaci použít jméno+heslo nebo se dá použít i certifikát,
který bez problémů může být třeba na čipové kartě/tokenu (tohle už
vypadá v OpenVPN2.1.x také chodivě).
Vůči OpenVPN je nevýhoda ve složitější konfiguraci na straně serveru,
trošku větší overhead dat než má OpenVPN a občas složitější
průchodnost přes NAT.
Výhodou vůči OpenVPN je třeba korektní práce s CRL
(což snad OpenVPN časem také dožene, mají to někde v TODO listu). :-)
A pak tím vyřešíte i případný přístup do firmy z nejrůznějších
obskurních zařízení typu PDA a moderních chytrých mobilů, kde je VPN
klient často IPsec nebo L2TP/IPsec.

	M.