Nepodcenujte zabezpeceni OpenVPN!

[Petr Baláš]

On 5/23/06, Michal Dobes <dobes na tesnet.cz> wrote:
> Lubomír Klubus napsal(a):
> > Problémy s nespuštěním VPN sítě před prvním přihlášením do domény jsem se
> > rozhodl ignorovat.

http://openvpn.net/howto.html#startup
V praxi jsem to nezkousel ale nevidim duvod proc by to nemelo chodit.
Nevyhoda - klic musi byt bez hesla.
Ono to RTFM by mozna stalo za pokus :-)


> Pak tu je ještě jedno řešení, a to místo OpenVPN použít nativního
> klienta z MS win používajícího L2TP/IPsec (šel by i PPTP, ale to už
> je asi nouzovka). Klient je součástí W2K i XP, server pro linux
> dostupný.
> Umí to spustit tunel před přihlášením (dá se přihlásit pomocí
> vytáčeného připojení a tam se objeví i VPNka definované adminem).
> Umí to k autorizaci použít jméno+heslo nebo se dá použít i certifikát,
> který bez problémů může být třeba na čipové kartě/tokenu (tohle už
> vypadá v OpenVPN2.1.x také chodivě).
> Vůči OpenVPN je nevýhoda ve složitější konfiguraci na straně serveru,

Rozchodit toto jsem se snazil dvakrat a vzdy jsem se na to po par hodinach
snahy vykaslal protoze mi to proste nechodilo. U OpenVPN jsem za hodinu
nemel co delat.


> trošku větší overhead dat než má OpenVPN a občas složitější
> průchodnost přes NAT.

Tohoto bych se taky obaval - pripojim se kdekoliv do interni site a
muzu si hodit korunou zda to pujde nebo ne.


> Výhodou vůči OpenVPN je třeba korektní práce s CRL
> (což snad OpenVPN časem také dožene, mají to někde v TODO listu). :-)
> A pak tím vyřešíte i případný přístup do firmy z nejrůznějších
> obskurních zařízení typu PDA a moderních chytrých mobilů, kde je VPN
> klient často IPsec nebo L2TP/IPsec.

Toto nastesti nepotrebuji.

-- 
Petr Balas - petr.balas at gmail dot com